Bilag 16, Sikkerhedsprocedurer

Størrelse: px
Starte visningen fra side:

Download "Bilag 16, Sikkerhedsprocedurer"

Transkript

1 Bilag 16, Sikkerhedsprocedurer Version Ændringer Dato 2.1 Ændret i - Punkt Punkt 2 - Punkt 8 - Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav fjernet - Krav Krav fjernet - Krav Krav Krav Krav Krav

2 - Krav Krav Krav fjernet - Krav Krav Krav Krav Krav Krav Krav Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet til version

3 3 Indholdsfortegnelse Indholdsfortegnelse... 3 Vejledning til udfyldelse Indledning Underbilag Sikkerhedsmæssig risikovurdering for Fællesoffentlig Datafordeler Effektområder Fortrolighed Tilgængelighed: Integritet: Trusler Nedbrud af udstyr Nedbrud af programmel Menneskelige fejl Udefrakommende angreb på Datafordeler, fx DDoS eller uautoriseret adgang Indefra kommende angreb på Datafordeler (Misbrug) Udefrakommende angreb på Registermyndigheder Indefra kommende angreb på Registermyndigheder Generelle forhold Anvendelse af sikkerhedsstandard Sikkerhed i organisationen Sikkerhedshændelser Fysiske kontrolforanstaltninger Sikkerhed i Projektet Sikkerhed i Systemet Sikker drift af Systemet Backup Beredskab Complianceskema... 28

4 4 Vejledning til udfyldelse De behov, som tilbuddet skal dække, er klassificeret og beskrevet som krav. Alle krav er indsat i en kravskabelon, hvor selve kravet fremgår af feltet. Kravtitel og Kravområde er vejledende information til tilbudsgiver som har til formål at danne grundlag for en logisk gruppering af krav. I feltet Delleverance angives vejledende, hvilken eller hvilke bestemte Delleverancer eller Optioner, kravet vedrører. For krav som vedrører alle dele af Projektet angives ingen værdi i feltet Delleverance. Kravtypen kan antage en af følgende værdier: Kravtype Markering af kravtype Betydning Mindstekrav Værdi: MK Mindstekrav skal opfyldes uden forbehold for, at et tilbud kan være konditionsmæssigt Prioriteret krav Værdi: PK Prioriterede krav har stor betydning for opfyldelse af de forretningsmæssige mål, og tillægges derfor særlig vægt ved vurdering af de afgivne tilbud. Krav Værdi: K Almindelige krav, som bidrager til opfyldelse af de forretningsmæssige mål. Tilbudsgiver kan angive alternative forslag til disse krav i form af forbehold. For krav som stilles til Agile Delleverancer, angives i feltet Agil kravtype, om kravet er et Absolut Krav eller et Øvrige Krav som defineret i Bilag 0. Alle krav er nummereret på 2. niveau, med foranstillet bilagsnummer, jf. nedenstående eksempel: Kravnr. 1.1 Kravtitel Eksempel på krav Kravtype K Kravområde Eksempel Agil kravtype Øvrige krav Delleverance Leverandøren skal tage dette krav til efterretning Vejledende tekst i bilag

5 5 I bilagene er der imellem de konkrete krav visse steder indføjet vejledende tekst. Vejledende tekst er unummereret generel tekst til tilbudsgivers orientering. Dette illustreres med følgende eksempel: Dette bilag indeholder Kundens specifikation af krav til Systemets funktion og virkemåde. Tilbudsgivers løsningsbeskrivelse Tekst omgivet af firkantede parenteser og angivet med fed og kursiv skrift er vejledende tekst til tilbudsgiver om, hvad tilbudsgiver med egne ord skal beskrive i tilbuddet. Dette illustreres med følgende eksempel: [Tilbudsgiver beskriver opfyldelsen af kravet i underbilag X.X.] Angivelse af kravsopfyldelse Alle bilag, som indeholder krav til Leverandøren, afsluttes med et complianceskema, hvor tilbudsgiver skal angive hvilke krav, der opfyldes af det afgivne tilbud, og om der er taget forbehold i form af ændring af kravteksten. Ved udfyldelsen af complianceskemaerne placeret sidst i bilaget skal tilbudsgiver for hvert krav angive med afkrydsning, om kravet er opfyldt, om kravet er opfyldt med forbehold i form af ændret kravtekst, eller om kravet ikke er opfyldt. Eksempel på udfyldt complianceskema: Krav nr. Kravet er opfyldt Kravet er opfyldt med forbehold i form af ændret kravtekst Kravet er ikke opfyldt Delkriterie 1.1 X Tidsplan 1.2 X Tidsplan 1.3 X Tidsplan 1.4 X Såfremt et krav er opfyldt uden forbehold skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og Kravet er opfyldt. Mindstekrav er i complianceskemaerne markeret med grå og er på forhånd afkrydset i kolonnen "Kravet er opfyldt", idet enhver anden afkrydsning fører til, at tilbuddet er ukonditionsmæssigt. Såfremt tilbudsgiver tager forbehold til et krav, der ikke er et mindstekrav, indarbejdes forbeholdet direkte i kravteksten som en ændring af denne. Ændringen skal være markeret med ændringsmarkering. Der

6 6 sættes herudover kryds i complianceskemaet ud for det aktuelle kravnummer i kolonnen Kravet er opfyldt med forbehold i form af ændret kravtekst. Der kan herudover henvises til evt. yderligere bilagsmateriale/dokumentation, der er vedlagt tilbuddet. Såfremt tilbudsgiver vil angive at et krav ikke er opfyldt, skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og i kolonnen Kravet er ikke opfyldt. I complianceskemaets højre kolonne fremgår det, hvilket delkriterie, jf. udbudsbetingelsernes punkt 4, det pågældende krav er relateret til.

7 7 1 Indledning I dette bilag opstilles Kundens krav til Leverandørens håndtering af de sikkerhedsmæssige forhold på det proceduremæssige og det organisatoriske område. Der henvises i øvrigt til - bilag 3 Leverancebeskrivelse med Kravspecifikation og Løsningsbeskrivelse, som indeholder tekniske sikkerhedskrav til Systemet. - bilag 7 Servicemål, som indeholder krav til retableringstider. - bilag 10 Ændringshåndtering, som indeholder krav til procedurer ved ændringer i Systemet. - bilag 11 Samarbejdsorganisation, som indeholder krav til samarbejdet mellem Leverandøren og Kunden. - bilag 18 Revisionsstandard og Audit, som indeholder krav vedrørende revision og eksterne audits Der stilles krav til sikkerheden i Leverandørens organisation, i Projektet samt i det leverede System. Udover kravene i dette bilag er de til enhver tid gældende retningslinjer i Finansministeriets (FM) informationssikkerhedspolitik (underbilag 16D) og FM informationssikkerhedsstrategi (underbilag 16E) gældende for Datafordeleren i det omfang, det er relevant. Yderligere informationer om DS 484:2005 fås på Dansk Standards hjemmeside: Yderligere informationer om standarderne i ISO/IEC serien fås på ISO s hjemmeside: 1.1 Underbilag Dette bilag har følgende underbilag: - Underbilag 16A Sikkerhed - Underbilag 16B - UDGÅET - Underbilag 16C Sikkerhedsplan - Underbilag 16D FMs Informationssikkerhedspolitik - Underbilag 16E FMs Informationssikkerhedsstrategi 2 Sikkerhedsmæssig risikovurdering for Fællesoffentlig Datafordeler I det følgende opsamles overordnede overvejelser omkring den sikkerhedsmæssige risikovurdering for den fællesoffentlige Datafordeler. Som udgangspunkt skal Datafordeleren levere et tilsvarende sikkerhedsniveau, som i dag leveres fra henholdsvis CVR, CPR, Kortforsyningen og OIS/AWS. Men sammenlægningen af distributionen giver også anledningen til en samlet overordnet sikkerhedsmæssig risikovurdering af den samlede løsning, herunder også en vurdering ift. de særlige risici, som gør sig gældende netop ved at distributionsløsningerne samles. 2.1 Effektområder I det følgende beskrives de enkelte effektområder for Datafordeleren, herunder konsekvensvurdering af eventuelle sikkerhedsbrud.

8 Fortrolighed Datafordeleren kommer til at distribuere data fra forskellige registre med forskellige fortrolighedsniveauer. Det fordre at alle data som distribueres via Datafordeleren kategoriseres i følgende kategorier: Private og følsomme Personhenførebare data (medlemsskab af Folkekirken er registreret i CPR) Personhenførbare data (alle øvrige CPR-data, en række registre fra OIS, visse informationer fra CVR) Ikke personhenførbare data (En række registre fra OIS, alle Kortforsyningens registre, de fleste informationer fra CVR) Som private og følsomme personhenførbare data betragtes oplysninger om racemæssig eller etnisk baggrund politisk, religiøs eller filosofisk overbevisning fagforeningsmæssige tilhørsforhold oplysninger om helbredsmæssige og seksuelle forhold strafbare forhold væsentlige sociale problemer og andre rent private forhold Den eneste af ovennævnte type oplysninger, der forekommer i Registrene, er registreringen i CPR af medlemskab af Folkekirken, idet denne oplysning vedrører de registreredes religiøse overbevisning. Datafordeleren som udgangspunkt skal levere det fortrolighedsniveau, som registermyndigheder stiller krav om, og for alle data som distribueres gælder det, at data kun kan videregives til en part (myndighed, virksomhed eller privat person), som forudgående har indgået aftale om at få adgang til data. En part skal altså ikke kunne modtage data, med mindre denne part er oprettet som bruger på Datafordeleren. Data som klassificeres som personlige eller personhenførbare har en høj fortrolighed, og distribution via Datafordeleren skal overholde Persondataloven, herunder krigsreglen, både i forhold til opbevaring og distribution af disse data. Brud på fortrolighed vurderes som værende Graverende og/eller ødelæggende, da en del Grunddata er følsomme personoplysninger og da Registrene opkræver betaling for visse data fra Datafordeleren Tilgængelighed: Selvom et af de væsentligste succeskriterier for Datafordeleren er at sikre en høj tilgængelighed af data på tværs af eksisterende registre, så vurderes integritet og fortrolighed højere. Det vil sige at hvis der er mistanke om at fortroligheden eller integriteten af data er kompromitteret, så kan det medføre at det besluttes midlertidigt at lukke for distributionen af data. Brud på tilgængelighed vurderes som værende alvorlig, stigende til meget alvorlig ved nedbrud på over 30 minutter, til graverende og/eller ødelæggende ved nedbrud på få dage, da data fra Datafordeleren fx er nødvendige for registreringer og myndighedsafgørelser Integritet: Datafordeleren skal konstrueres på en måde, så der kan sikres dataintegritet fra data afsendes fra Registeret til Dataanvender modtager data. Det stiller følgende krav til Datafordeleren: Der stilles krav om krypterede kanaler mellem registermyndigheder og Datafordeler

9 9 Der tilbydes krypterede kanaler mellem Datafordeler og dataanvender Data i Datafordeleren skal sikres mod forvanskning Brud på integritet vurderes som værende Graverende og/eller ødelæggende, da data fra Datafordeleren fx er grundlag for myndighedsafgørelser. 2.2 Trusler I det følgende opgøres trusselsbilledet for Datafordeleren på følgende måde. Truslen angives i overskrift, hvorefter indflydelse på effektområde angives Nedbrud af udstyr Truer først og fremmest tilgængeligheden, men kan i specielle tilfælde også have indflydelse på integritet og fortrolighed. Håndtering: Systemet overvåges og vedligeholdes løbende. Redundans anvendes hvor dette er muligt Nedbrud af programmel Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Systemet overvåges og vedligeholdes løbende. Redundans anvendes hvor dette er muligt. Metoder til sikker udvikling anvendes for at minimere fejlkilder i programmel Menneskelige fejl Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Administratorer uddannes og alle handlinger logges. Der etableres procedurer for roll back Udefrakommende angreb på Datafordeler, fx DDoS eller uautoriseret adgang Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Der etableres foranstaltninger såsom firewalls, IPS/IDS og brugerstyring ligesom Leverandøren samarbejder med ISP for at modvirke DoS-angreb Indefra kommende angreb på Datafordeler (Misbrug) Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Brugerrettigheder for alle brugere, herunder Administratorer, skal begrænses til det, de har behov for at kunne udføre deres rollespecifikke opgaver. Al adgang til Systemet logges og overvåges Udefrakommende angreb på Registermyndigheder Truer først og fremmest integritet, men kan også true tilgængeligheden, hvis det af den vej lykkedes at lægge Datafordeleren ned. Håndtering: Det skal være muligt at rulle Grunddata i Datafordeleren tilbage til en tidligere version, hvis dataintegriteten er blevet kompromitteret af angreb på Registermyndighed.

10 Indefra kommende angreb på Registermyndigheder Truer først og fremmest integritet, men kan også true tilgængeligheden, hvis det af den vej lykkedes at lægge Datafordeleren ned. Håndtering: Det skal være muligt at rulle Grunddata i Datafordeleren tilbage til en tidligere version, hvis dataintegriteten er blevet kompromitteret af angreb på Registermyndighed. 3 Generelle forhold Kravnr Kravtitel Sikkerhedsområder Kravtype MK Kravområde Generelle forhold De samlede implementerede sikringsforanstaltninger vedrørende informationssikkerheden skal sikre nedenstående effekter som beskrevet i Punkt 2.1: Integritet Fortrolighed Tilgængelighed Leverandøren skal løbende og for egne midler holde sig orienteret om Best Practice inden for disse sikkerhedsområder. Kravnr Kravtitel Sikkerhedsniveau Kravtype MK Kravområde Generelle forhold Sikkerhedsniveauet i Systemet skal være højt i enhver henseende og skal være indbygget i Systemets design fra starten. Det generelle sikkerhedsniveau skal være højt, og det skal være særdeles vanskeligt for eksterne hackere så vel som interne medarbejdere hos Leverandøren at kompromittere sikkerhedskontrollerne. Sikkerhedskontroller og det organisatoriske setup skal reflektere, at Datafordeleren er et meget kritisk system og sikkerhedsbrud kan potentielt have store uønskede konsekvenser. Den høje sikkerhed skal sikres i design, implementering og drift og i alle tilfælde leve op til eller overgå god sikkerhedspraksis. Sikkerheden bør fundamentalt set reflektere, at integritet er vigtigere end tilgængelighed eller fortrolighed. Kravnr Kravtitel Vedholdende sikkerhedsoptimering Kravtype MK Kravområde Generelle forhold Leverandøren skal i hele Kontraktperioden som en del af Driftsydelsen kontinuerligt evaluere og optimere Systemets sikkerhedsniveau, så de til enhver tid forudseelige trusler imødegås.

11 11 Kravnr Kravtitel Periode for kravsopfyldelse Kravtype MK Kravområde Generelle forhold Alle krav i dette bilag, herunder krav som er påkrævet implementeret inden udløb af afklaringsfasen, skal være opfyldt i hele kontraktperioden, med mindre, der eksplicit er angivet en anden opfyldelsesperiode. Kravnr Kravtitel Sikkerhedsaudit Kravtype MK Kravområde Generelle forhold Kunden forbeholder sig retten til at afholde sikkerhedsaudit under hele udviklings- og driftsfasen i overensstemmelse med beskrivelsen af sikkerhedsaudit i bilag Anvendelse af sikkerhedsstandard Det er obligatorisk for it-projekter og it-systemer i Staten at overholde en af sikkerhedsstandarderne DS 484:2005 eller ISO 27001:2005. Leverandøren skal derfor redegøre for, hvilken sikkerhedsstandard, der anvendes, og hvordan denne er implementeret. Kravnr Kravtitel Sikkerhedsstandard for Leverandørens egne forhold Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Leverandørens organisation. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Leverandørens organisation] Kravnr Kravtitel Sikkerhedsstandard for Projektet Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som påtænkes anvendt i tilrettelæggelsen af sikkerhedsprocedurer i Projektet. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i

12 12 tilrettelæggelsen af sikkerhedsprocedurer i Projektet] Kravnr Kravtitel Sikkerhedsstandard for Systemet Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som påtænkes anvendt i tilrettelæggelsen af sikkerhedsprocedurer i Systemet under såvel etablering som Drift. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Systemet] Kravnr Kravtitel Angivelse af anvendte dele af sikkerhedsstandard Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A for hvert af de tre perspektiver organisation, Projekt og System - beskrevet, hvilken dele af den anvendte sikkerhedstandard, der er relevante i Kontraktens sammenhæng. Dette kan dokumenteres i form af Statement of Applicability (SOA) som defineret i ISO 27001:2005, eller hvis en sådan ikke er udarbejdet, en tilsvarende redegørelse for de implementerede kontroller og deres relevans. [I underbilag 16A angives for hvert af de tre perspektiver organisation, Projekt og System, hvilke dele af den anvendte sikkerhedstandard, der er relevante i Kontraktens sammenhæng] 5 Sikkerhed i organisationen Sikkerhed skal håndteres på flere niveauer, og det er en forudsætning for at kunne deltage i et sikkert Projekt som leverer et sikkert System, at sikkerheden i Leverandørens organisation også håndteres forsvarligt. Kravnr Kravtitel Ansvar placeret i ledelsen Kravtype K Kravområde Sikkerhedsorganisation Leverandør skal udpege et ansvarligt medlem af ledelsen, som skal være den overordnede ansvarlige for opfyldelsen af alle aftalte krav til sikkerheden i hele Kontraktperioden. Den sikkerhedsansvarlige er ansvarlig for gennemførelse af sikkerhedsprøver

13 13 opretholdelse af det aftalte sikkerhedsniveau rapportering til Kunden vedrørende sikkerhedsspørgsmål Kravnr Kravtitel Kompetencekrav til Leverandørens Sikkerhedsansvarlige Kravtype PK Kravområde Sikkerhedsorganisation Leverandørens sikkerhedsansvarlige skal som minimum have de nedenstående kompetencer: o Stor praktisk erfaring med sikring af it-systemer og håndtering af sikkerhedssystemer. o Sikkerhedscertificeret, eksempelvis i CISSP/CISM eller tilsvarende o Kendskab og/eller erfaring med relevante teknologier i forhold til den aftalte Platform. CV angives i bilag 11 i overensstemmelse med krav Kravnr Kravtitel Erfarne ressourcer Kravtype MK Kravområde Sikkerhedsorganisation Leverandøren skal dedikere tilstrækkelige og erfarne ressourcer til arbejdet med informationssikkerhed. Erfaringer kan med fordel underbygges med sikkerhedscertificeringer såsom CISSP eller CISM. Kravnr Kravtitel Sikkerhedsansvarlig i samarbejdsorganisationen Kravtype K Kravområde Sikkerhedsorganisation Leverandøren skal tilknytte den sikkerhedsansvarlige til samarbejdsorganisationen, jf. bilag 11, med henblik på koordinering af sikkerheden i udviklingsfasen og den daglige drift. Personen skal fungere som den primære kommunikationskanal (single-point-ofcontact) og har ansvaret for at sikkerhedsrelaterede hændelser/issues formidles til Kundens sikkerhedsansvarlige kontaktperson. Kravnr Kravtitel Dokumenteret sikkerhedspolitik Kravtype PK Kravområde Sikkerhedspolitik Leverandør skal have en dokumenteret sikkerhedspolitik. Politikken skal være godkendt af den øverste ledelse og implementeret i organisationen.

14 14 Kravnr Kravtitel Retningslinjer og procedurer Kravtype K Kravområde Sikkerhedshåndbog Som en del af sikkerhedspolitikken skal Leverandøren vedligeholde retningslinjer (beskrivelse af procedurer), der dækker: Sikkerhedsorganisationen Roller og ansvar Awareness Sikkerhedsgodkendelser Overvågning og eskalering Beredskabsplaner System og netværksdokumentation Systemer, tjenester og informationer der må tilgås fra hjemmearbejdspladser Kravnr Kravtitel Udlevering af materiale Kravtype K Kravområde Sikkerhedsstyring Leverandørens samlede materiale (evt. samlet i en sikkerhedshåndbog) i henhold til krav skal udleveres til Kunden på forlangende f.eks. ved audits. Kravnr Kravtitel Compliance Kravtype K Kravområde Sikkerhedsorganisation Leverandøren skal etablere aktiviteter, der sikrer compliance i forhold til regulative krav, standarder og 3. mands sikkerhedskrav. Kravnr Kravtitel Kun autoriseret udstyr Kravtype K Kravområde Funktionsadskillelse Leverandøren skal sikre, at kun autoriseret udstyr, det vil sige udstyr godkendt i forhold til den af Leverandøren anvendte sikkerhedsstandard, må have adgang til Leverandørens interne netværk og telekommunikationslinjer for at sikre, at Leverandørens sikkerhedsniveau ikke kompromitteres. Kravnr Kravtitel Krav til underleverandører Kravtype K Kravområde 3. mands adgang Leverandør skal sikre, at væsentlige underleverandører også efterlever kravene til sikkerhed og beredskabsplanlægning.

15 15 Kravnr Kravtitel Register over 3. mænds systemer og netværk Kravtype MK Kravområde 3. mands adgang Leverandør skal etablere og vedligeholde et opdateret register over 3. mænds systemer og netværk, der direkte er integreret med Leverandørens infrastruktur. Indholdet af registeret kan stilles til rådighed for Kunden på forlangende, f.eks. ved audit. 5.1 Sikkerhedshændelser Kravnr Kravtitel Kategorisering som sikkerhedshændelse Kravtype K Kravområde Sikkerhedshændelser Enhver ikke-planlagt/ikke-aftalt afvigelse fra servicemål, eller hændelse i øvrigt, som forringer mindst et af de angivne sikkerhedsområder for dele eller hele af Systemet, defineres som en sikkerhedshændelse, og skal behandles som en sådan. Sikkerhedsområderne er: - Fortrolighed - Integritet - Tilgængelighed - Autentifikation - Sporbarhed Kravnr Kravtitel Procedure for registrering og logning af sikkerhedshændelser Kravtype K Kravområde Sikkerhedshændelser Leverandøren skal udarbejde procedurer for registrering, logning og kommunikation af alle sikkerhedshændelser, herunder potentielle sikkerhedshændelser, i overensstemmelse med krav i bilag 7, bilag 6 og bilag 8. Kravnr Kravtitel Afrapportering ved sikkerhedshændelser Kravtype MK Kravområde Sikkerhedshændelser Leverandøren skal, i tillæg til den i Bilag 8 kravsatte driftsrapportering, afrapportere af sikkerhedshændelser til Leverandørens sikkerhedsansvarlige og eventuelt styregruppe jf. Bilag 11, og at rapporterne som minimum indeholder: En beskrivelse af hændelsen Hvem var involveret Hvad blev der gjort Resultatet af udførte log-undersøgelse og analyse Læringspunkter Fremadrettede anbefalinger

16 16 Kravnr Kravtitel Kommunikation til Kunden Kravtype MK Kravområde Sikkerhedshændelser Leverandøren skal kommunikere sikkerhedshændelser til Kunden, og hvis Kunden finder det relevant, kan sikkerhedshændelser kommunikeres til eksterne aktører. Kravnr Kravtitel Erfaringsopsamling Kravtype K Kravområde Sikkerhedshændelser Leverandør skal etablere foranstaltninger, som sikrer, at sikkerhedshændelser indgår i en erfaringsopsamlingsproces og videreføres til alle relevante dele af den organisation, Leverandøren har til rådighed. Kravnr Kravtitel Politikker for medarbejderes adgang Kravtype K Kravområde Medarbejderes adgang Leverandøren skal etablere politikker for styring af Leverandørens medarbejderes adgang til Systemet og de deri lagrede Grunddata, således at kun medarbejdere med et dokumenteret, arbejdsbetinget behov får adgang. Leverandør skal derfor beskrive: Oprettelse, ændringer og nedlæggelsesprocedurer for medarbejderes adgang til Systemet Retningslinjer for implementering af funktionsadskillelse i henhold til krav Kravnr Kravtitel Procedure for styring af administratorers adgang Kravtype K Kravområde Medarbejderes adgang Leverandør skal anvende procedurer styring af administratorers adgang og gennemgå disse rettigheder periodisk. Kravnr Kravtitel Opretholdelse af integritet og fortrolighed Kravtype K Kravområde Funktionsadskillelse Leverandør skal opretholde funktionsadskillelse med det formål at opretholde den krævede integritet og fortrolighed og begrænse muligheden for fejlagtig eller bevidst misbrug af systemer. Dette skal både gælde mellem udviklings-, test- og driftsmiljø og andre miljøer. I den forbindelse skal Leverandøren sikre, at følsomme data ikke kan anvendes i udviklings- og testmiljøer og andre miljøer, med mindre adgangskontrolforanstaltningerne er lige så restriktive, som i driftsmiljøet. Kravnr Kravtitel Håndtering af specielle medarbejdere

17 17 Kravtype K Kravområde Funktionsadskillelse Især skal Leverandøren være opmærksom på håndteringen af medarbejdere, der i kraft af deres faglige kvalifikationer kombineret med adgang til applikationer eller sikkerhedscertifikater, har særligt udvidet adgang til Systemet. Leverandøren skal etablere en funktionsadskillelse for disse medarbejdere, samt etablere maskinelle og manuelle kontroller i og omkring Systemet for at forebygge misbrug eller fejlbetjening. Kunden kan enhver tid kræve dokumentation for funktionsadskillelse hos Leverandøren. Kravnr Kravtitel Review af den tekniske sikkerhedsarkitektur Kravtype K Kravområde Teknisk sikkerhedsarkitektur Leverandøren skal etablere en procedure for periodisk review af den tekniske sikkerhedsarkitektur, samt foretage dette. Kravnr Kravtitel Procedurer omkring logning og monitorering Kravtype K Kravområde Funktionsadskillelse Leverandøren skal etablere procedurer omkring logning og monitorering, således at overvågning, undersøgelser og analyser foretages rettidigt og efter hensigten. 5.2 Fysiske kontrolforanstaltninger Uafhængigt af, om Systemet leveres med brug af cloud-teknologier, er der behov for fysisk sikring af de lokaliteter, hvor Systemet skal driftes. I dette afsnit opstilles krav til kontrollen med sådanne lokaliteter. Kravnr Kravtitel Fysiske kontrolforanstaltninger - risikovurdering Kravtype K Kravområde Fysisk sikkerhed Leverandør skal opbygge og vedligeholde de fysiske kontrolforanstaltninger, som beskytter faciliteter, på baggrund af en risikovurdering.

18 18 Kravnr Kravtitel Fysiske kontrolforanstaltninger Kravtype K Kravområde Fysisk sikkerhed Leverandørens fysiske kontrolforanstaltninger skal omfatte, men ikke være begrænset til, følgende områder: Fysisk adgangskontrol Fysisk adgangskontrolsystem Adgangsstyring til lokaler med forretningskritisk udstyr Adgang til sikre områder og deres funktioner gives udelukkende ud fra et arbejdsbetinget behov. Logning af enhver adgang Overvågning af gæster Indbrudssikring, herunder alarmsystemer Adskillelse mellem Leverandørens informationsbehandlingsudstyr og eventuelle service- og underleverandørers udstyr Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger Et brandsikringsanlæg der bl.a. tager hensyn til omfanget af elektronisk udstyr Overvågning af af- og pålæsningsområder, hvor offentligheden har adgang Udstyr skal placeres så risici for skader og uautoriseret adgang minimeres Udstyr skal sikres mod forsyningssvigt på baggrund af en risikovurdering, der afdækker hvor kritisk udstyret er. Eksempelvis et nødstrømsanlæg, der sikre hurtig og korrekt nedlukning i tilfælde af strømsvigt. Kritiske og følsomme informationer og data skal permanent fjernes (destrueres) og overskrives fra lagringsmedier i forbindelse med bortskaffelse og genbrug Andre sikkerhedsforanstaltninger som er påkrævede i forbindelse med områders klassifikation

19 19 6 Sikkerhed i Projektet For at kunne have tillid til sikkerheden i det leverede System, er der behov for, at sikkerhedshensyn tilgodeses i hele Kontraktperioden, inklusive Projektet. Risici skal identificeres, analyseres og mitigeres så tidligt som muligt, så de bedste løsninger kan implementeres med mindst muligt ressourceforbrug. Kravnr Kravtitel Udvikling og sårbarhedsvurdering Kravtype PK Kravområde Sårbarhedsvurdering Leverandøren skal sikre et højt sikkerhedsniveau i udvikling af Systemet og anvende anerkendte metoder og principper for udvikling af sikre systemer. Et eksempel på en anerkendt udviklingsmetode er NISTs Security Considerations in the Information System Development Life Cycle 1. Leverandørens valg af udviklingsmetoder er dokumenteret i underbilag 16A, med angivelse af, hvordan de er anvendt i projektet, herunder hvordan resultatet af sårbarhedsvurderingen bliver implementeret i udviklingsmetoden. [Tilbudsgiver skal i underbilag 16A dokumentere sit valg af udviklingsmetoder og beskrive, hvordan de valgte udviklingsmetoder er anvendt i projektet, herunder hvordan resultatet af sårbarhedsvurderingen bliver implementeret i udviklingsmetoden.] Kravnr Kravtitel Periodiske risikovurderinger Kravtype PK Kravområde Risikostyring og klassificering Leverandøren skal anvende fastlagte og dokumenterede procedurer for periodiske risikovurderinger, der som minimum inddrager: Sårbarhedsvurderinger Trusselsvurderinger Konsekvensvurderinger Procedurerne er beskrevet i underbilag 16A. [Tilbudsgiver skal i underbilag 16A beskrive de anvendte procedurer] Kravnr Kravtitel Indhold af risikovurderinger Kravtype K Kravområde Risikostyring og klassificering Risikovurderinger og -analyser skal foretages som minimum i forhold til: De uønskede forretningsmæssige konsekvenser Forretningskritiske systemer 1

