Bilag 16, Sikkerhedsprocedurer
|
|
- Viggo Larsen
- 8 år siden
- Visninger:
Transkript
1 Bilag 16, Sikkerhedsprocedurer Version Ændringer Dato 2.1 Ændret i - Punkt Punkt 2 - Punkt 8 - Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav fjernet - Krav Krav fjernet - Krav Krav Krav Krav Krav
2 - Krav Krav Krav fjernet - Krav Krav Krav Krav Krav Krav Krav Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet til version
3 3 Indholdsfortegnelse Indholdsfortegnelse... 3 Vejledning til udfyldelse Indledning Underbilag Sikkerhedsmæssig risikovurdering for Fællesoffentlig Datafordeler Effektområder Fortrolighed Tilgængelighed: Integritet: Trusler Nedbrud af udstyr Nedbrud af programmel Menneskelige fejl Udefrakommende angreb på Datafordeler, fx DDoS eller uautoriseret adgang Indefra kommende angreb på Datafordeler (Misbrug) Udefrakommende angreb på Registermyndigheder Indefra kommende angreb på Registermyndigheder Generelle forhold Anvendelse af sikkerhedsstandard Sikkerhed i organisationen Sikkerhedshændelser Fysiske kontrolforanstaltninger Sikkerhed i Projektet Sikkerhed i Systemet Sikker drift af Systemet Backup Beredskab Complianceskema... 28
4 4 Vejledning til udfyldelse De behov, som tilbuddet skal dække, er klassificeret og beskrevet som krav. Alle krav er indsat i en kravskabelon, hvor selve kravet fremgår af feltet. Kravtitel og Kravområde er vejledende information til tilbudsgiver som har til formål at danne grundlag for en logisk gruppering af krav. I feltet Delleverance angives vejledende, hvilken eller hvilke bestemte Delleverancer eller Optioner, kravet vedrører. For krav som vedrører alle dele af Projektet angives ingen værdi i feltet Delleverance. Kravtypen kan antage en af følgende værdier: Kravtype Markering af kravtype Betydning Mindstekrav Værdi: MK Mindstekrav skal opfyldes uden forbehold for, at et tilbud kan være konditionsmæssigt Prioriteret krav Værdi: PK Prioriterede krav har stor betydning for opfyldelse af de forretningsmæssige mål, og tillægges derfor særlig vægt ved vurdering af de afgivne tilbud. Krav Værdi: K Almindelige krav, som bidrager til opfyldelse af de forretningsmæssige mål. Tilbudsgiver kan angive alternative forslag til disse krav i form af forbehold. For krav som stilles til Agile Delleverancer, angives i feltet Agil kravtype, om kravet er et Absolut Krav eller et Øvrige Krav som defineret i Bilag 0. Alle krav er nummereret på 2. niveau, med foranstillet bilagsnummer, jf. nedenstående eksempel: Kravnr. 1.1 Kravtitel Eksempel på krav Kravtype K Kravområde Eksempel Agil kravtype Øvrige krav Delleverance Leverandøren skal tage dette krav til efterretning Vejledende tekst i bilag
5 5 I bilagene er der imellem de konkrete krav visse steder indføjet vejledende tekst. Vejledende tekst er unummereret generel tekst til tilbudsgivers orientering. Dette illustreres med følgende eksempel: Dette bilag indeholder Kundens specifikation af krav til Systemets funktion og virkemåde. Tilbudsgivers løsningsbeskrivelse Tekst omgivet af firkantede parenteser og angivet med fed og kursiv skrift er vejledende tekst til tilbudsgiver om, hvad tilbudsgiver med egne ord skal beskrive i tilbuddet. Dette illustreres med følgende eksempel: [Tilbudsgiver beskriver opfyldelsen af kravet i underbilag X.X.] Angivelse af kravsopfyldelse Alle bilag, som indeholder krav til Leverandøren, afsluttes med et complianceskema, hvor tilbudsgiver skal angive hvilke krav, der opfyldes af det afgivne tilbud, og om der er taget forbehold i form af ændring af kravteksten. Ved udfyldelsen af complianceskemaerne placeret sidst i bilaget skal tilbudsgiver for hvert krav angive med afkrydsning, om kravet er opfyldt, om kravet er opfyldt med forbehold i form af ændret kravtekst, eller om kravet ikke er opfyldt. Eksempel på udfyldt complianceskema: Krav nr. Kravet er opfyldt Kravet er opfyldt med forbehold i form af ændret kravtekst Kravet er ikke opfyldt Delkriterie 1.1 X Tidsplan 1.2 X Tidsplan 1.3 X Tidsplan 1.4 X Såfremt et krav er opfyldt uden forbehold skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og Kravet er opfyldt. Mindstekrav er i complianceskemaerne markeret med grå og er på forhånd afkrydset i kolonnen "Kravet er opfyldt", idet enhver anden afkrydsning fører til, at tilbuddet er ukonditionsmæssigt. Såfremt tilbudsgiver tager forbehold til et krav, der ikke er et mindstekrav, indarbejdes forbeholdet direkte i kravteksten som en ændring af denne. Ændringen skal være markeret med ændringsmarkering. Der
6 6 sættes herudover kryds i complianceskemaet ud for det aktuelle kravnummer i kolonnen Kravet er opfyldt med forbehold i form af ændret kravtekst. Der kan herudover henvises til evt. yderligere bilagsmateriale/dokumentation, der er vedlagt tilbuddet. Såfremt tilbudsgiver vil angive at et krav ikke er opfyldt, skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og i kolonnen Kravet er ikke opfyldt. I complianceskemaets højre kolonne fremgår det, hvilket delkriterie, jf. udbudsbetingelsernes punkt 4, det pågældende krav er relateret til.
7 7 1 Indledning I dette bilag opstilles Kundens krav til Leverandørens håndtering af de sikkerhedsmæssige forhold på det proceduremæssige og det organisatoriske område. Der henvises i øvrigt til - bilag 3 Leverancebeskrivelse med Kravspecifikation og Løsningsbeskrivelse, som indeholder tekniske sikkerhedskrav til Systemet. - bilag 7 Servicemål, som indeholder krav til retableringstider. - bilag 10 Ændringshåndtering, som indeholder krav til procedurer ved ændringer i Systemet. - bilag 11 Samarbejdsorganisation, som indeholder krav til samarbejdet mellem Leverandøren og Kunden. - bilag 18 Revisionsstandard og Audit, som indeholder krav vedrørende revision og eksterne audits Der stilles krav til sikkerheden i Leverandørens organisation, i Projektet samt i det leverede System. Udover kravene i dette bilag er de til enhver tid gældende retningslinjer i Finansministeriets (FM) informationssikkerhedspolitik (underbilag 16D) og FM informationssikkerhedsstrategi (underbilag 16E) gældende for Datafordeleren i det omfang, det er relevant. Yderligere informationer om DS 484:2005 fås på Dansk Standards hjemmeside: Yderligere informationer om standarderne i ISO/IEC serien fås på ISO s hjemmeside: Underbilag Dette bilag har følgende underbilag: - Underbilag 16A Sikkerhed - Underbilag 16B - UDGÅET - Underbilag 16C Sikkerhedsplan - Underbilag 16D FMs Informationssikkerhedspolitik - Underbilag 16E FMs Informationssikkerhedsstrategi 2 Sikkerhedsmæssig risikovurdering for Fællesoffentlig Datafordeler I det følgende opsamles overordnede overvejelser omkring den sikkerhedsmæssige risikovurdering for den fællesoffentlige Datafordeler. Som udgangspunkt skal Datafordeleren levere et tilsvarende sikkerhedsniveau, som i dag leveres fra henholdsvis CVR, CPR, Kortforsyningen og OIS/AWS. Men sammenlægningen af distributionen giver også anledningen til en samlet overordnet sikkerhedsmæssig risikovurdering af den samlede løsning, herunder også en vurdering ift. de særlige risici, som gør sig gældende netop ved at distributionsløsningerne samles. 2.1 Effektområder I det følgende beskrives de enkelte effektområder for Datafordeleren, herunder konsekvensvurdering af eventuelle sikkerhedsbrud.
8 Fortrolighed Datafordeleren kommer til at distribuere data fra forskellige registre med forskellige fortrolighedsniveauer. Det fordre at alle data som distribueres via Datafordeleren kategoriseres i følgende kategorier: Private og følsomme Personhenførebare data (medlemsskab af Folkekirken er registreret i CPR) Personhenførbare data (alle øvrige CPR-data, en række registre fra OIS, visse informationer fra CVR) Ikke personhenførbare data (En række registre fra OIS, alle Kortforsyningens registre, de fleste informationer fra CVR) Som private og følsomme personhenførbare data betragtes oplysninger om racemæssig eller etnisk baggrund politisk, religiøs eller filosofisk overbevisning fagforeningsmæssige tilhørsforhold oplysninger om helbredsmæssige og seksuelle forhold strafbare forhold væsentlige sociale problemer og andre rent private forhold Den eneste af ovennævnte type oplysninger, der forekommer i Registrene, er registreringen i CPR af medlemskab af Folkekirken, idet denne oplysning vedrører de registreredes religiøse overbevisning. Datafordeleren som udgangspunkt skal levere det fortrolighedsniveau, som registermyndigheder stiller krav om, og for alle data som distribueres gælder det, at data kun kan videregives til en part (myndighed, virksomhed eller privat person), som forudgående har indgået aftale om at få adgang til data. En part skal altså ikke kunne modtage data, med mindre denne part er oprettet som bruger på Datafordeleren. Data som klassificeres som personlige eller personhenførbare har en høj fortrolighed, og distribution via Datafordeleren skal overholde Persondataloven, herunder krigsreglen, både i forhold til opbevaring og distribution af disse data. Brud på fortrolighed vurderes som værende Graverende og/eller ødelæggende, da en del Grunddata er følsomme personoplysninger og da Registrene opkræver betaling for visse data fra Datafordeleren Tilgængelighed: Selvom et af de væsentligste succeskriterier for Datafordeleren er at sikre en høj tilgængelighed af data på tværs af eksisterende registre, så vurderes integritet og fortrolighed højere. Det vil sige at hvis der er mistanke om at fortroligheden eller integriteten af data er kompromitteret, så kan det medføre at det besluttes midlertidigt at lukke for distributionen af data. Brud på tilgængelighed vurderes som værende alvorlig, stigende til meget alvorlig ved nedbrud på over 30 minutter, til graverende og/eller ødelæggende ved nedbrud på få dage, da data fra Datafordeleren fx er nødvendige for registreringer og myndighedsafgørelser Integritet: Datafordeleren skal konstrueres på en måde, så der kan sikres dataintegritet fra data afsendes fra Registeret til Dataanvender modtager data. Det stiller følgende krav til Datafordeleren: Der stilles krav om krypterede kanaler mellem registermyndigheder og Datafordeler
9 9 Der tilbydes krypterede kanaler mellem Datafordeler og dataanvender Data i Datafordeleren skal sikres mod forvanskning Brud på integritet vurderes som værende Graverende og/eller ødelæggende, da data fra Datafordeleren fx er grundlag for myndighedsafgørelser. 2.2 Trusler I det følgende opgøres trusselsbilledet for Datafordeleren på følgende måde. Truslen angives i overskrift, hvorefter indflydelse på effektområde angives Nedbrud af udstyr Truer først og fremmest tilgængeligheden, men kan i specielle tilfælde også have indflydelse på integritet og fortrolighed. Håndtering: Systemet overvåges og vedligeholdes løbende. Redundans anvendes hvor dette er muligt Nedbrud af programmel Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Systemet overvåges og vedligeholdes løbende. Redundans anvendes hvor dette er muligt. Metoder til sikker udvikling anvendes for at minimere fejlkilder i programmel Menneskelige fejl Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Administratorer uddannes og alle handlinger logges. Der etableres procedurer for roll back Udefrakommende angreb på Datafordeler, fx DDoS eller uautoriseret adgang Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Der etableres foranstaltninger såsom firewalls, IPS/IDS og brugerstyring ligesom Leverandøren samarbejder med ISP for at modvirke DoS-angreb Indefra kommende angreb på Datafordeler (Misbrug) Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Brugerrettigheder for alle brugere, herunder Administratorer, skal begrænses til det, de har behov for at kunne udføre deres rollespecifikke opgaver. Al adgang til Systemet logges og overvåges Udefrakommende angreb på Registermyndigheder Truer først og fremmest integritet, men kan også true tilgængeligheden, hvis det af den vej lykkedes at lægge Datafordeleren ned. Håndtering: Det skal være muligt at rulle Grunddata i Datafordeleren tilbage til en tidligere version, hvis dataintegriteten er blevet kompromitteret af angreb på Registermyndighed.
10 Indefra kommende angreb på Registermyndigheder Truer først og fremmest integritet, men kan også true tilgængeligheden, hvis det af den vej lykkedes at lægge Datafordeleren ned. Håndtering: Det skal være muligt at rulle Grunddata i Datafordeleren tilbage til en tidligere version, hvis dataintegriteten er blevet kompromitteret af angreb på Registermyndighed. 3 Generelle forhold Kravnr Kravtitel Sikkerhedsområder Kravtype MK Kravområde Generelle forhold De samlede implementerede sikringsforanstaltninger vedrørende informationssikkerheden skal sikre nedenstående effekter som beskrevet i Punkt 2.1: Integritet Fortrolighed Tilgængelighed Leverandøren skal løbende og for egne midler holde sig orienteret om Best Practice inden for disse sikkerhedsområder. Kravnr Kravtitel Sikkerhedsniveau Kravtype MK Kravområde Generelle forhold Sikkerhedsniveauet i Systemet skal være højt i enhver henseende og skal være indbygget i Systemets design fra starten. Det generelle sikkerhedsniveau skal være højt, og det skal være særdeles vanskeligt for eksterne hackere så vel som interne medarbejdere hos Leverandøren at kompromittere sikkerhedskontrollerne. Sikkerhedskontroller og det organisatoriske setup skal reflektere, at Datafordeleren er et meget kritisk system og sikkerhedsbrud kan potentielt have store uønskede konsekvenser. Den høje sikkerhed skal sikres i design, implementering og drift og i alle tilfælde leve op til eller overgå god sikkerhedspraksis. Sikkerheden bør fundamentalt set reflektere, at integritet er vigtigere end tilgængelighed eller fortrolighed. Kravnr Kravtitel Vedholdende sikkerhedsoptimering Kravtype MK Kravområde Generelle forhold Leverandøren skal i hele Kontraktperioden som en del af Driftsydelsen kontinuerligt evaluere og optimere Systemets sikkerhedsniveau, så de til enhver tid forudseelige trusler imødegås.
11 11 Kravnr Kravtitel Periode for kravsopfyldelse Kravtype MK Kravområde Generelle forhold Alle krav i dette bilag, herunder krav som er påkrævet implementeret inden udløb af afklaringsfasen, skal være opfyldt i hele kontraktperioden, med mindre, der eksplicit er angivet en anden opfyldelsesperiode. Kravnr Kravtitel Sikkerhedsaudit Kravtype MK Kravområde Generelle forhold Kunden forbeholder sig retten til at afholde sikkerhedsaudit under hele udviklings- og driftsfasen i overensstemmelse med beskrivelsen af sikkerhedsaudit i bilag Anvendelse af sikkerhedsstandard Det er obligatorisk for it-projekter og it-systemer i Staten at overholde en af sikkerhedsstandarderne DS 484:2005 eller ISO 27001:2005. Leverandøren skal derfor redegøre for, hvilken sikkerhedsstandard, der anvendes, og hvordan denne er implementeret. Kravnr Kravtitel Sikkerhedsstandard for Leverandørens egne forhold Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Leverandørens organisation. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Leverandørens organisation] Kravnr Kravtitel Sikkerhedsstandard for Projektet Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som påtænkes anvendt i tilrettelæggelsen af sikkerhedsprocedurer i Projektet. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i
12 12 tilrettelæggelsen af sikkerhedsprocedurer i Projektet] Kravnr Kravtitel Sikkerhedsstandard for Systemet Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som påtænkes anvendt i tilrettelæggelsen af sikkerhedsprocedurer i Systemet under såvel etablering som Drift. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Systemet] Kravnr Kravtitel Angivelse af anvendte dele af sikkerhedsstandard Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A for hvert af de tre perspektiver organisation, Projekt og System - beskrevet, hvilken dele af den anvendte sikkerhedstandard, der er relevante i Kontraktens sammenhæng. Dette kan dokumenteres i form af Statement of Applicability (SOA) som defineret i ISO 27001:2005, eller hvis en sådan ikke er udarbejdet, en tilsvarende redegørelse for de implementerede kontroller og deres relevans. [I underbilag 16A angives for hvert af de tre perspektiver organisation, Projekt og System, hvilke dele af den anvendte sikkerhedstandard, der er relevante i Kontraktens sammenhæng] 5 Sikkerhed i organisationen Sikkerhed skal håndteres på flere niveauer, og det er en forudsætning for at kunne deltage i et sikkert Projekt som leverer et sikkert System, at sikkerheden i Leverandørens organisation også håndteres forsvarligt. Kravnr Kravtitel Ansvar placeret i ledelsen Kravtype K Kravområde Sikkerhedsorganisation Leverandør skal udpege et ansvarligt medlem af ledelsen, som skal være den overordnede ansvarlige for opfyldelsen af alle aftalte krav til sikkerheden i hele Kontraktperioden. Den sikkerhedsansvarlige er ansvarlig for gennemførelse af sikkerhedsprøver
13 13 opretholdelse af det aftalte sikkerhedsniveau rapportering til Kunden vedrørende sikkerhedsspørgsmål Kravnr Kravtitel Kompetencekrav til Leverandørens Sikkerhedsansvarlige Kravtype PK Kravområde Sikkerhedsorganisation Leverandørens sikkerhedsansvarlige skal som minimum have de nedenstående kompetencer: o Stor praktisk erfaring med sikring af it-systemer og håndtering af sikkerhedssystemer. o Sikkerhedscertificeret, eksempelvis i CISSP/CISM eller tilsvarende o Kendskab og/eller erfaring med relevante teknologier i forhold til den aftalte Platform. CV angives i bilag 11 i overensstemmelse med krav Kravnr Kravtitel Erfarne ressourcer Kravtype MK Kravområde Sikkerhedsorganisation Leverandøren skal dedikere tilstrækkelige og erfarne ressourcer til arbejdet med informationssikkerhed. Erfaringer kan med fordel underbygges med sikkerhedscertificeringer såsom CISSP eller CISM. Kravnr Kravtitel Sikkerhedsansvarlig i samarbejdsorganisationen Kravtype K Kravområde Sikkerhedsorganisation Leverandøren skal tilknytte den sikkerhedsansvarlige til samarbejdsorganisationen, jf. bilag 11, med henblik på koordinering af sikkerheden i udviklingsfasen og den daglige drift. Personen skal fungere som den primære kommunikationskanal (single-point-ofcontact) og har ansvaret for at sikkerhedsrelaterede hændelser/issues formidles til Kundens sikkerhedsansvarlige kontaktperson. Kravnr Kravtitel Dokumenteret sikkerhedspolitik Kravtype PK Kravområde Sikkerhedspolitik Leverandør skal have en dokumenteret sikkerhedspolitik. Politikken skal være godkendt af den øverste ledelse og implementeret i organisationen.
14 14 Kravnr Kravtitel Retningslinjer og procedurer Kravtype K Kravområde Sikkerhedshåndbog Som en del af sikkerhedspolitikken skal Leverandøren vedligeholde retningslinjer (beskrivelse af procedurer), der dækker: Sikkerhedsorganisationen Roller og ansvar Awareness Sikkerhedsgodkendelser Overvågning og eskalering Beredskabsplaner System og netværksdokumentation Systemer, tjenester og informationer der må tilgås fra hjemmearbejdspladser Kravnr Kravtitel Udlevering af materiale Kravtype K Kravområde Sikkerhedsstyring Leverandørens samlede materiale (evt. samlet i en sikkerhedshåndbog) i henhold til krav skal udleveres til Kunden på forlangende f.eks. ved audits. Kravnr Kravtitel Compliance Kravtype K Kravområde Sikkerhedsorganisation Leverandøren skal etablere aktiviteter, der sikrer compliance i forhold til regulative krav, standarder og 3. mands sikkerhedskrav. Kravnr Kravtitel Kun autoriseret udstyr Kravtype K Kravområde Funktionsadskillelse Leverandøren skal sikre, at kun autoriseret udstyr, det vil sige udstyr godkendt i forhold til den af Leverandøren anvendte sikkerhedsstandard, må have adgang til Leverandørens interne netværk og telekommunikationslinjer for at sikre, at Leverandørens sikkerhedsniveau ikke kompromitteres. Kravnr Kravtitel Krav til underleverandører Kravtype K Kravområde 3. mands adgang Leverandør skal sikre, at væsentlige underleverandører også efterlever kravene til sikkerhed og beredskabsplanlægning.
15 15 Kravnr Kravtitel Register over 3. mænds systemer og netværk Kravtype MK Kravområde 3. mands adgang Leverandør skal etablere og vedligeholde et opdateret register over 3. mænds systemer og netværk, der direkte er integreret med Leverandørens infrastruktur. Indholdet af registeret kan stilles til rådighed for Kunden på forlangende, f.eks. ved audit. 5.1 Sikkerhedshændelser Kravnr Kravtitel Kategorisering som sikkerhedshændelse Kravtype K Kravområde Sikkerhedshændelser Enhver ikke-planlagt/ikke-aftalt afvigelse fra servicemål, eller hændelse i øvrigt, som forringer mindst et af de angivne sikkerhedsområder for dele eller hele af Systemet, defineres som en sikkerhedshændelse, og skal behandles som en sådan. Sikkerhedsområderne er: - Fortrolighed - Integritet - Tilgængelighed - Autentifikation - Sporbarhed Kravnr Kravtitel Procedure for registrering og logning af sikkerhedshændelser Kravtype K Kravområde Sikkerhedshændelser Leverandøren skal udarbejde procedurer for registrering, logning og kommunikation af alle sikkerhedshændelser, herunder potentielle sikkerhedshændelser, i overensstemmelse med krav i bilag 7, bilag 6 og bilag 8. Kravnr Kravtitel Afrapportering ved sikkerhedshændelser Kravtype MK Kravområde Sikkerhedshændelser Leverandøren skal, i tillæg til den i Bilag 8 kravsatte driftsrapportering, afrapportere af sikkerhedshændelser til Leverandørens sikkerhedsansvarlige og eventuelt styregruppe jf. Bilag 11, og at rapporterne som minimum indeholder: En beskrivelse af hændelsen Hvem var involveret Hvad blev der gjort Resultatet af udførte log-undersøgelse og analyse Læringspunkter Fremadrettede anbefalinger
16 16 Kravnr Kravtitel Kommunikation til Kunden Kravtype MK Kravområde Sikkerhedshændelser Leverandøren skal kommunikere sikkerhedshændelser til Kunden, og hvis Kunden finder det relevant, kan sikkerhedshændelser kommunikeres til eksterne aktører. Kravnr Kravtitel Erfaringsopsamling Kravtype K Kravområde Sikkerhedshændelser Leverandør skal etablere foranstaltninger, som sikrer, at sikkerhedshændelser indgår i en erfaringsopsamlingsproces og videreføres til alle relevante dele af den organisation, Leverandøren har til rådighed. Kravnr Kravtitel Politikker for medarbejderes adgang Kravtype K Kravområde Medarbejderes adgang Leverandøren skal etablere politikker for styring af Leverandørens medarbejderes adgang til Systemet og de deri lagrede Grunddata, således at kun medarbejdere med et dokumenteret, arbejdsbetinget behov får adgang. Leverandør skal derfor beskrive: Oprettelse, ændringer og nedlæggelsesprocedurer for medarbejderes adgang til Systemet Retningslinjer for implementering af funktionsadskillelse i henhold til krav Kravnr Kravtitel Procedure for styring af administratorers adgang Kravtype K Kravområde Medarbejderes adgang Leverandør skal anvende procedurer styring af administratorers adgang og gennemgå disse rettigheder periodisk. Kravnr Kravtitel Opretholdelse af integritet og fortrolighed Kravtype K Kravområde Funktionsadskillelse Leverandør skal opretholde funktionsadskillelse med det formål at opretholde den krævede integritet og fortrolighed og begrænse muligheden for fejlagtig eller bevidst misbrug af systemer. Dette skal både gælde mellem udviklings-, test- og driftsmiljø og andre miljøer. I den forbindelse skal Leverandøren sikre, at følsomme data ikke kan anvendes i udviklings- og testmiljøer og andre miljøer, med mindre adgangskontrolforanstaltningerne er lige så restriktive, som i driftsmiljøet. Kravnr Kravtitel Håndtering af specielle medarbejdere
17 17 Kravtype K Kravområde Funktionsadskillelse Især skal Leverandøren være opmærksom på håndteringen af medarbejdere, der i kraft af deres faglige kvalifikationer kombineret med adgang til applikationer eller sikkerhedscertifikater, har særligt udvidet adgang til Systemet. Leverandøren skal etablere en funktionsadskillelse for disse medarbejdere, samt etablere maskinelle og manuelle kontroller i og omkring Systemet for at forebygge misbrug eller fejlbetjening. Kunden kan enhver tid kræve dokumentation for funktionsadskillelse hos Leverandøren. Kravnr Kravtitel Review af den tekniske sikkerhedsarkitektur Kravtype K Kravområde Teknisk sikkerhedsarkitektur Leverandøren skal etablere en procedure for periodisk review af den tekniske sikkerhedsarkitektur, samt foretage dette. Kravnr Kravtitel Procedurer omkring logning og monitorering Kravtype K Kravområde Funktionsadskillelse Leverandøren skal etablere procedurer omkring logning og monitorering, således at overvågning, undersøgelser og analyser foretages rettidigt og efter hensigten. 5.2 Fysiske kontrolforanstaltninger Uafhængigt af, om Systemet leveres med brug af cloud-teknologier, er der behov for fysisk sikring af de lokaliteter, hvor Systemet skal driftes. I dette afsnit opstilles krav til kontrollen med sådanne lokaliteter. Kravnr Kravtitel Fysiske kontrolforanstaltninger - risikovurdering Kravtype K Kravområde Fysisk sikkerhed Leverandør skal opbygge og vedligeholde de fysiske kontrolforanstaltninger, som beskytter faciliteter, på baggrund af en risikovurdering.
18 18 Kravnr Kravtitel Fysiske kontrolforanstaltninger Kravtype K Kravområde Fysisk sikkerhed Leverandørens fysiske kontrolforanstaltninger skal omfatte, men ikke være begrænset til, følgende områder: Fysisk adgangskontrol Fysisk adgangskontrolsystem Adgangsstyring til lokaler med forretningskritisk udstyr Adgang til sikre områder og deres funktioner gives udelukkende ud fra et arbejdsbetinget behov. Logning af enhver adgang Overvågning af gæster Indbrudssikring, herunder alarmsystemer Adskillelse mellem Leverandørens informationsbehandlingsudstyr og eventuelle service- og underleverandørers udstyr Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger Et brandsikringsanlæg der bl.a. tager hensyn til omfanget af elektronisk udstyr Overvågning af af- og pålæsningsområder, hvor offentligheden har adgang Udstyr skal placeres så risici for skader og uautoriseret adgang minimeres Udstyr skal sikres mod forsyningssvigt på baggrund af en risikovurdering, der afdækker hvor kritisk udstyret er. Eksempelvis et nødstrømsanlæg, der sikre hurtig og korrekt nedlukning i tilfælde af strømsvigt. Kritiske og følsomme informationer og data skal permanent fjernes (destrueres) og overskrives fra lagringsmedier i forbindelse med bortskaffelse og genbrug Andre sikkerhedsforanstaltninger som er påkrævede i forbindelse med områders klassifikation
19 19 6 Sikkerhed i Projektet For at kunne have tillid til sikkerheden i det leverede System, er der behov for, at sikkerhedshensyn tilgodeses i hele Kontraktperioden, inklusive Projektet. Risici skal identificeres, analyseres og mitigeres så tidligt som muligt, så de bedste løsninger kan implementeres med mindst muligt ressourceforbrug. Kravnr Kravtitel Udvikling og sårbarhedsvurdering Kravtype PK Kravområde Sårbarhedsvurdering Leverandøren skal sikre et højt sikkerhedsniveau i udvikling af Systemet og anvende anerkendte metoder og principper for udvikling af sikre systemer. Et eksempel på en anerkendt udviklingsmetode er NISTs Security Considerations in the Information System Development Life Cycle 1. Leverandørens valg af udviklingsmetoder er dokumenteret i underbilag 16A, med angivelse af, hvordan de er anvendt i projektet, herunder hvordan resultatet af sårbarhedsvurderingen bliver implementeret i udviklingsmetoden. [Tilbudsgiver skal i underbilag 16A dokumentere sit valg af udviklingsmetoder og beskrive, hvordan de valgte udviklingsmetoder er anvendt i projektet, herunder hvordan resultatet af sårbarhedsvurderingen bliver implementeret i udviklingsmetoden.] Kravnr Kravtitel Periodiske risikovurderinger Kravtype PK Kravområde Risikostyring og klassificering Leverandøren skal anvende fastlagte og dokumenterede procedurer for periodiske risikovurderinger, der som minimum inddrager: Sårbarhedsvurderinger Trusselsvurderinger Konsekvensvurderinger Procedurerne er beskrevet i underbilag 16A. [Tilbudsgiver skal i underbilag 16A beskrive de anvendte procedurer] Kravnr Kravtitel Indhold af risikovurderinger Kravtype K Kravområde Risikostyring og klassificering Risikovurderinger og -analyser skal foretages som minimum i forhold til: De uønskede forretningsmæssige konsekvenser Forretningskritiske systemer 1
20 20 Anskaffelser 3. mænds adgang til leverandørs informationsbehandlingssystemer Genetableringsmuligheder Kravnr Kravtitel Overblik over trusler, sårbarheder og uønskede konsekvenser Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal til stadighed vedligeholde et overblik over identificerede trusler, sårbarheder og uønskede konsekvenser ved utilstrækkelig sikring af sikkerhedsområderne (krav 16.1), og at ansvaret for hver enkelt kontrolforanstaltning er entydigt placeret i Leverandørens organisation. Kravnr Kravtitel Håndtering af trusler, sårbarheder og uønskede konsekvenser Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal håndtere de identificerede trusler, sårbarheder og uønskede konsekvenser, og skabe kontrolforanstaltninger i forhold til at sikre sikkerhedsområderne (krav 16.1) med henblik på at reducere mulighed for uønskede konsekvenser. Kravnr Kravtitel Sikkerhedsgodkendelse Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal være indstillet på at sikre, at medarbejdere og ledelse kan sikkerhedsgodkendes i henhold til statens sikkerhedscirkulære 2, hvis de skal arbejde med klassificeret materiale eller tilgår klassificerede områder, som falder ind under denne forpligtigelse. Leverandøren skal i givet fald opretholde nødvendige sikkerhedsgodkendelser i hele kontraktperioden Kravnr Kravtitel Initiel sårbarhedsvurdering Kravtype MK Kravområde Sårbarhedsvurdering Leverandøren skal senest umiddelbart efter den generelle afklaringsfase sammen med Kunden planlægge og gennemføre sårbarhedsvurdering af krav vedrørende de Fastlagte Delleverancer. Resultatet heraf skal anvendes i det videre arbejde. Kunden og Leverandøren skal i fællesskab identificere særligt sårbare krav, således at Leverandøren skal etablere passende modsvarende fysiske, teknologiske eller 2 "Cirkulære vedrørende sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt", CIR nr. 204 af 07/12/ 2001.
Bilag 13, Incitamenter
Bilag 13, Incitamenter Version Ændringer Dato 2.1 Ændret i: 06-02-2014 - Krav 13.4 fjernet - Krav 13.5 fjernet - Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet til version 3.0 10-02-2014 2 Indholdsfortegnelse
Læs mereBilag 18, Revisionsstandard og audit
Bilag 18, Revisionsstandard og audit Version Ændringer Dato 2.1 Ændret i - Punkt 1.1 - Krav 18.3 - Krav 18.5 - Krav 18.6 - Krav 18.9 - Krav 18.10 - Krav 18.11 - Krav 18.12 - Krav 18.14 - Krav 18.16 tilføjet
Læs mereBilag 9, Kvalitetssikring
Bilag 9, Kvalitetssikring Version Ændringer Dato 2.1 Ændret i: 06-02-2014 - Punkt 1 - Punkt 2 - Krav 9.1 - Krav 9.2 - Krav 9.3 - Krav 9.5 - Krav 9.6 - Krav 9.7 - Krav 9.8 - Tilføjet krav 9.14 - Tilføjet
Læs mereBilag 17, Forpligtelser ved ophør
Bilag 17, Forpligtelser ved ophør Version Ændringer Dato 2.1 Rettet i: 06-02-2014 - Punkt 1 - Punkt 2 - Krav 17.1 - Krav 17.2 - Krav 17.3 - Krav 17.5 - Krav 17.6 - Krav 17.7 - Krav 17.8 - Krav 17.11 -
Læs mereKontraktbilag 8. It-sikkerhed og compliance
Kontraktbilag 8 It-sikkerhed og compliance LØNMODTAGERNES DYRTIDSFOND DIRCH PASSERS ALLÉ 27, 2. SAL 2000 FREDERIKSBERG TELEFON 33 36 89 00 FAX 33 36 89 01 INFO@LD.DK WWW.LD.DK CVR 61552812 2 INDHOLD INDHOLD
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereBilag 19, Samfundsansvar
Bilag 19, Samfundsansvar Version Ændringer Dato 2.1 Korrektur: 06-02-2014 - Afsnit ændret til Punkt - Digitaliseringsstyrelsen ændret til Kunden - Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereJyske Bank Politik for It sikkerhed
Indholdsfortegnelse Indholdsfortegnelse... 1 1. Formål og omfang... 2 2. It sikkerhedsniveau... 2 3. Organisation og ansvar... 2 4. It risikostyring... 3 5. Outsourcing... 3 6. Sikkerhedsprincipper...
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereUDBUDSBETINGELSER. for. Etablering, drift, vedligeholdelse og videreudvikling af den Fællesoffentlige Datafordeler
1 UDBUDSBETINGELSER for Etablering, drift, vedligeholdelse og videreudvikling af den Fællesoffentlige Datafordeler Version Ændringer Dato 1.0 Første udsendte version 14-06-2013 1.1 Punkt 5.2, afsnit Afgivelse
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereSystemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mereLeverandørstyring: Stil krav du kan måle på
Leverandørstyring: Stil krav du kan måle på 1. Marts 2018 Rikke Saltoft Andersen, Teamleder, Kontor for Systemforvaltning Hovedbudskaber ISO 27001 standarden muliggør reference til standard leverancer
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereNOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer
NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010
Læs mereIkast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550
Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5
Læs mereIT-sikkerhedspolitik for Lyngby Tandplejecenter
IT-sikkerhedspolitik for Lyngby Tandplejecenter 1 Indledning Formål med IT-sikkerhedspolitikken Lyngby tandplejecenters IT-sikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]
Læs mereInformationssikkerhedspolitik for Odder Gymnasium
Informationssikkerhedspolitik for Odder Gymnasium Version: 1.0 Maj 2018 Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:... 2 1.5
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereVer. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs mereAarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014
Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereBilag X Databehandleraftale
Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs mereDATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)
DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: By: (i det følgende benævnt KUNDEN) MICO ApS CVR 29220646 Bådehavnsgade 42 2450 København SV (i det følgende benævnt MICO) INDLEDNING Nærværende
Læs mere3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.
Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling
Læs mereDatabehandleraftale. om [Indsæt navn på aftale]
Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereBilag 11 Ændringshåndtering
Bilag 11 Ændringshåndtering Version 1.0 04-07-2014 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 2 2 INDLEDNING... 3 3 TYPER AF ÆNDRINGER... 3 4 GENERELT... 3 5 ATP S FREMSÆTTELSE AF ÆNDRINGSANMODNINGER...
Læs mereDATABEHANDLERAFTALE Version 1.1a
DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs merePolitik for informationssikkerhed 1.2
Fredensborg Kommune Politik for informationssikkerhed 1.2 23-11-2017 Informationssikkerhedspolitik for Fredensborg Kommune Informationssikkerhedspolitik Sikkerhedspolitikken skal til enhver tid understøtte
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereBilag 7: Aftale om drift
Bilag 7: Aftale om drift Udbud af telemedicinsk løsning til hjemmemonitorering Aftale om drift mellem REGION SYDDANMARK (i det følgende kaldet Kunden ) og 2 Indholdsfortegnelse
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereDATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]
DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE
Læs mereBestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten
Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten Punkt 1 med underpunkter indarbejdes i samarbejdsbilaget, mens punkt 2 indarbejdes i bilag 1 (tidsplanen) og 3 samt 4 med underpunkter
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereBilag 7: Aftale om drift
Bilag 7: Aftale om drift Udbud af E-rekrutteringssystem Aftale om drift mellem REGION SYDDANMARK (i det følgende kaldet Kunden ) og Bilag 7 Aftale om drift 3 7.1 Indledning
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereDriftskontrakt. Databehandleraftale. Bilag 14
Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs merePOLITIK FOR INFORMATIONSSIKKERHED
POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs mere