Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Størrelse: px
Starte visningen fra side:

Download "Ledelsesforankret informationssikkerhed. med ISO/IEC 27001"

Transkript

1 Ledelsesforankret informationssikkerhed med ISO/IEC 27001

2 02 Indhold > Forord INTRODUKTION ISO/IEC Ansvar og opgaver Standardens indhold PROCESSEN Procesmodellen Afstem forventninger til sikkerhed (Plan) Implementér sikkerhedsarbejdet (Do) Måling, test og rapportering på sikkerhed (Check) Eventuelle forbedringer i sikkerhedsarbejdet (Act) Litteraturliste... 28

3 03 Forord > De statslige organisationer er kommet langt i arbejdet med informationssikkerhed. Sikkerhedsarbejdet i organisationerne er modnet, og der er etableret et grundlag for det fremadrettede arbejde. Der er blandt andet skabt et fælles sprog for informationssikkerhed i staten, og samtidig er organisationernes ledelse i højere grad blevet involveret, så arbejdet med informationssikkerhed ikke længere alene drives af f.eks. it-afdelingen eller it-sikkerhedslederne. Endelig har arbejdet med informationssikkerhed fået større fokus på risikovurdering set i forhold til organisationens samlede mål og risikobillede. Modenheden i sikkerhedsarbejdet, statens generelle ønske om at vedligeholde et sæt af obligatoriske åbne standarder og regeringens ønske om en enklere administration 1 gør, at den nuværende standard for informationssikkerhed DS 484 erstattes med den internationale standard ISO/IEC Overgangen til ISO/IEC vil bidrage til etablering af et afstemt og passende sikkerhedsniveau i organisationerne, samtidig med at sikkerhedsarbejdet forankres yderligere i organisationens ledelse. Indtil den næste revision af ISO/IEC er det frivilligt for organisationerne i staten, om de vælger at anvende den ene eller anden standard. Der er endvidere ikke krav om certificering efter standarden, men alene om, at organisationerne arbejder efter den. Hvem henvender vejledningen sig til? Vejledningen er henvendt dels til dem, som implementerer og beskæftiger sig med informationssikkerhedsarbejdet i det daglige, og dels til den ansvarlige ledelse. Ledelsen kan primært have glæde af at læse afsnittet om ansvar og opgaver for ledelsen i organisationen. 1 Se publikationen Enkel administration i staten på

4 04 > ISO/IEC indeholder i princippet de samme sikringsforanstaltninger som DS 484, men der er ikke minimumskrav til, hvilke sikringsforanstaltninger som skal implementeres. Der er ikke tale om, at organisationerne i staten nu skal starte forfra med sikkerhedsarbejdet. De kan bygge videre på det eksisterende informationssikkerhedsarbejde, men i højere grad fokusere på etablering af ledelsesopbakning, risikovurdering og tilstrækkelige sikringsforanstaltninger. Det er forventningen, at det arbejde, der skal udføres i forbindelse med ISO/IEC 27001, er begrænset til nogle enkelte aktiviteter, da meget allerede er gennemført som en del af den eksisterende DS 484-implementering. Hvor meget, der skal justeres, afhænger dog af, hvor langt organisationen er i sikkerhedsarbejdet, og organisationens risikoprofil. Det er hensigten, at vejledningen er praktisk anvendelig og kan hjælpe de informationssikkerhedsansvarlige over de forhindringer, der ellers vil kunne forsinke processen. Konkrete implementeringsaktiviteter i forhold til detaljerede problemstillinger falder uden for vejledningens formål. Vejledningen indeholder to dele: Dels en introduktion til ISO/IEC og dels en beskrivelse af processen for sikkerhedsarbejdet efter standarden. Læs standarden Denne vejledning kan ikke stå alene. Det anbefales, at organisationen anskaffer standarden og læser den sammen med denne vejledning. Standarden kan erhverves igennem standardiseringsorganisationer, som f.eks. Dansk Standard på

5 05 Introduktion > ISO/IEC ISO/IEC er en standard, som beskriver, hvordan en organisation kan opbygge et ledelsessystem for informationssikkerhed, et såkaldt ISMS 2. Systemet betoner en ledelsesforankret, forretningsorienteret og risikovurderingsbaseret tilgang til sikkerhed. Standarden lægger op til, at der tages udgangspunkt i den enkelte organisations risikoprofil. Med afsæt heri vælges implementering af de sikkerhedstiltag, der er passende og tilstrækkelige for den enkelte organisation. forbindelse med outsourcing og samarbejdsprojekter. Udbredelsen af standarden i staten vil give staten adgang til et større marked af sikkerhedsydelser. Den involvering af ledelsen i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau ud fra en risikobaseret tilgang, som ISO/IEC lægger op til, ligger i forlængelse af de udmeldte principper for god intern statslig administration, hvor der bl.a. er fokus på nødvendighed og proportionalitet i administration og regulering. Valget af en international standard, der vedligeholdes af eksperter på tværs af landegrænser, sikrer, at kvaliteten af standarden er høj. Endvidere er sikkerhedsudfordringer i dag internationale, og sikkerhedstiltag vil derfor skulle koordineres på tværs af landegrænser. 2 Information Security Management System Endelig er ISO/IEC en standard, som både private og offentlige virksomheder arbejder efter, og den vil derfor kunne udgøre et fælles sprog i

6 06 > ISO/IEC fokuserer på tre centrale områder: En risikobaseret stillingtagen til sikkerhed, dvs. proportionalitet i valget af sikringsforanstaltninger og procedurer i informationssikkerhedsarbejdet. Det bidrager til etablering af et passende sikkerhedsniveau, der er afstemt i forhold til organisationens forretning og risikobillede. Ledelsesforankring, hvor organisationens ledelse involveres direkte i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau og godkender hvilket risikoniveau, der er acceptabelt for organisationen. Dokumentation af ledelsens involvering i arbejdet med informationssikkerhed. Dokumentationen har til formål at sikre ledelsens involvering samt synliggøre ledelsens ansvar for informationssikkerheden i organisationen.

7 07 Ansvar og opgaver > De roller i arbejdet med informationssikkerhed, som var beskrevet i DS 484, og som staten derfor hidtil har arbejdet med, er ikke forandret i ISO/IEC Opgaver for lederen af organisationen Arbejdet med informationssikkerhed er en løbende proces, som skal integreres i det samlede arbejde med ledelse og styring af organisationen. Informationssikkerhed er et ledelsesansvar ligesom økonomistyring, arbejdsmiljø, service eller borgerbetjening. Det er et krav i standarden, at ledelsen er involveret i arbejdet med informationssikkerhed, og at dette er dokumenteret. Eksempler på dokumentation af ledelsesinvolveringen kan f.eks. være godkendte sikkerhedsdokumenter eller referater fra aktiviteter, hvor ledelsen har deltaget. I forbindelse med sikkerhedsarbejdet udarbejdes nogle dokumenter, som beskriver organisationens væsentligste sikkerhedsmål og tiltag. Disse dokumenter, som er behandlet senere i vejledningen, bør indgå i den eksisterende ledelsesproces i organisationen, så de drøftes i de relevante ledelsesfora, der kan tage beslutninger og sikre opfølgning. Ledelsens primære opgave i sikkerhedsarbejdet er ikke ændret i forhold til tidligere. Opgaven er stadig at fastlægge niveauet for sikkerhed i organisationen og at sikre, at informationssikkerhedsarbejdet i organisationen bliver en naturlig og integreret del af det daglige arbejde. Et effektivt og tilstrækkeligt sikkerhedsniveau fordrer, at ledelsen sikrer, at sikkerhedstiltagene vælges, prioriteres og tilpasses organisationens behov og imødegår de risici, som er identificeret som de kritiske. Risikovurderingen tager udgangspunkt i de informationsaktiver, der er væsentlige for organisationen. Identifikationen af aktiverne foretages ved en gennemgang af de mest kritiske og centrale forretningsprocesser/aktiviteter, som institutionen udfører, og de dertil knyttede informationer og data. Ledelsen skal være aktiv aktør i denne analyse.

8 08 > 3 Denne vil f.eks. have titel af informationssikkerhedskoordinator, informationssikkerhedschef eller informationssikkerhedsleder. Den ledelsesgodkendte risikovurdering danner grundlaget for at fastsætte de mål og sikringsforanstaltninger, der løbende rapporteres på. I rapporteringer kan ledelsen løbende følge med i og vurdere tilstrækkeligheden af indsatsen i arbejdet med styring af informationssikkerheden. Opgaver for lederen af informationssikkerhedsarbejdet 3 Lederen af informationssikkerhedsarbejdet skal bidrage til, at opgaverne vedrørende informationssikkerhed bliver udført i organisationen på en måde, som er i overensstemmelse med den overordnede ledelses beslutninger. Lederen af informationssikkerhedsarbejdet skal sikre, at ledelsen kender sammenhængen mellem organisationens forretning, risikoprofil og de valgte sikringsforanstaltninger. Lederen af informationssikkerhedsarbejdet skal understøtte og sikre disse foranstaltningers stabilitet og resultater. Lederen af informationssikkerhedsarbejdet er faglig ekspert på området og skal omsætte standardens indhold og eventuelle lovkrav til konkrete aktiviteter og sikringsforanstaltninger, der kan implementeres i organisationen. I forlængelse heraf skal der følges op på, om arbejdet giver det ønskede resultat. Det konkrete arbejde udføres ofte i samarbejde med andre, f.eks. it-afdelingen, indkøbsafdelingen, personaleafdelingen og eksterne samarbejdsparter. Lederen af informationssikkerhedsarbejdet har typisk en koordinerende og vigtig rolle i organisations arbejde med informationssikkerhed. Ledelsesopbakning forudsætter en fyldestgørende og operationel rapportering på informationssikkerhedsarbejdet til den overordnede ledelse. I nogle organisationer har man oplevet, at et fokus på sikkerhedspolitikken fra revisionens side har gjort dialogen nemmere. I de fleste situationer er det en udfordring at skaffe ledelsesopbakning. Mange ledere af informationssikkerhedsarbejdet opfatter det som en salgs- og markedsføringsopgave, som man må være parat til at tage, når muligheden er der for at få en dialog med den ansvarlige leder. Det er altid at foretrække at få et egentligt møde.

9 09 Standardens indhold > ISO/IEC beskriver en model for etablering, implementering, drift, overvågning, revudering/ vedligeholdelse og forbedring af et dokumenteret ledelsessystem for informationssikkerhed (det såkaldte ISMS). Standarden er beregnet til brug for alle virksomheder og organisationer uanset type og størrelse. Standarden omhandler informationssikkerhed og ikke alene it-sikkerhed. Den omhandler således alle informationsaktiver (fysiske, medarbejdere, it-mæssige mv.), der lagrer eller behandler informationer og er nødvendige, for at organisationen kan nå sine mål. Den konkrete udformning, omfanget og detaljeringsgraden af ledelsessystemet for informationssikkerhed fastlægges af organisationens ledelse ved at gennemføre en risikovurdering og en analyse af organisationens ønsker, krav og risikoprofil. Styring af lovmæssige krav og kontraktkrav Styring af mennesker processer, træning og kommunikation Styring af informationssikkerhed Styring af it-systemer og fysisk sikkerhed Figur 1: Elementer af informationssikkerhed På baggrund af en ledelsesforankret risikovurdering skal ledelsen vælge relevante og passende sikkerhedsforanstaltninger, som beskytter infor-

10 10 > mationsaktiverne og skaber tillid hos organisationens samarbejdspartnere, brugere og andre interessenter. De enkelte opgaver i standarden følger en model, der kan opdeles i fire faser. På engelsk benævnes modellen Plan, Do, Check, Act (forkortet PDCA) planlæg, udfør, kontrollér og handl. Denne faseopdeling ligger til grund for procesmodellen, som beskrives i denne vejlednings anden halvdel. Udover de opgaver, som er beskrevet i selve standarden, er der i anneks A en række forslag til sikringsforanstaltninger. For hver sikringsforanstaltning vurderes det, hvorvidt den er relevant at implementere i forhold til virksomhedens risikobillede. Enkelte af sikringsforanstaltningerne er påkrævet ifølge ISO/IEC og kan således ikke fravælges. Sikringsforanstaltningerne er opdelt i 11 domæner (figur 3), der svarer til de områder, der kendes fra det eksisterende informationssikkerhedarbejde. P D A C Figur 2: Procesmodel - PDCA

11 11 > Den risikobaserede tilgang Arbejdet med informationssikkerhed går på tværs af organisationen og omfatter både teknik, processer og adfærd. Traditionelt er der fokus på teknik og processer, men den menneskelige faktor må medtænkes. Inden for hvert fokusområde kan der være risici, som skal identificeres, vurderes og håndteres. Arbejdet med informationssikkerhed skal passe til hverdagens udfordringer, og det er muligt med ISO/IEC En risikobaseret tilgang opfattes måske som en forandring, som vil kunne møde modstand. Men det er netop gennem en vurdering af hvilke risici organisationen står over for, hvilke risici organisationen skal håndtere, og hvilke den kan leve med, at informationssikkerhedsarbejdet får værdi. Den risikobaserede tilgang er altså en lejlighed til at identificere muligheder for at justere organisationens ressourceforbrug og administrative byrder i forbindelsen med sikkerhedsarbejdet til det risikobillede, som organisationen reelt står overfor. Samtidig er den grundlaget for vurderingen af, om de implementerede sikringsforanstaltninger er passende. ISO/IEC A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 Sikkerhedspolitik Organisering af informationssikkerhed Styring af aktiver Medarbejdersikkerhed Fysisk og miljømæssig sikkerhed Styring af kommunikation og drift Adgangsstyring Anskaffelse, udvikling og vedligeholdelse af informationssystemer Styring af informationssikkerhedshændelser Beredskabsstyring Compliance - Overensstemmelse med krav og politikker Figur 3: De 11 domæner i ISO/IEC 27001

12 12 Gode råd > 1 Arbejdet med informationssikkerhed skal give værdi og mening for den enkelte medarbejder What is in it for me?. 2 Der skal være et ledelsessystem og en medarbejderpolitik, som understøtter medarbejdernes arbejde med informationssikkerhed, f.eks. udtrykt i jobprofilen, medarbejdersamtalen eller medarbejderevalueringen. 3 Ikke alle har kvalifikationer på informationssikkerhedsområdet. Der bør kommunikeres og trænes i de nye kompetencer, der er behov for. 4 Der er brug for rollemodeller. Det er tit de ildsjæle, der er kendt i arbejdet med informationssikkerhed, men det kan også være medarbejdere, som i forvejen er faglige rollemodeller i andre sammenhænge.

13 13 Processen > Procesmodellen I resten af vejledningen gennemgås de fire faser i procesmodellen (figur 4). For hver fase er der fokuseret på de væsentligste aktiviteter og resultaterne heraf. Samtidig omtales for hver fase nogle af de udfordringer, der kan være ved aktiviteterne, og der gives nogle gode råd til at håndtere disse udfordringer. Afstem forventninger til sikkerhed Plan Do Implementer sikkerhedsarbejdet Hvor starter man? Da alle statslige organisationer har arbejdet med en informationssikkerhedsstandard, er det forskelligt hvor i procesmodellen, der er behov for at starte. Hvis organisationen står over for at skulle opdatere risikovurderingen, vil det være naturligt at starte i planlægningsfasen (Plan). Er der derimod et behov for at følge op på det sikkerhedsarbejde, der allerede er implementeret, eller at vurdere sikkerhedsniveauet og effektiviteten af de implementerede sikringsforanstaltninger, vil det være mere naturligt at starte i kontrolfasen (Check). Act Eventuelle forbedringer i sikkerhedsarbejdet Check Måling, test og rapportering på sikkerhed Figur 4: Procesmodel for ledelsesforankret informationssikkerhed

14 14 Afstem forventninger til sikkerhed (Plan) > Plan Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Definér og afgræns omfanget af ledelsessystemet for informationssikkerhed (ISMS) Definér ISMS-politik Gennemfør risikovurdering Udvælg sikringsforanstaltninger Udarbejd Statement of Applicability (SoA-dokumentet) Ledelsen godkender risikovurderingens resultat, SoA-dokumentet og ISMSpolitikken Sammenhæng mellem mål for informationssikkerhed, forretningens mål og behov Begreber og metode i risikovurderingen Opbakning og involvering af relevante aktører Udvælgelse af relevante og kritiske informationsaktiver Kommunikation til alle målgrupper / awareness Definér og afgræns ledelsessystem for informationssikkerhed (ISMS) Erfaringerne fra arbejdet med DS 484 viser, at det er centralt at etablere ledelsesmæssig opbakning, fokus i organisationen og ressourcer til arbejdet med informationssikkerhed. Overgangen til ISO/IEC ændrer ikke på dette. Informationssikkerhed er stadig et ledelsesansvar, og det er stadig nødvendigt for lederen af informationssikkerhedsarbejdet at tilrettelægge en proces, der i organisationen opleves som et konstruktivt og positivt bidrag til organisationens kerneaktiviteter. Organisationen skal identificere sine væsentligste opgaver og kritiske informationsaktiver til en risikovurdering. Med risikovurderingen vurderes konse-

15 15 > kvensen ved og sandsynligheden for tab af fortrolighed, integritet eller tilgængelighed af informationsaktiver. Resultatet af risikovurderingen danner grundlag for fastlæggelsen af omfanget og afgrænsningen af ledelsessystemet for informationssikkerhed (ISMS) og for en udvælgelse og implementering af passende sikringsforanstaltninger. Organisationens erfaringer fra det hidtidige sikkerhedsarbejde og eventuelle sikkerhedshændelser kan indgå i grundlaget for vurderingen. Ledelsessystem for informationssikkerhed (ISMS) definitionen i ISO/IEC Den del af det samlede ledelsessystem, der med udgangspunkt i en vurdering af forretningsmæssige risici dækker etablering, implementering, drift, overvågning, revurdering, vedligeholdelse og forbedring af informationssikkerhed. Et ISMS omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvarsområder, skikke, procedurer, processer og ressourcer. Beslutningen om afgrænsning af opgaven og prioritering af aktiviteter bør beskrives i en egentlig handlingsplan, der godkendes af ledelsen. Definér ISMS-politik De fleste organisationer har allerede en informationssikkerhedspolitik. Der er ikke nødvendigvis nogen forskel på den nuværende politik og en politik baseret på ISO/IEC Formulering af en informationssikkerhedspolitik udtrykker de forventninger, krav, mål, prioriteringer og konkrete beslutninger, som ledelsen har vedtaget for sikkerheden i en organisation. Politikken skal passe til organisationens forretningsmålsætning og sætte rammerne for formulering af formålet med informationssikkerhedsarbejdet. Gennemfør risikovurdering I statens hidtidige arbejde med informationssikkerhed har det været meget forskelligt, hvilken metode organisationerne har anvendt til risikovurderingen.

16 16 > Nogle har brugt en kvantitativ metode, mens andre mere kvalitativt har vurderet trusler og risici. Denne forskellighed afspejler bl.a. variationen i, hvad statens organisationer beskæftiger sig med. ISO/IEC ændrer ikke ved dette. Det vigtigste i arbejdet med en risikovurdering er fortsat at beskrive organisationens specifikke risici, beskrive den valgte metode og anvende metoden konsekvent. I analysen vurderes risici for tab af tilgænge-lighed, fortrolighed og integritet i forhold til de forretningsmæssige konsekvenser af en sikkerhedshændelse samt sandsynligheden for, at den indtræffer. Risikovurderingen gennemføres på det, som i standarden kaldes informationsaktiver. Det er både it-systemer og applikationer, fysiske informationsaktiver i form af f.eks. papiraktiver, væsentlige arbejdsprocesser, medarbejdere mv. Langt de fleste organisationer har foretaget en risikovurdering mindst én gang. Er der endnu ikke foretaget en risikovurdering, er det vigtigt at starte med de aktiver eller processer, som er vigtigst for organisationen. I gennemførelsen af risikovurderingen skal som minimum inddrages dem, der ejer informationsaktiverne, og den ansvarlige ledelse. Det kan dog være en rigtig god ide at inddrage flere personer, da risikovurderingen er en god lejlighed til holdningsbearbejdning og kommunikation om informationssikkerhed. Risikovurderingen vil give deltagerne en bedre forståelse af det samlede risikobillede og dermed af behovet for sikringsforanstaltninger. Hvis organisationens informationssikkerhedsarbejde er opdelt på flere områder i organisationen, er det vigtigt, at risici vurderes efter samme metode på tværs af organisationen, og at sikringsforanstaltningerne koordineres. Det er vigtigt at vælge den metode til risikovurdering, som passer til organisationen. De begreber og metoder, der er brugt i det hidtidige informationssikkerhedsarbejde, kan med fordel videreføres, hvis de har fungeret godt.

17 17 > Eksempler på trusler og sårbarheder I ISO/IEC (som er en tilhørende standard, se litteraturlisten) findes nogle eksempler og vejledninger, som organisationen kan vælge at tage udgangspunkt i. Uanset den valgte metode skal risikovurderingen indeholde en vurdering af konsekvensen ved, at en sikkerhedshændelse indtræffer. Denne konsekvens kan opgøres ud fra forskellige forhold som økonomi, image, politisk og strategisk konsekvens. Den samlede konsekvens kan udtrykkes i både kvalitative størrelser og i egentlige økonomiske omkostninger. Konsekvensvurderingen skal suppleres med en vurdering af sandsynligheden for, at risikoen indtræffer. Denne sandsynlighed kan vurderes generelt eller i relation til konkrete trusler. Vurderingen er ofte svær, da der sjældent findes oplysninger om de forskellige truslers reelle sandsynlighed. Her kan der med fordel tages udgangspunkt i organisationens erfaringer med truslen. Udvælg sikringsforanstaltninger Når risikovurderingen er gennemført, bør der tages stilling til de enkelte risici med udgangspunkt i de mest kritiske risici først. Risikovurderingen danner grundlag for behovet for beskyttelse af informationsaktiverne, og skal sammenholdes med de sikringsforanstaltninger, som er implementeret i organisationen. Effektiviteten af disse sikringsforanstaltninger bestemmer den faktiske risikominimering. På de punkter, hvor risikovurderingen af det samlede sikkerhedsniveau viser, at niveauet ikke opfylder behovet, må nødvendigheden af yderligere sikringsforanstaltninger vurderes. Sikkerhedsarbejdet kan ikke fjerne risici fuldstændigt. Der vil aldrig være en situation, hvor der ingen risiko er, uanset hvor mange sikringsforanstaltninger der måtte være implementeret. Sikkerhedsarbejdet kan derimod gøre, at risici er vurderet og minimeret i passende grad til, at restrisikoen er overskuelig og acceptabel.

18 18 > Valget af passende sikringsforanstaltninger vurderes bl.a. ud fra den omkostning, der er ved foranstaltningen, sammenholdt med den omkostning, som konsekvensen af en sikkerhedshændelse vil kunne have, hvis den indtræffer, og sandsynligheden herfor. Det er hensigtsmæssigt, at denne afvejning forelægges ledelsen, idet niveauet af resterende risiko skal godkendes af ledelsen. Udarbejd Statement of Applicability (SoA-dokumentet) Standardens anneks A indeholder en samling sikringsforanstaltninger. Organisationen kan med udgangspunkt heri vurdere og begrunde til- og fravalg af sikringsforanstaltninger ud fra den risikovurdering, der er gennemført. SoA-dokumentet er centralt og bør være et af nøgledokumenterne i arbejdet med informationssikkerhed. Det kan betragtes som et statusnotat for organisationens arbejde med informationssikkerhed og som beslutningsdokumentation for valg og fravalg. Organisationen skal ved udarbejdelsen af SoAdokumentet som minimum forholde sig til, hvilke sikringsforanstaltninger i standardens anneks A, som er relevante. Anneks A svarer i store træk til de sikringsforanstaltninger, der kendes fra DS 484. Anneks A er ikke nødvendigvis fyldestgørende, og organisationen kan eventuelt tilføje andre sikringsforanstaltninger, som er relevante i forhold til det vurderede risikobillede. Anneks A indeholder de relevante sikkerhedsområder, som den gennemførte risikovurdering principielt må omfatte. I SoA-dokumentet anføres det og begrundes, hvorvidt sikringsforanstaltninger på et givet område er relevant for organisationen eller ej. SoA-dokumentet giver således et overblik over arbejdet med informationssikkerhed og input til den fortsatte proces. Ledelsens godkendelse Som afslutning på Plan-fasen skal der foreligge ledelsesgodkendt dokumentation vedrørende resultatet af organisationens risikovurdering, ISMS-politik og SoA-dokumentet.

19 19 Implementér sikkerhedsarbejdet (Do) > Plan Do Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Udarbejd plan for risikohåndtering Opdater informationssikkerhedspolitik, retningslinjer og beredskabsplan mm. Implementér procedure til registrering af sikkerhedshændelser Ledelsen godkender sikkerhedspolitik, regningslinjer og beredskabsplan Gennemfør intern kommunikation om informationssikkerhed Prioritering og vurdering af risici Valg af kommunikationsform og gennemførelse af kommunikation om informationssikkerhed Udarbejd plan for risikohåndtering Forslag til sikringsforanstaltninger skal tage udgangspunkt i resultatet af risikovurderingen, og det skal beskrives, hvordan der opnås det sikkerhedsniveau på de enkelte områder, som er beskrevet i politikken.

20 20 > Risikohåndtering kan gennemføres på fire måder: Minimering. Risici, som i praksis kan reduceres, kan imødegås med sikringsforanstaltninger af teknisk eller organisatorisk art. Omgåelse. Risici kan gøres irrelevant ved en ændring af arbejdsopgaver, organisation eller processer. Overførsel. Risici kan overføres til andre, f.eks. ved at organisationen tegner en forsikring. Accept. Risici kan accepteres, som de er. Langt de fleste risici er nemme at vurdere og finde passende sikringsforanstaltninger imod. Andre sikringsforanstaltninger kan være mere komplicerede at identificere eller implementere, og her kan det være nødvendigt at inddrage andre for at vurdere, hvad der kan gøres. I risikohåndteringen skal der tages udgangspunkt i de risici, som i risikovurderingen ønskes minimeret eller omgået, og der skal designes relevante sikringsforanstaltninger og ændrede procedurer af teknisk eller organisatorisk art. For risici, som i risikovurderingen er vurderet at kunne overføres til andre, skal denne overførsel konkretiseres. Risici, som er vurderet som acceptable, skal der ikke gøres noget ved. Sikkerhedsforanstaltningerne implementeres ifølge en plan for konkrete aktiviteter. Information om konkrete sikringsforanstaltninger falder uden for denne vejlednings formål, men der kan findes nærmere retningslinjer for implementering i ISO/ IEC (som er en tilhørende standard, se litteraturlisten). Planen for informationssikkerhedsstyringen skal omfatte en identifikation af ansvarlige personer og mål for arbejdet. Endvidere beskrives den samlede ressourceanvendelse med hensyn til årsværk og omkostninger til tekniske og organisatoriske foranstaltninger.

21 21 > Hændelsesstyring Som en del af implementeringen af informationssikkerhedsstyringen udarbejdes der retningslinjer og procedurer for at følge op på, om de valgte sikringsforanstaltninger har den ønskede effekt på de risici, organisationen ønsker at styre. Registrering af sikkerhedshændelser er en vigtig opgave i dette arbejde. Medarbejdernes bevidsthed om brud på sikkerhed, viden om rapporteringskanaler og planer for håndtering af sikkerhedshændelser er derfor vigtige led i implementeringsprocessen. Resultatet af denne aktivitet kan være en retningslinje, der beskriver, hvordan man i organisationen identificerer, analyserer og rapporterer sikkerhedshændelser. Det anbefales, at retningslinjen udarbejdes i samarbejde med de it-ansvarlige, da det ofte er dem, der først modtager information om sikkerhedshændelser. behovet for at udbrede sikkerheds- awareness i organisationen. Da politikken udtrykker ledelsens forventninger til og mål for sikkerhedsarbejdet og prioriteringer og konkrete beslutninger, kan informationssikkerhedspolitikken med fordel udbredes internt i organisationen og til relevante interessenter uden for organisationen. Et vigtigt element i kommunikation til medarbejderne er, hvorfor sikkerhedsarbejdet er vigtigt, og hvilken rolle og opgave den enkelte medarbejder har. Det er en god idé at tænke i flere kommunikationsformer og målrette kommunikationen til de forskellige målgrupper. Skriftlig information, mundtlige oplæg, informationsbreve, interne kurser, opslag, quizzer og konkurrencer kan alle være relevante måder at kommunikere på. Indholdet tager afsæt i informationssikkerhedspolitikken med fokus på det, som er relevant for den enkelte medarbejder. Kommunikation og kompetence Når der foreligger en oversigt over passende sikringsforanstaltninger, skal der træffes beslutning om behovet for træning af medarbejdere og om

22 22 > Udarbejd en kommunikationsplan Formål og målsætninger Nøglebudskaber og vigtigste mål Målgrupper Kommunikationskanaler og medievalg tilpasset målgrupperne Aktiviteter, ansvarlige personer og deadlines Økonomi og ressourceanvendelse Opfølgning og tilpasning af kommunikationen Ledelsens godkendelse Det samlede resultatet af denne fase er en handlingsplan, hvor overvejelser og beslutninger dokumenteres. Ledelsen skal godkende elementerne i handlingsplanen, herunder planen for risikohåndtering, sikkerhedspolitikken, procedure for hændelsesstyring, kommunikationsplan og den samlede ressourceanvendelse på sikkerhedsarbejdet.

23 23 Måling, test og rapportering på sikkerhed (Check) > Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Check Mål og test sikkerhedsniveauet Vurder om der er sket ændringer, som påvirker informationssikkerheden Rapportér sikkerhedsniveauet til ledelsen Ledelsen godkender sikkerhedsrapportering Fastlægge målepunkter Vurdere og teste sikringsforanstaltningerne Rapportere på en forståelig og interessant måde Måling, test og rapportering I denne fase gennemføres en opfølgning eller egentlig test af, om sikringsforanstaltningerne er tilstrækkelige og effektive til håndtering af risici og sikkerhedshændelser, samt om ressourceanvendelsen er hensigtsmæssig og står mål med resultatet. Der evalueres, om informationssikkerhedspolitikken og de tilhørende retningslinjer efterleves, og hvad der er det faktiske sikkerhedsniveau i organisationen.

24 24 > Testmetoder og opfølgning Opfølgningen kan udføres på flere måder. Der kan gennemføres tekniske test af systemer og applikationer for at afdække deres eventuelle sårbarheder. Der kan samles op på, hvad der er sket af sikkerhedshændelser og gennemført af korrigerende handlinger. Der kan gennemføres interviews eller indhentes anden feedback fra medarbejdere, f.eks. ved at gennemføre en spørgeskemaundersøgelse om organisationens implementering, forståelse og efterlevelse af informationssikkerhedspolitikken og retningslinjer. Tests og rapportering bør foretages af en kvalificeret og uafhængig person, som ikke er direkte involveret i den daglige drift af de sikringsforanstaltninger, som evalueres. I tilfælde, hvor sikringsforanstaltninger er meget komplekse at vurdere og forudsætter specialviden, kan der med fordel anvendes eksterne eksperter til test og vurdering. Organisationen bør gennemføre tekniske test af de væsentligste sikringsforanstaltninger for at sikre, at de virker efter hensigten. Hvor der er implementeret nye løsninger, eller risikobilledet har ændret sig, bør der gennemføres en fornyet risikovurdering og en test for at få fastlagt det reelle risikobillede. Risikobilledet kan have ændret sig, hvor der er sket ændringer i organisationens struktur, i dens informationssystemer eller i fysiske eller tekniske anlæg eller ved ydre påvirkninger såsom ændrede mål for organisationen eller et ændret regelgrundlag. Ledelsens godkendelse Resultatet af evalueringen består af dokumentationen for de gennemførte test og en samlet vurdering af sikringsforanstaltningernes tilstrækkelighed og effektivitet. Evalueringen skal godkendes af ledelsen. Det anbefales, at der i rapporteringen fokuseres på de væsentligste risici og de vigtigste områder af SoA-dokumentet. Vær opmærksom på, at risici

25 25 > og resultater skal kommunikeres på et niveau og i et sprog, som giver mening for ledelsen, og skal kunne danne grundlag for ledelsesbeslutninger. Med ledelsens godkendelse af rapporteringen er der samtidig tilvejebragt et opdateret grundlag for forslag til nødvendige, korrigerende handlinger og forbedringer af informationssikkerheden eller til afskaffelse af sikringsforanstaltninger, som ikke længere vurderes at være nødvendige. Der er dermed etableret et kvalificeret grundlag for at træffe beslutninger om vurderingen af ændrede risici, om implementering af ændrede sikringsforanstaltninger og om behov for kompetenceudvikling og ressourcer til vedligeholdelsen af sikkerhedsniveauet. Evalueringen af informationssikkerhedsarbejdet og ledelsens godkendelse heraf bør ske som minimum én gang om året.

26 26 Eventuelle forbedringer i sikkerhedsarbejdet (Act) > Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Act Check Implementér ændringer i risikovurderinger, sikringsforanstaltninger mv. Ledelsen godkender forbedringsforslag Kommuniker ændringer til organisationen Afklaring af, om de foreslåede ændringer er de rigtige Opfølgning på risikovurderingen Som opfølgning på ledelsens godkendelse af sikkerhedsrapporteringen på sikkerhedsniveauet i organisationen og relevante opdateringer i risikovurderingen skal der eventuelt gennemføres en opdatering af den eksisterende plan for håndtering af risici. Opdateringen af risikovurderingen kan være mere eller mindre omfattende. Det vil afhænge af resultatet af de gennemførte test og målinger, ledelsens evaluering af hele informationssikkerhedsstyringen, eventuelle ændringer i trussels- eller risikoniveau, større organisatoriske ændringer eller andre relevante forhold. Hvis der er konstateret afvigelser i forhold til de definerede sikkerhedskrav og -politikker, bør de imødegås med korrigerende handlinger. Det er en god idé at udarbejde en konkret handlingsplan eller konkrete forslag til forbedringer i arbejdet med informationssikkerhed.

27 27 > På grundlag af den justerede plan for risikohånd-tering udarbejdes en mere overordnet plan for eventuelle forbedringer af styringen af informa-tionssikkerhed i overensstemmelse med organisationens målsætninger. De påtænkte forbedringer og ændringer beskrives for og godkendes af ledelsen. Der skal herefter ske relevant kommunikation til organisationen. På de områder, hvor handlingsplanen anviser nye indsatsområder, skal der ske planlægning og implementering af informationssikkerhedstiltag og sikringsforanstaltninger jf. de forudgående afsnit herom. Når ændringerne i informationssikkerhedsarbejdet er gennemført, kan de pågældende tiltag herefter indgå i den normale tilbagevendende måling, test og rapportering jf. afsnittet herom. Processen forsætter Arbejdet med informationssikkerhedsstyring er et af mange vigtige elementer i ledelsesarbejdet i organisationen og vil med tiden blive synkroniseret til den cyklus for ledelsesrapportering, som organisationen i øvrigt har. Om ressourcetrækket og omkostningerne ved sikkerhedsarbejdet med tiden tager af eller tager til, afhænger af udviklingen i organisationens risiko- og trusselbillede, og ikke mindst af at man kommer godt i gang med at implementere effektive og passende sikringsforanstaltninger. ISO/IEC hjælper organisationen med at løfte denne opgave og med at udvikle et ledelsessystem for informationssikkerhed, som passer til organisationens behov og risikoprofil.

28 28 Litteraturliste > ISO familien (ISO/IEC ) ISO/IEC indgår i en række af standarder om informationssikkerhed. ISO/IEC udgør den styringsmæssige ramme, mens de øvrige standarder udfylder denne ramme inden for områderne: Grundprincipper og ordliste (ISO/IEC 27000) Ledelsessystemer for informationssikkerhed (ISMS) krav (ISO/IEC 27001) Kontroller Regelsæt for styring af informationssikkerhed (ISO/IEC 27002) Implementering (ISO/IEC 27003) Effektivitetsmåling (ISO/IEC 27004) Risikovurdering (ISO/IEC 27005) Krav til organisationer der udfører revision og certificering (ISO/IEC 27006) Anden litteratur Humphreys, Edward: Information Security Risk Management: Handbook for ISO/IEC London: BSI, 2010 ISO/IEC for Small Businesses: Practical Advice. Genève: ISO, 2010

29 > Tekstforfattere på publikationen er Jørgen Sørensen og Charlotte Pedersen, Deloitte. IT- og Telestyrelsen Holsteinsgade København Ø Tlf

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Guide til implementering af ISO27001

Guide til implementering af ISO27001 Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations

Læs mere

Fra ad hoc-tilgang til en struktureret CSR-indsats

Fra ad hoc-tilgang til en struktureret CSR-indsats Tryksag 541-643 Gode råd Her er nogle gode råd til, hvordan I griber CSR-processen an. Kom godt i gang med standarder > > Sæt et realistisk ambitionsniveau > > Sørg for, at CSR er en integreret del af

Læs mere

Kommunikationsstrategi 2008-2012. Professionshøjskolen UCC

Kommunikationsstrategi 2008-2012. Professionshøjskolen UCC Kommunikationsstrategi 2008-2012 Professionshøjskolen UCC Indledning Kommunikationsstrategien beskriver, hvordan vi kommunikerer ud fra hvilke principper og med hvilke mål. Kommunikationsstrategien er

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1 Introduktion

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,

Læs mere

Digitaliseringsstrategi

Digitaliseringsstrategi gladsaxe.dk Digitaliseringsstrategi 2015-2018 Gladsaxe Kommune er med stor fart i gang med at forandre og effektivisere opgaveløsningen og skabe mere velfærd for borgerne ved at udnytte mulighederne gennem

Læs mere

Velkommen Gruppe SJ-1

Velkommen Gruppe SJ-1 Velkommen Gruppe SJ-1 Lasse Ahm Consult Torsdag, den 25. september 2014 15:35 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Identificering og imødegåelse af farer og risici

Identificering og imødegåelse af farer og risici dato 05.11.2012 Side 1 af 5 Identificering og imødegåelse af farer og risici Formål: At sikre, at risici bliver vurderet og at der tages passende forholdsregler til at imødegå ulykker og andre arbejdsmiljøbelastninger.

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Sundhedsstyrelsen Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Konklusion og anbefalinger September 2009 Sundhedsstyrelsen Evaluering af

Læs mere

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK Mission Critical o Projekt Information management o Processer, metoder & værktøjer. Side 1 of 11 Projekt information Projekt information management inkluderer alle de processer, som er nødvendige for at

Læs mere

Udvikling af ledelsessystemet i en organisation

Udvikling af ledelsessystemet i en organisation mindbiz Udvikling af ledelsessystemet i en organisation Poul Mouritsen Fra lederudvikling til ledelsesudvikling Tiderne ændrer sig og ledere bliver mere veluddannede inden for ledelsesfeltet. Den udvikling

Læs mere

Temperaturmåling på beskæftigelsesområdet

Temperaturmåling på beskæftigelsesområdet KPMG Statsautoriseret Revisionspartnerselskab Osvald Helmuths Vej 4 Postboks 250 2000 Frederiksberg Telefon 73 23 30 00 Telefax 72 29 30 30 www.kpmg.dk Temperaturmåling på beskæftigelsesområdet Faglig

Læs mere

Resume Københavns Universitet efterlever nu ISO 27001, om end der udestår en del konsekvensrettelser i IS-håndbog, sikkerhedspolitik mv.

Resume Københavns Universitet efterlever nu ISO 27001, om end der udestår en del konsekvensrettelser i IS-håndbog, sikkerhedspolitik mv. K Ø B E N H A V N S U N I V E R S I T E T Ledelsesteamet S A G S N O T A T 1. JUNI 2012 Vedr.: Statusrapport vedr. informationssikkerhed på KU for 2011 fra ISU til LT Sagsbehandler: Henrik Larsen Bilag:

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Kvalitetsledelse af jeres ydelser og services

Kvalitetsledelse af jeres ydelser og services Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for kvalitetsledelse på telefon 39 96 61 01 eller consulting@ds.dk. Kvalitetsledelse

Læs mere

2. Fødevareministeriet er en koncern

2. Fødevareministeriet er en koncern Ministeriet for Fødevarer, Landbrug og Fiskeri Fødevareministeriets effektiviseringsstrategi 1. Indledning 2. udgave af Fødevareministeriets effektiviseringsstrategi er udarbejdet i 2007. Effektiviseringsstrategien

Læs mere

Fra DS 484 til ISO 27001

Fra DS 484 til ISO 27001 Fra DS 484 til ISO 27001 Hvordan kan din virksomhed efterleve den internationale standard for informationssikkerhed - ISO 27001? En praktisk vejledning i at skifte fra den udgående danske standard, DS

Læs mere

Fælles regional retningslinje for arbejdsmiljø

Fælles regional retningslinje for arbejdsmiljø Psykiatri og Social Dansk Kvalitetsmodel på det sociale område Dato november 2011 i Region Midtjylland Fælles regional retningslinje for arbejdsmiljø Vejledning til, hvordan det enkelte tilbud kan arbejde

Læs mere

Guide til bedre beredskabsstyring. April 2015

Guide til bedre beredskabsstyring. April 2015 Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD

OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD Pia Clausen Seniorprojektleder Reg. Energisynskonsulent Tlf. 31 75 17 05 Nr. Farimagsgade 37-1364 København K Danmark Storegade 1-8382 Hinnerup Danmark

Læs mere

FOKUS. - Løbende evaluering af indsatser for bedre sagsbehandling i Københavns Kommune SPØRGESKEMA

FOKUS. - Løbende evaluering af indsatser for bedre sagsbehandling i Københavns Kommune SPØRGESKEMA FOKUS - Løbende evaluering af indsatser for bedre sagsbehandling i Københavns Kommune SPØRGESKEMA 1 Overblik Spørgeskemaet består af 15 hovedspørgsmål. Til hvert hovedspørgsmål er der et antal underspørgsmål.

Læs mere

Ledelsesbekendtgørelsen

Ledelsesbekendtgørelsen Ledelsesbekendtgørelsen Nye lovkrav til finansiel corporate governance Eftermiddagsseminar for Fondsmæglerselskaber, 5. maj 2015 Tine Walldén Jespersen, Partner, Advokat, LL.M. Indledende Ændringerne kort

Læs mere

KORT OM PROJEKTPORTEFØLJESTYRING. Af Jacob Kragh-Hansen, Execution Consulting Group

KORT OM PROJEKTPORTEFØLJESTYRING. Af Jacob Kragh-Hansen, Execution Consulting Group KORT OM PROJEKTPORTEFØLJESTYRING Af Jacob Kragh-Hansen, Execution Consulting Group KORT OM PROJEKTPORTEFØLJESTYRING INDHOLD 1 PROJEKTPORTEFØLJESTYRING 2 TYPISKE UDFORDRINGER 3 RATIONALE & GEVINSTER 4 ANBEFALET

Læs mere

Velkommen Gruppe SJ-1

Velkommen Gruppe SJ-1 Velkommen Gruppe SJ-1 Lasse Ahm Consult Onsdag, den 25. september 2013 15:26 1 Kl. 10.05 11.00 Bordet rundt Kl. 11.00 12.00 Den gode audit DS/EN ISO 19 011 Kl. 12.00 12.45 Frokost & networking Kl. 12.45

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

Hvordan effektiviserer I jeres processer

Hvordan effektiviserer I jeres processer Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for kvalitetsledelse og andre ledelsessystemer på telefon 39 96 61 01 eller

Læs mere

Forbedringspolitik. Strategi

Forbedringspolitik. Strategi Forbedringspolitik Strategi 1 2 Indhold Forord... 3 Formål... 5 Vi vil forandre for at forbedre... 6 Forbedringer tager udgangspunkt i patientforløb og resultatet for patienten... 7 Medarbejder og brugerinvolvering...

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act) Agenda AGENDA & Siscon Indledning Konsekvensanalyse (Plan) Omfang Parametre Konsekvensanalyse (Do) Forberedelse Gennemførelse Konsekvensanalyse (Check) Fremlæggelse Konsekvensanalyse (Act) Iværksæt tiltag

Læs mere

Som led i virksomhedsstyringen arbejder bestyrelsen og direktionen løbende med relevante

Som led i virksomhedsstyringen arbejder bestyrelsen og direktionen løbende med relevante 10. marts 2014 Standarder for god selskabsledelse Som led i virksomhedsstyringen arbejder bestyrelsen og direktionen løbende med relevante standarder for god selskabsledelse. Nedenfor redegøres for hvordan

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Rating af organisatoriske udfordringer i forbindelse med implementering af it-systemer

Rating af organisatoriske udfordringer i forbindelse med implementering af it-systemer Rating af organisatoriske udfordringer i forbindelse med implementering af it-systemer delmængde af implementeringskonceptet fra Region Hovedstaden/ v Therese Lundsgaard Formålet med at rate og beskrive

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner

Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner Kvalitetsenheden December 2013 Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner December 2013 Side 1 af 7 KVALITETSPOLITIK... 3 VISION OG MISSION...

Læs mere

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE 29.01.2015 HVEM ER JEG. LARS BÆRENTZEN Mere end 20 års erfaring som konsulent Rådgiver inden for IT- og informationssikkerhed

Læs mere

Informationssikkerhed

Informationssikkerhed Banedanmark Informationssikkerhed Overordnet politik Banedanmarks informationssikkerhedspolitik Version 4.0 10-12-2012 Indholdsfortegnelse Politik 2 Informationssikkerhedspolitik for Banedanmark 2 Indledning

Læs mere

Politik for Fortsat Drift Silkeborg Kommune

Politik for Fortsat Drift Silkeborg Kommune Politik for Fortsat Drift Silkeborg Kommune 2014-2017 Direktionen Indledning Silkeborg Kommune har ansvaret for at drive en række kritiske funktioner med direkte påvirkning af borgere og virksomheder.

Læs mere

Kommunikationsstrategi 2011-2014. UngSlagelse Ungdomsskolen i Slagelse Kommune

Kommunikationsstrategi 2011-2014. UngSlagelse Ungdomsskolen i Slagelse Kommune Kommunikationsstrategi 2011-2014 UngSlagelse Ungdomsskolen i Slagelse Kommune Indledning UngSlagelse har længe haft et ønske om flere brugere. Èn af de udfordringer som UngSlagelses står overfor er, et

Læs mere

Værktøj til selvanalyse af visitationsproce s- sen på det specialiserede socialområde for børn og for voksne

Værktøj til selvanalyse af visitationsproce s- sen på det specialiserede socialområde for børn og for voksne Januar 2011 Værktøj til selvanalyse af visitationsproce s- sen på det specialiserede socialområde for børn og for voksne KL har udviklet et værktøj til selvanalyse af visitationsprocessen på børnefamilieområdet

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

SÅDAN FÅR MINDRE VIRKSOMHEDER SUCCES MED KOMPETENCEUDVIKLING

SÅDAN FÅR MINDRE VIRKSOMHEDER SUCCES MED KOMPETENCEUDVIKLING SÅDAN FÅR MINDRE VIRKSOMHEDER SUCCES MED KOMPETENCEUDVIKLING ER VIRKSOMHEDENS MEDARBEJDERE KLÆDT PÅ TIL FREMTIDEN? SÅDAN FÅR MINDRE VIRKSOMHEDER SUCCES MED KOMPETENCEUDVIKLING KOMPETENCEUDVIKLING = NY

Læs mere

Roller og ansvar Grundlaget for ledelse i en ny organisationsstruktur

Roller og ansvar Grundlaget for ledelse i en ny organisationsstruktur Roller og ansvar Grundlaget for ledelse i en ny organisationsstruktur NOTAT HR-stab Arbejdet med en mere klar og tydelig ledelse er med dette oplæg påbegyndt. Oplægget definerer de generelle rammer i relation

Læs mere

DAFA s. HACCP-guidelines. I henhold til DS 3027. DAFA Side 1 af 9

DAFA s. HACCP-guidelines. I henhold til DS 3027. DAFA Side 1 af 9 s HA-guidelines I henhold til DS 3027 Side 1 af 9 s HA guidelines for Operatører. Afsnit 1 1.1. Hvad er HA? Side 3 1.2. HA-processen Side 4 1.3. Flowdiagram for HA-systemet Side 5 1.4. Kontrol og rapportering

Læs mere

Overblik over opgaver - organisation og styring

Overblik over opgaver - organisation og styring Sagsnr.: 2014/0004936 Dato: 23. juni 2014 Titel: Overblik over opgaver - organisation og styring Sagsbehandler: Pia Lægaard Andersen, Direktionskonsulent 1. Indledning Dette notat har til formål at skabe

Læs mere

Styregruppeformænd i SKAT Kort & godt (plastkort)

Styregruppeformænd i SKAT Kort & godt (plastkort) Håndbogen for Styregruppeformænd i SKAT Kort & godt (plastkort) 80% af alle projekter, hvor der er uigennemskuelighed fejler Lange projekter er mere risikofyldte end korte Transparente projekter har oftere

Læs mere

Workshop og møderække: Ledelse af den koordinerende sagsbehandler

Workshop og møderække: Ledelse af den koordinerende sagsbehandler Workshop og møderække: Ledelse af den koordinerende sagsbehandler Den tværsektorielle organisering og de ledelsesmæssige rammer er centrale for driften af den koordinerende sagsbehandlerfunktion. Rammevilkår,

Læs mere

Mål- og resultatplan

Mål- og resultatplan Mål- og resultatplan Indhold Strategisk målbillede 3 Mission og vision 3 Strategiske pejlemærker 4 Mål for 2016 7 Mål for kerneopgaver 7 Gyldighedsperiode og opfølgning 9 Påtegning 9 Model for kvartalsvis

Læs mere

Generelle lederkompetencer mellemledere

Generelle lederkompetencer mellemledere Generelle lederkompetencer mellemledere Personale- og teamledelse: min. niveau 3 Skaber et godt arbejdsklima gennem information, dialog og involvering Har øje for den enkeltes talenter og ressourcer Sikrer

Læs mere

Den Danske Kvalitetsmodel på det sociale område i Randers Kommue. Fælles kommunale retningslinjer for standard 1.1 kommunikation

Den Danske Kvalitetsmodel på det sociale område i Randers Kommue. Fælles kommunale retningslinjer for standard 1.1 kommunikation Den Danske Kvalitetsmodel på det sociale område i Randers Kommue Fælles kommunale retningslinjer for standard 1.1 kommunikation 2 Fælles kommunale retningslinjer for standard 1.1 kommunikation Den Danske

Læs mere

Kommissorium for revisionsudvalg

Kommissorium for revisionsudvalg Kommissorium for revisionsudvalg Bestyrelsen i Jeudan A/S har nedsat et revisionsudvalg bestående af Hans Munk Nielsen (formand), Stefan Ingildsen og Tommy Pedersen. Revisionsudvalget gennemgår regnskabs-,

Læs mere

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer. Thrane & Thranes bestyrelse har nedsat en revisionskomite. Revisionskomitéen Revisionskomiteens medlemmer er: Morten Eldrup-Jørgensen (formand og uafhængigt medlem med ekspertise inden for blandt andet

Læs mere

Strategisk lederkommunikation

Strategisk lederkommunikation Strategisk lederkommunikation Introduktion til kommunikationsplanlægning Hvorfor skal jeg lave en kommunikationsplan? Med en kommunikationsplan kan du planlægge og styre din kommunikation, så sandsynligheden

Læs mere

Handicap og Psykiatri. Social, Sundhed og Beskæftigelse. Handicap- og psykiatrichefen

Handicap og Psykiatri. Social, Sundhed og Beskæftigelse. Handicap- og psykiatrichefen Jobbeskrivelse Leder af driftsområdet Psykiatri Misbrug Udsatte Organisatorisk indplacering: Forvaltning: Reference til: Ledelse i forhold til: Handicap og Psykiatri Social, Sundhed og Beskæftigelse Handicap-

Læs mere

Præsentation af styregruppeaftale. Marts 2015

Præsentation af styregruppeaftale. Marts 2015 Præsentation af styregruppeaftale Marts 2015 Release v. 2.2 marts 2015 INDHOLDSFORTEGNELSE 1.Materiale til præsentation af styregruppeaftalen 1.1 Introduktion til styregruppeaftalen og rammer for styregruppens

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

God it-sikkerhed i kommuner

God it-sikkerhed i kommuner God it-sikkerhed i kommuner En vejledning til kommuner om at skabe et godt fundament for tryg og sikker behandling af kommunens og borgernes oplysninger. Vejledningen beskriver, hvordan DS484-baseret it-sikkerhedsledelse

Læs mere

Netplan A/S. Periodisk audit, P1. Ledelsessystemcertificering ISO 9001:2008. 2013-aug-30 til 2013-aug-30. Certificeringens dækningsområde

Netplan A/S. Periodisk audit, P1. Ledelsessystemcertificering ISO 9001:2008. 2013-aug-30 til 2013-aug-30. Certificeringens dækningsområde Ledelsessystemcertificering 2013-aug-30 til 2013-aug-30 Certificeringens dækningsområde DNV teamleader: Auditteam: Rådgivning indenfor IT- og telenetværk Jesper Halmind Jesper Halmind Projektnr.:PRJC-300259-2011-MSC-DNK

Læs mere

Lær jeres kunder - bedre - at kende

Lær jeres kunder - bedre - at kende Tryksag 541-643 Læs standarden for kundetilfredshedsundersøgelse: DS/ISO 10004:2012, Kvalitetsledelse Kundetilfredshed Overvågning og måling Vejledning I kan købe standarden her: webshop.ds.dk Hvis I vil

Læs mere

Management of Risks (M_o_R ) Professionel styring af risici

Management of Risks (M_o_R ) Professionel styring af risici Management of Risks (M_o_R ) Professionel styring af risici Indholdsfortegnelse 1. Resume... 3 2. Hvad er en risiko og hvad er Management of Risks... 3 3. Introduktion til M_o_R Management of Risk... 3

Læs mere

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig: Velkommen til Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016 1 Lidt om mig: Jan Støttrup Andersen Force Technology; Audit og Forretningsudvikling Konsulent indenfor ledelsessystemer

Læs mere