20 20 Anskaffelser 3. mænds adgang til leverandørs informationsbehandlingssystemer Genetableringsmuligheder Kravnr Kravtitel Overblik over trusler, sårbarheder og uønskede konsekvenser Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal til stadighed vedligeholde et overblik over identificerede trusler, sårbarheder og uønskede konsekvenser ved utilstrækkelig sikring af sikkerhedsområderne (krav 16.1), og at ansvaret for hver enkelt kontrolforanstaltning er entydigt placeret i Leverandørens organisation. Kravnr Kravtitel Håndtering af trusler, sårbarheder og uønskede konsekvenser Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal håndtere de identificerede trusler, sårbarheder og uønskede konsekvenser, og skabe kontrolforanstaltninger i forhold til at sikre sikkerhedsområderne (krav 16.1) med henblik på at reducere mulighed for uønskede konsekvenser. Kravnr Kravtitel Sikkerhedsgodkendelse Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal være indstillet på at sikre, at medarbejdere og ledelse kan sikkerhedsgodkendes i henhold til statens sikkerhedscirkulære 2, hvis de skal arbejde med klassificeret materiale eller tilgår klassificerede områder, som falder ind under denne forpligtigelse. Leverandøren skal i givet fald opretholde nødvendige sikkerhedsgodkendelser i hele kontraktperioden Kravnr Kravtitel Initiel sårbarhedsvurdering Kravtype MK Kravområde Sårbarhedsvurdering Leverandøren skal senest umiddelbart efter den generelle afklaringsfase sammen med Kunden planlægge og gennemføre sårbarhedsvurdering af krav vedrørende de Fastlagte Delleverancer. Resultatet heraf skal anvendes i det videre arbejde. Kunden og Leverandøren skal i fællesskab identificere særligt sårbare krav, således at Leverandøren skal etablere passende modsvarende fysiske, teknologiske eller 2 "Cirkulære vedrørende sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt", CIR nr. 204 af 07/12/ 2001.

Bilag 13, Incitamenter

Bilag 13, Incitamenter Bilag 13, Incitamenter Version Ændringer Dato 2.1 Ændret i: 06-02-2014 - Krav 13.4 fjernet - Krav 13.5 fjernet - Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet til version 3.0 10-02-2014 2 Indholdsfortegnelse

Læs mere

Bilag 18, Revisionsstandard og audit

Bilag 18, Revisionsstandard og audit Bilag 18, Revisionsstandard og audit Version Ændringer Dato 2.1 Ændret i - Punkt 1.1 - Krav 18.3 - Krav 18.5 - Krav 18.6 - Krav 18.9 - Krav 18.10 - Krav 18.11 - Krav 18.12 - Krav 18.14 - Krav 18.16 tilføjet

Læs mere

Bilag 9, Kvalitetssikring

Bilag 9, Kvalitetssikring Bilag 9, Kvalitetssikring Version Ændringer Dato 2.1 Ændret i: 06-02-2014 - Punkt 1 - Punkt 2 - Krav 9.1 - Krav 9.2 - Krav 9.3 - Krav 9.5 - Krav 9.6 - Krav 9.7 - Krav 9.8 - Tilføjet krav 9.14 - Tilføjet

Læs mere

Bilag 17, Forpligtelser ved ophør

Bilag 17, Forpligtelser ved ophør Bilag 17, Forpligtelser ved ophør Version Ændringer Dato 2.1 Rettet i: 06-02-2014 - Punkt 1 - Punkt 2 - Krav 17.1 - Krav 17.2 - Krav 17.3 - Krav 17.5 - Krav 17.6 - Krav 17.7 - Krav 17.8 - Krav 17.11 -

Læs mere

Bilag 19, Samfundsansvar

Bilag 19, Samfundsansvar Bilag 19, Samfundsansvar Version Ændringer Dato 2.1 Korrektur: 06-02-2014 - Afsnit ændret til Punkt - Digitaliseringsstyrelsen ændret til Kunden - Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

UDBUDSBETINGELSER. for. Etablering, drift, vedligeholdelse og videreudvikling af den Fællesoffentlige Datafordeler

UDBUDSBETINGELSER. for. Etablering, drift, vedligeholdelse og videreudvikling af den Fællesoffentlige Datafordeler 1 UDBUDSBETINGELSER for Etablering, drift, vedligeholdelse og videreudvikling af den Fællesoffentlige Datafordeler Version Ændringer Dato 1.0 Første udsendte version 14-06-2013 1.1 Punkt 5.2, afsnit Afgivelse

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Bilag 7: Aftale om drift

Bilag 7: Aftale om drift Bilag 7: Aftale om drift Udbud af E-rekrutteringssystem Aftale om drift mellem REGION SYDDANMARK (i det følgende kaldet Kunden ) og Bilag 7 Aftale om drift 3 7.1 Indledning

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

Bilag 11 Ændringshåndtering

Bilag 11 Ændringshåndtering Bilag 11 Ændringshåndtering Version 1.0 04-07-2014 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 2 2 INDLEDNING... 3 3 TYPER AF ÆNDRINGER... 3 4 GENERELT... 3 5 ATP S FREMSÆTTELSE AF ÆNDRINGSANMODNINGER...

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Bilag 1 Tidsplan Version 0.9 05-05-2014 0

Bilag 1 Tidsplan Version 0.9 05-05-2014 0 Bilag 1 Tidsplan Version 0.9 05-05-2014 0 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 2 2 INDLEDNING... 3 2.1 ETAPER I UDVIKLINGSPROJEKTET... 3 2.1.1 ETAPE I - AFKLARING... 3 2.1.2 ETAPE II ANALYSE, DESIGN,

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 12 - Ændringshåndtering

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 12 - Ændringshåndtering Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet Bilag 12 - Ændringshåndtering 12.05.2016 Version 1.0 [Vejledning til tilbudsgiver: Bilaget er i sin helhed at betragte som et mindstekrav

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten . spe. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten Nedenstående er opdelt i to afsnit. Første afsnit indeholder bestemmelser, der forventes indarbejdet i Samarbejdsbilaget. Andet

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

Guide til implementering af ISO27001

Guide til implementering af ISO27001 Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen

Læs mere

Bilag 11, Samarbejdsorganisation og metode

Bilag 11, Samarbejdsorganisation og metode Bilag 11, Samarbejdsorganisation og metode Version Ændringer Dato 2.1 Ændret i 06-02-2014 - Vejledning til udfyldelse - Henvisninger til underbilag - Tabel 1 - Tabel 2 - Tabel 3 - Punkt 1.1 - Punkt 3.1

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden

Læs mere

Underbilag 14 C: Afprøvningsforskrifter til prøver og tests

Underbilag 14 C: Afprøvningsforskrifter til prøver og tests Underbilag 14 C: Afprøvningsforskrifter til prøver tests Udbud om levering, installation, implementering, support, drift vedligehold af Borgeradministrativt System (BAS) Indhold underbilag 14 C Afprøvningsforskrifter

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser

Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser [Vejledning til Leverandør i forbindelse med afgivelse af tilbud Dette bilag indeholder Kundens krav til Leverandørens drift-, support og vedligeholdelsesydelser.

Læs mere

Lovtidende A Udgivet den 3. juni Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) 1. juni Nr. 567.

Lovtidende A Udgivet den 3. juni Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) 1. juni Nr. 567. Lovtidende A 2016 Udgivet den 3. juni 2016 1. juni 2016. Nr. 567. Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) I medfør af 3, stk. 1 og 3, 5, stk. 1 og 2, og 14, stk. 2, i

Læs mere

Bilag 18 Projektaftale Skabelon

Bilag 18 Projektaftale Skabelon Version 0.9 23-02-2015 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 2 2 PROJEKTBESTILLING... 3 3 FORMÅL... 4 4 FRAVIGELSER FRA PROJEKTVILKÅRENE... 5 5 PRIS... 6 5.1 BEREGNINGSMODEL... 6 6 DATO FOR FÆRDIGGØRELSE...

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Bilag 12, Vederlag og betalingsplan

Bilag 12, Vederlag og betalingsplan Bilag 12, Vederlag og betalingsplan Version Ændringer Dato 2.1 Ændret i 06-02-2014 - Punkt 1.2 - Punkt 2 - Punkt 4 - Punkt 4.1 - Punkt 4.2 - Punkt 4.3 - Punkt 5 - Krav 12.2 - Krav 12.3 - Krav 12.4 - Krav

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

Bilag 18 Projektaftale Skabelon

Bilag 18 Projektaftale Skabelon Bilag 18 Projektaftale Skabelon Version 1.0 27-04-2015 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 3 2 PROJEKTBESTILLING... 4 3 FORMÅL... 5 4 FRAVIGELSER FRA PROJEKTVILKÅRENE... 6 5 PRIS... 7 5.1 BEREGNINGSMODEL...

Læs mere

Hvordan styrer vi leverandørerne?

Hvordan styrer vi leverandørerne? Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren

Læs mere

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1)

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) BEK nr 567 af 01/06/2016 (Gældende) Udskriftsdato: 15. januar 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., Center for Cybersikkerhed, j.nr. 2015/002263 Senere ændringer til forskriften

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Udbud af foranalyse, levering, vedligeholdelse og videreudvikling af en løsning til identitets- og rettighedsstyring

Udbud af foranalyse, levering, vedligeholdelse og videreudvikling af en løsning til identitets- og rettighedsstyring Spørgsmål og svar II Udbud af foranalyse, levering, vedligeholdelse og videreudvikling af en løsning til identitets- og rettighedsstyring Aalborg Universitet Spørgsmål 1 Henvisning: Bilag 3 kravspecifikation

Læs mere

Besvarelse af spørgsmål til udbudsmateriale om levering af videreudvikling af porteføljestyringssystem, annonceret via udbud.dk d. 8. oktober 2014.

Besvarelse af spørgsmål til udbudsmateriale om levering af videreudvikling af porteføljestyringssystem, annonceret via udbud.dk d. 8. oktober 2014. Spørgsmål og svar Besvarelse af spørgsmål til udbudsmateriale om levering af videreudvikling af porteføljestyringssystem, annonceret via udbud.dk d. 8. oktober 2014. Spg. 1 Bilag 3: Bilag 3 skal i flg.

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere