Bilag 16, Sikkerhedsprocedurer

Størrelse: px
Starte visningen fra side:

Download "Bilag 16, Sikkerhedsprocedurer"

Transkript

1 Bilag 16, Sikkerhedsprocedurer Version Ændringer Dato 2.1 Ændret i - Punkt Punkt 2 - Punkt 8 - Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav fjernet - Krav Krav fjernet - Krav Krav Krav Krav Krav

2 - Krav Krav Krav fjernet - Krav Krav Krav Krav Krav Krav Krav Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet til version

3 3 Indholdsfortegnelse Indholdsfortegnelse... 3 Vejledning til udfyldelse Indledning Underbilag Sikkerhedsmæssig risikovurdering for Fællesoffentlig Datafordeler Effektområder Fortrolighed Tilgængelighed: Integritet: Trusler Nedbrud af udstyr Nedbrud af programmel Menneskelige fejl Udefrakommende angreb på Datafordeler, fx DDoS eller uautoriseret adgang Indefra kommende angreb på Datafordeler (Misbrug) Udefrakommende angreb på Registermyndigheder Indefra kommende angreb på Registermyndigheder Generelle forhold Anvendelse af sikkerhedsstandard Sikkerhed i organisationen Sikkerhedshændelser Fysiske kontrolforanstaltninger Sikkerhed i Projektet Sikkerhed i Systemet Sikker drift af Systemet Backup Beredskab Complianceskema... 28

4 4 Vejledning til udfyldelse De behov, som tilbuddet skal dække, er klassificeret og beskrevet som krav. Alle krav er indsat i en kravskabelon, hvor selve kravet fremgår af feltet. Kravtitel og Kravområde er vejledende information til tilbudsgiver som har til formål at danne grundlag for en logisk gruppering af krav. I feltet Delleverance angives vejledende, hvilken eller hvilke bestemte Delleverancer eller Optioner, kravet vedrører. For krav som vedrører alle dele af Projektet angives ingen værdi i feltet Delleverance. Kravtypen kan antage en af følgende værdier: Kravtype Markering af kravtype Betydning Mindstekrav Værdi: MK Mindstekrav skal opfyldes uden forbehold for, at et tilbud kan være konditionsmæssigt Prioriteret krav Værdi: PK Prioriterede krav har stor betydning for opfyldelse af de forretningsmæssige mål, og tillægges derfor særlig vægt ved vurdering af de afgivne tilbud. Krav Værdi: K Almindelige krav, som bidrager til opfyldelse af de forretningsmæssige mål. Tilbudsgiver kan angive alternative forslag til disse krav i form af forbehold. For krav som stilles til Agile Delleverancer, angives i feltet Agil kravtype, om kravet er et Absolut Krav eller et Øvrige Krav som defineret i Bilag 0. Alle krav er nummereret på 2. niveau, med foranstillet bilagsnummer, jf. nedenstående eksempel: Kravnr. 1.1 Kravtitel Eksempel på krav Kravtype K Kravområde Eksempel Agil kravtype Øvrige krav Delleverance Leverandøren skal tage dette krav til efterretning Vejledende tekst i bilag

5 5 I bilagene er der imellem de konkrete krav visse steder indføjet vejledende tekst. Vejledende tekst er unummereret generel tekst til tilbudsgivers orientering. Dette illustreres med følgende eksempel: Dette bilag indeholder Kundens specifikation af krav til Systemets funktion og virkemåde. Tilbudsgivers løsningsbeskrivelse Tekst omgivet af firkantede parenteser og angivet med fed og kursiv skrift er vejledende tekst til tilbudsgiver om, hvad tilbudsgiver med egne ord skal beskrive i tilbuddet. Dette illustreres med følgende eksempel: [Tilbudsgiver beskriver opfyldelsen af kravet i underbilag X.X.] Angivelse af kravsopfyldelse Alle bilag, som indeholder krav til Leverandøren, afsluttes med et complianceskema, hvor tilbudsgiver skal angive hvilke krav, der opfyldes af det afgivne tilbud, og om der er taget forbehold i form af ændring af kravteksten. Ved udfyldelsen af complianceskemaerne placeret sidst i bilaget skal tilbudsgiver for hvert krav angive med afkrydsning, om kravet er opfyldt, om kravet er opfyldt med forbehold i form af ændret kravtekst, eller om kravet ikke er opfyldt. Eksempel på udfyldt complianceskema: Krav nr. Kravet er opfyldt Kravet er opfyldt med forbehold i form af ændret kravtekst Kravet er ikke opfyldt Delkriterie 1.1 X Tidsplan 1.2 X Tidsplan 1.3 X Tidsplan 1.4 X Såfremt et krav er opfyldt uden forbehold skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og Kravet er opfyldt. Mindstekrav er i complianceskemaerne markeret med grå og er på forhånd afkrydset i kolonnen "Kravet er opfyldt", idet enhver anden afkrydsning fører til, at tilbuddet er ukonditionsmæssigt. Såfremt tilbudsgiver tager forbehold til et krav, der ikke er et mindstekrav, indarbejdes forbeholdet direkte i kravteksten som en ændring af denne. Ændringen skal være markeret med ændringsmarkering. Der

6 6 sættes herudover kryds i complianceskemaet ud for det aktuelle kravnummer i kolonnen Kravet er opfyldt med forbehold i form af ændret kravtekst. Der kan herudover henvises til evt. yderligere bilagsmateriale/dokumentation, der er vedlagt tilbuddet. Såfremt tilbudsgiver vil angive at et krav ikke er opfyldt, skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og i kolonnen Kravet er ikke opfyldt. I complianceskemaets højre kolonne fremgår det, hvilket delkriterie, jf. udbudsbetingelsernes punkt 4, det pågældende krav er relateret til.

7 7 1 Indledning I dette bilag opstilles Kundens krav til Leverandørens håndtering af de sikkerhedsmæssige forhold på det proceduremæssige og det organisatoriske område. Der henvises i øvrigt til - bilag 3 Leverancebeskrivelse med Kravspecifikation og Løsningsbeskrivelse, som indeholder tekniske sikkerhedskrav til Systemet. - bilag 7 Servicemål, som indeholder krav til retableringstider. - bilag 10 Ændringshåndtering, som indeholder krav til procedurer ved ændringer i Systemet. - bilag 11 Samarbejdsorganisation, som indeholder krav til samarbejdet mellem Leverandøren og Kunden. - bilag 18 Revisionsstandard og Audit, som indeholder krav vedrørende revision og eksterne audits Der stilles krav til sikkerheden i Leverandørens organisation, i Projektet samt i det leverede System. Udover kravene i dette bilag er de til enhver tid gældende retningslinjer i Finansministeriets (FM) informationssikkerhedspolitik (underbilag 16D) og FM informationssikkerhedsstrategi (underbilag 16E) gældende for Datafordeleren i det omfang, det er relevant. Yderligere informationer om DS 484:2005 fås på Dansk Standards hjemmeside: Yderligere informationer om standarderne i ISO/IEC serien fås på ISO s hjemmeside: 1.1 Underbilag Dette bilag har følgende underbilag: - Underbilag 16A Sikkerhed - Underbilag 16B - UDGÅET - Underbilag 16C Sikkerhedsplan - Underbilag 16D FMs Informationssikkerhedspolitik - Underbilag 16E FMs Informationssikkerhedsstrategi 2 Sikkerhedsmæssig risikovurdering for Fællesoffentlig Datafordeler I det følgende opsamles overordnede overvejelser omkring den sikkerhedsmæssige risikovurdering for den fællesoffentlige Datafordeler. Som udgangspunkt skal Datafordeleren levere et tilsvarende sikkerhedsniveau, som i dag leveres fra henholdsvis CVR, CPR, Kortforsyningen og OIS/AWS. Men sammenlægningen af distributionen giver også anledningen til en samlet overordnet sikkerhedsmæssig risikovurdering af den samlede løsning, herunder også en vurdering ift. de særlige risici, som gør sig gældende netop ved at distributionsløsningerne samles. 2.1 Effektområder I det følgende beskrives de enkelte effektområder for Datafordeleren, herunder konsekvensvurdering af eventuelle sikkerhedsbrud.

8 Fortrolighed Datafordeleren kommer til at distribuere data fra forskellige registre med forskellige fortrolighedsniveauer. Det fordre at alle data som distribueres via Datafordeleren kategoriseres i følgende kategorier: Private og følsomme Personhenførebare data (medlemsskab af Folkekirken er registreret i CPR) Personhenførbare data (alle øvrige CPR-data, en række registre fra OIS, visse informationer fra CVR) Ikke personhenførbare data (En række registre fra OIS, alle Kortforsyningens registre, de fleste informationer fra CVR) Som private og følsomme personhenførbare data betragtes oplysninger om racemæssig eller etnisk baggrund politisk, religiøs eller filosofisk overbevisning fagforeningsmæssige tilhørsforhold oplysninger om helbredsmæssige og seksuelle forhold strafbare forhold væsentlige sociale problemer og andre rent private forhold Den eneste af ovennævnte type oplysninger, der forekommer i Registrene, er registreringen i CPR af medlemskab af Folkekirken, idet denne oplysning vedrører de registreredes religiøse overbevisning. Datafordeleren som udgangspunkt skal levere det fortrolighedsniveau, som registermyndigheder stiller krav om, og for alle data som distribueres gælder det, at data kun kan videregives til en part (myndighed, virksomhed eller privat person), som forudgående har indgået aftale om at få adgang til data. En part skal altså ikke kunne modtage data, med mindre denne part er oprettet som bruger på Datafordeleren. Data som klassificeres som personlige eller personhenførbare har en høj fortrolighed, og distribution via Datafordeleren skal overholde Persondataloven, herunder krigsreglen, både i forhold til opbevaring og distribution af disse data. Brud på fortrolighed vurderes som værende Graverende og/eller ødelæggende, da en del Grunddata er følsomme personoplysninger og da Registrene opkræver betaling for visse data fra Datafordeleren Tilgængelighed: Selvom et af de væsentligste succeskriterier for Datafordeleren er at sikre en høj tilgængelighed af data på tværs af eksisterende registre, så vurderes integritet og fortrolighed højere. Det vil sige at hvis der er mistanke om at fortroligheden eller integriteten af data er kompromitteret, så kan det medføre at det besluttes midlertidigt at lukke for distributionen af data. Brud på tilgængelighed vurderes som værende alvorlig, stigende til meget alvorlig ved nedbrud på over 30 minutter, til graverende og/eller ødelæggende ved nedbrud på få dage, da data fra Datafordeleren fx er nødvendige for registreringer og myndighedsafgørelser Integritet: Datafordeleren skal konstrueres på en måde, så der kan sikres dataintegritet fra data afsendes fra Registeret til Dataanvender modtager data. Det stiller følgende krav til Datafordeleren: Der stilles krav om krypterede kanaler mellem registermyndigheder og Datafordeler

9 9 Der tilbydes krypterede kanaler mellem Datafordeler og dataanvender Data i Datafordeleren skal sikres mod forvanskning Brud på integritet vurderes som værende Graverende og/eller ødelæggende, da data fra Datafordeleren fx er grundlag for myndighedsafgørelser. 2.2 Trusler I det følgende opgøres trusselsbilledet for Datafordeleren på følgende måde. Truslen angives i overskrift, hvorefter indflydelse på effektområde angives Nedbrud af udstyr Truer først og fremmest tilgængeligheden, men kan i specielle tilfælde også have indflydelse på integritet og fortrolighed. Håndtering: Systemet overvåges og vedligeholdes løbende. Redundans anvendes hvor dette er muligt Nedbrud af programmel Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Systemet overvåges og vedligeholdes løbende. Redundans anvendes hvor dette er muligt. Metoder til sikker udvikling anvendes for at minimere fejlkilder i programmel Menneskelige fejl Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Administratorer uddannes og alle handlinger logges. Der etableres procedurer for roll back Udefrakommende angreb på Datafordeler, fx DDoS eller uautoriseret adgang Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Der etableres foranstaltninger såsom firewalls, IPS/IDS og brugerstyring ligesom Leverandøren samarbejder med ISP for at modvirke DoS-angreb Indefra kommende angreb på Datafordeler (Misbrug) Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Brugerrettigheder for alle brugere, herunder Administratorer, skal begrænses til det, de har behov for at kunne udføre deres rollespecifikke opgaver. Al adgang til Systemet logges og overvåges Udefrakommende angreb på Registermyndigheder Truer først og fremmest integritet, men kan også true tilgængeligheden, hvis det af den vej lykkedes at lægge Datafordeleren ned. Håndtering: Det skal være muligt at rulle Grunddata i Datafordeleren tilbage til en tidligere version, hvis dataintegriteten er blevet kompromitteret af angreb på Registermyndighed.

10 Indefra kommende angreb på Registermyndigheder Truer først og fremmest integritet, men kan også true tilgængeligheden, hvis det af den vej lykkedes at lægge Datafordeleren ned. Håndtering: Det skal være muligt at rulle Grunddata i Datafordeleren tilbage til en tidligere version, hvis dataintegriteten er blevet kompromitteret af angreb på Registermyndighed. 3 Generelle forhold Kravnr Kravtitel Sikkerhedsområder Kravtype MK Kravområde Generelle forhold De samlede implementerede sikringsforanstaltninger vedrørende informationssikkerheden skal sikre nedenstående effekter som beskrevet i Punkt 2.1: Integritet Fortrolighed Tilgængelighed Leverandøren skal løbende og for egne midler holde sig orienteret om Best Practice inden for disse sikkerhedsområder. Kravnr Kravtitel Sikkerhedsniveau Kravtype MK Kravområde Generelle forhold Sikkerhedsniveauet i Systemet skal være højt i enhver henseende og skal være indbygget i Systemets design fra starten. Det generelle sikkerhedsniveau skal være højt, og det skal være særdeles vanskeligt for eksterne hackere så vel som interne medarbejdere hos Leverandøren at kompromittere sikkerhedskontrollerne. Sikkerhedskontroller og det organisatoriske setup skal reflektere, at Datafordeleren er et meget kritisk system og sikkerhedsbrud kan potentielt have store uønskede konsekvenser. Den høje sikkerhed skal sikres i design, implementering og drift og i alle tilfælde leve op til eller overgå god sikkerhedspraksis. Sikkerheden bør fundamentalt set reflektere, at integritet er vigtigere end tilgængelighed eller fortrolighed. Kravnr Kravtitel Vedholdende sikkerhedsoptimering Kravtype MK Kravområde Generelle forhold Leverandøren skal i hele Kontraktperioden som en del af Driftsydelsen kontinuerligt evaluere og optimere Systemets sikkerhedsniveau, så de til enhver tid forudseelige trusler imødegås.

11 11 Kravnr Kravtitel Periode for kravsopfyldelse Kravtype MK Kravområde Generelle forhold Alle krav i dette bilag, herunder krav som er påkrævet implementeret inden udløb af afklaringsfasen, skal være opfyldt i hele kontraktperioden, med mindre, der eksplicit er angivet en anden opfyldelsesperiode. Kravnr Kravtitel Sikkerhedsaudit Kravtype MK Kravområde Generelle forhold Kunden forbeholder sig retten til at afholde sikkerhedsaudit under hele udviklings- og driftsfasen i overensstemmelse med beskrivelsen af sikkerhedsaudit i bilag Anvendelse af sikkerhedsstandard Det er obligatorisk for it-projekter og it-systemer i Staten at overholde en af sikkerhedsstandarderne DS 484:2005 eller ISO 27001:2005. Leverandøren skal derfor redegøre for, hvilken sikkerhedsstandard, der anvendes, og hvordan denne er implementeret. Kravnr Kravtitel Sikkerhedsstandard for Leverandørens egne forhold Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Leverandørens organisation. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Leverandørens organisation] Kravnr Kravtitel Sikkerhedsstandard for Projektet Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som påtænkes anvendt i tilrettelæggelsen af sikkerhedsprocedurer i Projektet. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i

12 12 tilrettelæggelsen af sikkerhedsprocedurer i Projektet] Kravnr Kravtitel Sikkerhedsstandard for Systemet Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som påtænkes anvendt i tilrettelæggelsen af sikkerhedsprocedurer i Systemet under såvel etablering som Drift. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Systemet] Kravnr Kravtitel Angivelse af anvendte dele af sikkerhedsstandard Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A for hvert af de tre perspektiver organisation, Projekt og System - beskrevet, hvilken dele af den anvendte sikkerhedstandard, der er relevante i Kontraktens sammenhæng. Dette kan dokumenteres i form af Statement of Applicability (SOA) som defineret i ISO 27001:2005, eller hvis en sådan ikke er udarbejdet, en tilsvarende redegørelse for de implementerede kontroller og deres relevans. [I underbilag 16A angives for hvert af de tre perspektiver organisation, Projekt og System, hvilke dele af den anvendte sikkerhedstandard, der er relevante i Kontraktens sammenhæng] 5 Sikkerhed i organisationen Sikkerhed skal håndteres på flere niveauer, og det er en forudsætning for at kunne deltage i et sikkert Projekt som leverer et sikkert System, at sikkerheden i Leverandørens organisation også håndteres forsvarligt. Kravnr Kravtitel Ansvar placeret i ledelsen Kravtype K Kravområde Sikkerhedsorganisation Leverandør skal udpege et ansvarligt medlem af ledelsen, som skal være den overordnede ansvarlige for opfyldelsen af alle aftalte krav til sikkerheden i hele Kontraktperioden. Den sikkerhedsansvarlige er ansvarlig for gennemførelse af sikkerhedsprøver

13 13 opretholdelse af det aftalte sikkerhedsniveau rapportering til Kunden vedrørende sikkerhedsspørgsmål Kravnr Kravtitel Kompetencekrav til Leverandørens Sikkerhedsansvarlige Kravtype PK Kravområde Sikkerhedsorganisation Leverandørens sikkerhedsansvarlige skal som minimum have de nedenstående kompetencer: o Stor praktisk erfaring med sikring af it-systemer og håndtering af sikkerhedssystemer. o Sikkerhedscertificeret, eksempelvis i CISSP/CISM eller tilsvarende o Kendskab og/eller erfaring med relevante teknologier i forhold til den aftalte Platform. CV angives i bilag 11 i overensstemmelse med krav Kravnr Kravtitel Erfarne ressourcer Kravtype MK Kravområde Sikkerhedsorganisation Leverandøren skal dedikere tilstrækkelige og erfarne ressourcer til arbejdet med informationssikkerhed. Erfaringer kan med fordel underbygges med sikkerhedscertificeringer såsom CISSP eller CISM. Kravnr Kravtitel Sikkerhedsansvarlig i samarbejdsorganisationen Kravtype K Kravområde Sikkerhedsorganisation Leverandøren skal tilknytte den sikkerhedsansvarlige til samarbejdsorganisationen, jf. bilag 11, med henblik på koordinering af sikkerheden i udviklingsfasen og den daglige drift. Personen skal fungere som den primære kommunikationskanal (single-point-ofcontact) og har ansvaret for at sikkerhedsrelaterede hændelser/issues formidles til Kundens sikkerhedsansvarlige kontaktperson. Kravnr Kravtitel Dokumenteret sikkerhedspolitik Kravtype PK Kravområde Sikkerhedspolitik Leverandør skal have en dokumenteret sikkerhedspolitik. Politikken skal være godkendt af den øverste ledelse og implementeret i organisationen.

14 14 Kravnr Kravtitel Retningslinjer og procedurer Kravtype K Kravområde Sikkerhedshåndbog Som en del af sikkerhedspolitikken skal Leverandøren vedligeholde retningslinjer (beskrivelse af procedurer), der dækker: Sikkerhedsorganisationen Roller og ansvar Awareness Sikkerhedsgodkendelser Overvågning og eskalering Beredskabsplaner System og netværksdokumentation Systemer, tjenester og informationer der må tilgås fra hjemmearbejdspladser Kravnr Kravtitel Udlevering af materiale Kravtype K Kravområde Sikkerhedsstyring Leverandørens samlede materiale (evt. samlet i en sikkerhedshåndbog) i henhold til krav skal udleveres til Kunden på forlangende f.eks. ved audits. Kravnr Kravtitel Compliance Kravtype K Kravområde Sikkerhedsorganisation Leverandøren skal etablere aktiviteter, der sikrer compliance i forhold til regulative krav, standarder og 3. mands sikkerhedskrav. Kravnr Kravtitel Kun autoriseret udstyr Kravtype K Kravområde Funktionsadskillelse Leverandøren skal sikre, at kun autoriseret udstyr, det vil sige udstyr godkendt i forhold til den af Leverandøren anvendte sikkerhedsstandard, må have adgang til Leverandørens interne netværk og telekommunikationslinjer for at sikre, at Leverandørens sikkerhedsniveau ikke kompromitteres. Kravnr Kravtitel Krav til underleverandører Kravtype K Kravområde 3. mands adgang Leverandør skal sikre, at væsentlige underleverandører også efterlever kravene til sikkerhed og beredskabsplanlægning.

15 15 Kravnr Kravtitel Register over 3. mænds systemer og netværk Kravtype MK Kravområde 3. mands adgang Leverandør skal etablere og vedligeholde et opdateret register over 3. mænds systemer og netværk, der direkte er integreret med Leverandørens infrastruktur. Indholdet af registeret kan stilles til rådighed for Kunden på forlangende, f.eks. ved audit. 5.1 Sikkerhedshændelser Kravnr Kravtitel Kategorisering som sikkerhedshændelse Kravtype K Kravområde Sikkerhedshændelser Enhver ikke-planlagt/ikke-aftalt afvigelse fra servicemål, eller hændelse i øvrigt, som forringer mindst et af de angivne sikkerhedsområder for dele eller hele af Systemet, defineres som en sikkerhedshændelse, og skal behandles som en sådan. Sikkerhedsområderne er: - Fortrolighed - Integritet - Tilgængelighed - Autentifikation - Sporbarhed Kravnr Kravtitel Procedure for registrering og logning af sikkerhedshændelser Kravtype K Kravområde Sikkerhedshændelser Leverandøren skal udarbejde procedurer for registrering, logning og kommunikation af alle sikkerhedshændelser, herunder potentielle sikkerhedshændelser, i overensstemmelse med krav i bilag 7, bilag 6 og bilag 8. Kravnr Kravtitel Afrapportering ved sikkerhedshændelser Kravtype MK Kravområde Sikkerhedshændelser Leverandøren skal, i tillæg til den i Bilag 8 kravsatte driftsrapportering, afrapportere af sikkerhedshændelser til Leverandørens sikkerhedsansvarlige og eventuelt styregruppe jf. Bilag 11, og at rapporterne som minimum indeholder: En beskrivelse af hændelsen Hvem var involveret Hvad blev der gjort Resultatet af udførte log-undersøgelse og analyse Læringspunkter Fremadrettede anbefalinger

16 16 Kravnr Kravtitel Kommunikation til Kunden Kravtype MK Kravområde Sikkerhedshændelser Leverandøren skal kommunikere sikkerhedshændelser til Kunden, og hvis Kunden finder det relevant, kan sikkerhedshændelser kommunikeres til eksterne aktører. Kravnr Kravtitel Erfaringsopsamling Kravtype K Kravområde Sikkerhedshændelser Leverandør skal etablere foranstaltninger, som sikrer, at sikkerhedshændelser indgår i en erfaringsopsamlingsproces og videreføres til alle relevante dele af den organisation, Leverandøren har til rådighed. Kravnr Kravtitel Politikker for medarbejderes adgang Kravtype K Kravområde Medarbejderes adgang Leverandøren skal etablere politikker for styring af Leverandørens medarbejderes adgang til Systemet og de deri lagrede Grunddata, således at kun medarbejdere med et dokumenteret, arbejdsbetinget behov får adgang. Leverandør skal derfor beskrive: Oprettelse, ændringer og nedlæggelsesprocedurer for medarbejderes adgang til Systemet Retningslinjer for implementering af funktionsadskillelse i henhold til krav Kravnr Kravtitel Procedure for styring af administratorers adgang Kravtype K Kravområde Medarbejderes adgang Leverandør skal anvende procedurer styring af administratorers adgang og gennemgå disse rettigheder periodisk. Kravnr Kravtitel Opretholdelse af integritet og fortrolighed Kravtype K Kravområde Funktionsadskillelse Leverandør skal opretholde funktionsadskillelse med det formål at opretholde den krævede integritet og fortrolighed og begrænse muligheden for fejlagtig eller bevidst misbrug af systemer. Dette skal både gælde mellem udviklings-, test- og driftsmiljø og andre miljøer. I den forbindelse skal Leverandøren sikre, at følsomme data ikke kan anvendes i udviklings- og testmiljøer og andre miljøer, med mindre adgangskontrolforanstaltningerne er lige så restriktive, som i driftsmiljøet. Kravnr Kravtitel Håndtering af specielle medarbejdere

17 17 Kravtype K Kravområde Funktionsadskillelse Især skal Leverandøren være opmærksom på håndteringen af medarbejdere, der i kraft af deres faglige kvalifikationer kombineret med adgang til applikationer eller sikkerhedscertifikater, har særligt udvidet adgang til Systemet. Leverandøren skal etablere en funktionsadskillelse for disse medarbejdere, samt etablere maskinelle og manuelle kontroller i og omkring Systemet for at forebygge misbrug eller fejlbetjening. Kunden kan enhver tid kræve dokumentation for funktionsadskillelse hos Leverandøren. Kravnr Kravtitel Review af den tekniske sikkerhedsarkitektur Kravtype K Kravområde Teknisk sikkerhedsarkitektur Leverandøren skal etablere en procedure for periodisk review af den tekniske sikkerhedsarkitektur, samt foretage dette. Kravnr Kravtitel Procedurer omkring logning og monitorering Kravtype K Kravområde Funktionsadskillelse Leverandøren skal etablere procedurer omkring logning og monitorering, således at overvågning, undersøgelser og analyser foretages rettidigt og efter hensigten. 5.2 Fysiske kontrolforanstaltninger Uafhængigt af, om Systemet leveres med brug af cloud-teknologier, er der behov for fysisk sikring af de lokaliteter, hvor Systemet skal driftes. I dette afsnit opstilles krav til kontrollen med sådanne lokaliteter. Kravnr Kravtitel Fysiske kontrolforanstaltninger - risikovurdering Kravtype K Kravområde Fysisk sikkerhed Leverandør skal opbygge og vedligeholde de fysiske kontrolforanstaltninger, som beskytter faciliteter, på baggrund af en risikovurdering.

18 18 Kravnr Kravtitel Fysiske kontrolforanstaltninger Kravtype K Kravområde Fysisk sikkerhed Leverandørens fysiske kontrolforanstaltninger skal omfatte, men ikke være begrænset til, følgende områder: Fysisk adgangskontrol Fysisk adgangskontrolsystem Adgangsstyring til lokaler med forretningskritisk udstyr Adgang til sikre områder og deres funktioner gives udelukkende ud fra et arbejdsbetinget behov. Logning af enhver adgang Overvågning af gæster Indbrudssikring, herunder alarmsystemer Adskillelse mellem Leverandørens informationsbehandlingsudstyr og eventuelle service- og underleverandørers udstyr Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger Et brandsikringsanlæg der bl.a. tager hensyn til omfanget af elektronisk udstyr Overvågning af af- og pålæsningsområder, hvor offentligheden har adgang Udstyr skal placeres så risici for skader og uautoriseret adgang minimeres Udstyr skal sikres mod forsyningssvigt på baggrund af en risikovurdering, der afdækker hvor kritisk udstyret er. Eksempelvis et nødstrømsanlæg, der sikre hurtig og korrekt nedlukning i tilfælde af strømsvigt. Kritiske og følsomme informationer og data skal permanent fjernes (destrueres) og overskrives fra lagringsmedier i forbindelse med bortskaffelse og genbrug Andre sikkerhedsforanstaltninger som er påkrævede i forbindelse med områders klassifikation

19 19 6 Sikkerhed i Projektet For at kunne have tillid til sikkerheden i det leverede System, er der behov for, at sikkerhedshensyn tilgodeses i hele Kontraktperioden, inklusive Projektet. Risici skal identificeres, analyseres og mitigeres så tidligt som muligt, så de bedste løsninger kan implementeres med mindst muligt ressourceforbrug. Kravnr Kravtitel Udvikling og sårbarhedsvurdering Kravtype PK Kravområde Sårbarhedsvurdering Leverandøren skal sikre et højt sikkerhedsniveau i udvikling af Systemet og anvende anerkendte metoder og principper for udvikling af sikre systemer. Et eksempel på en anerkendt udviklingsmetode er NISTs Security Considerations in the Information System Development Life Cycle 1. Leverandørens valg af udviklingsmetoder er dokumenteret i underbilag 16A, med angivelse af, hvordan de er anvendt i projektet, herunder hvordan resultatet af sårbarhedsvurderingen bliver implementeret i udviklingsmetoden. [Tilbudsgiver skal i underbilag 16A dokumentere sit valg af udviklingsmetoder og beskrive, hvordan de valgte udviklingsmetoder er anvendt i projektet, herunder hvordan resultatet af sårbarhedsvurderingen bliver implementeret i udviklingsmetoden.] Kravnr Kravtitel Periodiske risikovurderinger Kravtype PK Kravområde Risikostyring og klassificering Leverandøren skal anvende fastlagte og dokumenterede procedurer for periodiske risikovurderinger, der som minimum inddrager: Sårbarhedsvurderinger Trusselsvurderinger Konsekvensvurderinger Procedurerne er beskrevet i underbilag 16A. [Tilbudsgiver skal i underbilag 16A beskrive de anvendte procedurer] Kravnr Kravtitel Indhold af risikovurderinger Kravtype K Kravområde Risikostyring og klassificering Risikovurderinger og -analyser skal foretages som minimum i forhold til: De uønskede forretningsmæssige konsekvenser Forretningskritiske systemer 1

20 20 Anskaffelser 3. mænds adgang til leverandørs informationsbehandlingssystemer Genetableringsmuligheder Kravnr Kravtitel Overblik over trusler, sårbarheder og uønskede konsekvenser Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal til stadighed vedligeholde et overblik over identificerede trusler, sårbarheder og uønskede konsekvenser ved utilstrækkelig sikring af sikkerhedsområderne (krav 16.1), og at ansvaret for hver enkelt kontrolforanstaltning er entydigt placeret i Leverandørens organisation. Kravnr Kravtitel Håndtering af trusler, sårbarheder og uønskede konsekvenser Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal håndtere de identificerede trusler, sårbarheder og uønskede konsekvenser, og skabe kontrolforanstaltninger i forhold til at sikre sikkerhedsområderne (krav 16.1) med henblik på at reducere mulighed for uønskede konsekvenser. Kravnr Kravtitel Sikkerhedsgodkendelse Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal være indstillet på at sikre, at medarbejdere og ledelse kan sikkerhedsgodkendes i henhold til statens sikkerhedscirkulære 2, hvis de skal arbejde med klassificeret materiale eller tilgår klassificerede områder, som falder ind under denne forpligtigelse. Leverandøren skal i givet fald opretholde nødvendige sikkerhedsgodkendelser i hele kontraktperioden Kravnr Kravtitel Initiel sårbarhedsvurdering Kravtype MK Kravområde Sårbarhedsvurdering Leverandøren skal senest umiddelbart efter den generelle afklaringsfase sammen med Kunden planlægge og gennemføre sårbarhedsvurdering af krav vedrørende de Fastlagte Delleverancer. Resultatet heraf skal anvendes i det videre arbejde. Kunden og Leverandøren skal i fællesskab identificere særligt sårbare krav, således at Leverandøren skal etablere passende modsvarende fysiske, teknologiske eller 2 "Cirkulære vedrørende sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt", CIR nr. 204 af 07/12/ 2001.

Bilag 18, Revisionsstandard og audit

Bilag 18, Revisionsstandard og audit Bilag 18, Revisionsstandard og audit Version Ændringer Dato 2.1 Ændret i - Punkt 1.1 - Krav 18.3 - Krav 18.5 - Krav 18.6 - Krav 18.9 - Krav 18.10 - Krav 18.11 - Krav 18.12 - Krav 18.14 - Krav 18.16 tilføjet

Læs mere

Bilag 13, Incitamenter

Bilag 13, Incitamenter Bilag 13, Incitamenter Version Ændringer Dato 2.1 Ændret i: 06-02-2014 - Krav 13.4 fjernet - Krav 13.5 fjernet - Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet til version 3.0 10-02-2014 2 Indholdsfortegnelse

Læs mere

Bilag 9, Kvalitetssikring

Bilag 9, Kvalitetssikring Bilag 9, Kvalitetssikring Version Ændringer Dato 2.1 Ændret i: 06-02-2014 - Punkt 1 - Punkt 2 - Krav 9.1 - Krav 9.2 - Krav 9.3 - Krav 9.5 - Krav 9.6 - Krav 9.7 - Krav 9.8 - Tilføjet krav 9.14 - Tilføjet

Læs mere

Bilag 17, Forpligtelser ved ophør

Bilag 17, Forpligtelser ved ophør Bilag 17, Forpligtelser ved ophør Version Ændringer Dato 2.1 Rettet i: 06-02-2014 - Punkt 1 - Punkt 2 - Krav 17.1 - Krav 17.2 - Krav 17.3 - Krav 17.5 - Krav 17.6 - Krav 17.7 - Krav 17.8 - Krav 17.11 -

Læs mere

UDBUDSBETINGELSER. for. Etablering, drift, vedligeholdelse og videreudvikling af den Fællesoffentlige Datafordeler

UDBUDSBETINGELSER. for. Etablering, drift, vedligeholdelse og videreudvikling af den Fællesoffentlige Datafordeler 1 UDBUDSBETINGELSER for Etablering, drift, vedligeholdelse og videreudvikling af den Fællesoffentlige Datafordeler Version Ændringer Dato 1.0 Første udsendte version 14-06-2013 1.1 Punkt 5.2, afsnit Afgivelse

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Bilag 11, Samarbejdsorganisation og metode

Bilag 11, Samarbejdsorganisation og metode Bilag 11, Samarbejdsorganisation og metode Version Ændringer Dato 2.1 Ændret i 06-02-2014 - Vejledning til udfyldelse - Henvisninger til underbilag - Tabel 1 - Tabel 2 - Tabel 3 - Punkt 1.1 - Punkt 3.1

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Bilag 1 Tidsplan Version 0.9 05-05-2014 0

Bilag 1 Tidsplan Version 0.9 05-05-2014 0 Bilag 1 Tidsplan Version 0.9 05-05-2014 0 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 2 2 INDLEDNING... 3 2.1 ETAPER I UDVIKLINGSPROJEKTET... 3 2.1.1 ETAPE I - AFKLARING... 3 2.1.2 ETAPE II ANALYSE, DESIGN,

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Bilag 12, Vederlag og betalingsplan

Bilag 12, Vederlag og betalingsplan Bilag 12, Vederlag og betalingsplan Version Ændringer Dato 2.1 Ændret i 06-02-2014 - Punkt 1.2 - Punkt 2 - Punkt 4 - Punkt 4.1 - Punkt 4.2 - Punkt 4.3 - Punkt 5 - Krav 12.2 - Krav 12.3 - Krav 12.4 - Krav

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten . spe. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten Nedenstående er opdelt i to afsnit. Første afsnit indeholder bestemmelser, der forventes indarbejdet i Samarbejdsbilaget. Andet

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser

Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser [Vejledning til Leverandør i forbindelse med afgivelse af tilbud Dette bilag indeholder Kundens krav til Leverandørens drift-, support og vedligeholdelsesydelser.

Læs mere

Vejledning til skabelonen Databehandleraftale_feb2015

Vejledning til skabelonen Databehandleraftale_feb2015 Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Vejledning til skabelonen Databehandleraftale_feb2015 Skabelonen Databehandleraftale_feb2015

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Fra DS 484 til ISO 27001

Fra DS 484 til ISO 27001 Fra DS 484 til ISO 27001 Hvordan kan din virksomhed efterleve den internationale standard for informationssikkerhed - ISO 27001? En praktisk vejledning i at skifte fra den udgående danske standard, DS

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Revision. Skat. Rådgivning.

Revision. Skat. Rådgivning. Forundersøgelse af modenhedsog sikkerhedsniveauet inden for cyber- og nssikkerhed blandt danske el- og naturgasselskaber Rapport 20. maj 2015 Revision. Skat. Rådgivning. Indhold Slide Indledning 3 Om spørgeskemaundersøgelsen

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Bilag 3, Leverancebeskrivelse med Kravspecifikation og Løsningsbeskrivelse samt ændringsmuligheder (herunder Optioner)

Bilag 3, Leverancebeskrivelse med Kravspecifikation og Løsningsbeskrivelse samt ændringsmuligheder (herunder Optioner) Bilag 3, Leverancebeskrivelse med Kravspecifikation og Løsningsbeskrivelse samt ændringsmuligheder (herunder Optioner) Version Ændringer Dato 2.1 Tilføjet krav 3.168 30-11-2013 Tilføjet Punkt 5.6 2.2 Korrekturændringer,

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems) DS 3001 Organisatorisk robusthed. Sikkerhed, beredskab og kontinuitet. Formål og anvendelsesområde Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Læs mere

Guide til bedre beredskabsstyring. April 2015

Guide til bedre beredskabsstyring. April 2015 Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

Spillemyndighedens certificeringsprogram Program for styring af systemændringer

Spillemyndighedens certificeringsprogram Program for styring af systemændringer SCP.06.00.DK.1.0 Indhold Indhold... 2 1 Formålet med program for styring af systemændringer... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 4 2.1 Certificeringsfrekvens...

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

I medfør af lov om indhentning af tilbud på visse offentlige og offentligt støttede kontrakter (tilbudsloven) 15 a - 15 d annonceres følgende:

I medfør af lov om indhentning af tilbud på visse offentlige og offentligt støttede kontrakter (tilbudsloven) 15 a - 15 d annonceres følgende: DATO DOKUMENT SAGSBEHANDLER MAIL TELEFON 02.12.2013 Indkøb af testsystem Jens Ole Nielsen joni@vd.dk 7244 3035 ANNONCERING AF INDKØB I medfør af lov om indhentning af tilbud på visse offentlige og offentligt

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Overdragelse til itdriftsorganisationen

Overdragelse til itdriftsorganisationen Overdragelse til itdriftsorganisationen Indhold 1. Formål med tjeklisten 3 2. Tjeklisten 5 2.1 Governance 5 2.2 Processer 5 2.3 Support af slutbrugere 6 2.4 Viden og dokumentation 8 2.5 Kontrakt, leverandørsamarbejde

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Udbudsbetingelser for udbud af kontrakt om rådgivning af bygningsejere om PCB i 2014 og 2015.

Udbudsbetingelser for udbud af kontrakt om rådgivning af bygningsejere om PCB i 2014 og 2015. Udbudsbetingelser for udbud af kontrakt om rådgivning af bygningsejere om PCB i 2014 og 2015. 1. Baggrund for udbuddet Energistyrelsen varetager i dag en PCB-rådgivningsvirksomhed samt www.pcb-guiden.dk.

Læs mere

Nationalt udbud: Udbudsbetingelser. Kontrakt om bistand til informationsindsats om øget sikker adfærd på internettet 2015.

Nationalt udbud: Udbudsbetingelser. Kontrakt om bistand til informationsindsats om øget sikker adfærd på internettet 2015. Nationalt udbud: Kontrakt om bistand til informationsindsats om øget sikker adfærd på internettet 2015 Udbudsbetingelser Side 1 af 7 0. Den ordregivende myndighed Digitaliseringsstyrelsen Landgreven 4,

Læs mere

BILAG 10 VEDLIGEHOLDELSE

BILAG 10 VEDLIGEHOLDELSE BILAG 10 VEDLIGEHOLDELSE VEJLEDNING Bilaget skal udfyldes af tilbudsgiver på baggrund af det i bilaget anførte skema samt de nedenfor og i kontrakten og kravspecifikationen nævnte krav og forventninger.

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

Informationssikkerhed i Balance

Informationssikkerhed i Balance Informationssikkerhed i Balance Koncept version 1.0 Oktober 2014 IT-Branchens It-sikkerhedsudvalg Resumé Der har de sidste år været et intenst fokus på informationssikkerhed i Danmark, primært grundet

Læs mere

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk ISO27001 og klassifikation Case Dubex A/S 14. maj 2012 Jacob Herbst jhe@dubex.dk Agenda Dubex A/S Hvorfor en ISO27001 certificering? Sikkerhedshåndbogen Dubex dataklassifikation Klassifikation i praksis

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Domstolsstyrelsen. Genudbud af e-tl. Spørgsmål / Svar i forbindelse med tilbudsfasen

Domstolsstyrelsen. Genudbud af e-tl. Spørgsmål / Svar i forbindelse med tilbudsfasen Pulje 6, 30. juli 2014. 1 Bilag 9, punkt 3.3 Kan Kunden uddybe hvad der menes med "Ledelseserklæring". Menes der i denne sammenhæng at en af Leverandørens tegningsberettigede udsteder en erklæring om at

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Bilag 0. Terminologi og definitioner

Bilag 0. Terminologi og definitioner Bilag 0 Terminologi og definitioner Vejledning til tilbudsgiver i forbindelse med udarbejdelse af tilbud Dette bilag indeholder ingen krav eller mindstekrav, og skal ikke udfyldes ved Leverandørens afgivelse

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Servicedeklaration For Borger.dk. Ansvarlig: Digitaliseringsstyrelsen

Servicedeklaration For Borger.dk. Ansvarlig: Digitaliseringsstyrelsen Servicedeklaration For Borger.dk Ansvarlig: Digitaliseringsstyrelsen 1. Indhold 2. Formål 2 Vedligehold og distribution af servicedeklaration 3. Kort beskrivelse af service af Borger.dk 2 2 4. Servicetidsrum

Læs mere

Kom godt i gang med 02.18 VEJLEDNING TIL Rammeaftale 02.18 It-løsninger og vedligehold

Kom godt i gang med 02.18 VEJLEDNING TIL Rammeaftale 02.18 It-løsninger og vedligehold Kom godt i gang med 02.18 VEJLEDNING TIL Rammeaftale 02.18 It-løsninger og vedligehold Dokument: 02 18 Vejledning v1.0 Indholdsfortegnelse 1. Indledning... 5 2. Indledende overvejelser... 6 2.1. Opgørelse

Læs mere

Anmeldelse af behandling af data

Anmeldelse af behandling af data - 1. Skema udfyldt af: Dato: Anmeldelse af behandling af data 2. Databehandlingen er omfattet af Region Hovedstadens paraplyanmeldelse vedr.: OBS: kun 1 X 2007-58-0006 Patientbehandling 2012-58-0023 Kliniske

Læs mere

Besvarelse af spørgsmål til udbudsmaterialet

Besvarelse af spørgsmål til udbudsmaterialet 26. maj 2014/csc og jas Besvarelse af spørgsmål til udbudsmaterialet DDB skal hermed offentliggøre skriftlige spørgsmål og svar vedrørende udbudssagen om national webstatistik. 1. Vedrørende dimensioneringen

Læs mere

BILAG 1: TIDSPLAN BILAG 1: TIDSPLAN 21. februar 2014

BILAG 1: TIDSPLAN BILAG 1: TIDSPLAN 21. februar 2014 BILAG 1: TIDSPLAN 21. februar 2014 INSTRUKTION TIL TILBUDSGIVER Nærværende bilag indeholder tidsplanen for Systemet. Tilbudsgivers eventuelle forbehold til bilag 8 anføres i forbeholdslisten og skrives

Læs mere

Kontraktbilag A - Kravspecifikation

Kontraktbilag A - Kravspecifikation Kontraktbilag A - Kravspecifikation Side 1 af 5 1 Indledning Nærværende kontraktbilag fastsætter de mindstekrav, der gælder for anskaffelsen af elektroniske dørlåse til Lemvig Kommune. Leverandøren gøres

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Spillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012

Spillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012 Version 1.3.0 af 1. juli 2012 Indhold 1 Indledning... 4 1.1 Myndighed... 4 1.2 Formål... 4 1.3 Målgruppe... 4 1.4 Version... 4 1.5 Henvendelser... 4 2 Certificering... 5 2.1 Rammer for certificering...

Læs mere

Informations- og spørgemøde d. 26. maj

Informations- og spørgemøde d. 26. maj Informations- og spørgemøde d. 26. maj EU-udbud 2014/S 096-167854 Kontrakt om levering, drift, vedligehold og support af infrastruktur service (»Infrastructure as a Service«)(IaaS)) til servere og storage

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere