Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Størrelse: px
Starte visningen fra side:

Download "Ledelsesforankret informationssikkerhed. med ISO/IEC 27001"

Transkript

1 Ledelsesforankret informationssikkerhed med ISO/IEC 27001

2 02 Indhold > Forord INTRODUKTION ISO/IEC Ansvar og opgaver Standardens indhold PROCESSEN Procesmodellen Afstem forventninger til sikkerhed (Plan) Implementér sikkerhedsarbejdet (Do) Måling, test og rapportering på sikkerhed (Check) Eventuelle forbedringer i sikkerhedsarbejdet (Act) Litteraturliste... 28

3 03 Forord > De statslige organisationer er kommet langt i arbejdet med informationssikkerhed. Sikkerhedsarbejdet i organisationerne er modnet, og der er etableret et grundlag for det fremadrettede arbejde. Der er blandt andet skabt et fælles sprog for informationssikkerhed i staten, og samtidig er organisationernes ledelse i højere grad blevet involveret, så arbejdet med informationssikkerhed ikke længere alene drives af f.eks. it-afdelingen eller it-sikkerhedslederne. Endelig har arbejdet med informationssikkerhed fået større fokus på risikovurdering set i forhold til organisationens samlede mål og risikobillede. Modenheden i sikkerhedsarbejdet, statens generelle ønske om at vedligeholde et sæt af obligatoriske åbne standarder og regeringens ønske om en enklere administration 1 gør, at den nuværende standard for informationssikkerhed DS 484 erstattes med den internationale standard ISO/IEC Overgangen til ISO/IEC vil bidrage til etablering af et afstemt og passende sikkerhedsniveau i organisationerne, samtidig med at sikkerhedsarbejdet forankres yderligere i organisationens ledelse. Indtil den næste revision af ISO/IEC er det frivilligt for organisationerne i staten, om de vælger at anvende den ene eller anden standard. Der er endvidere ikke krav om certificering efter standarden, men alene om, at organisationerne arbejder efter den. Hvem henvender vejledningen sig til? Vejledningen er henvendt dels til dem, som implementerer og beskæftiger sig med informationssikkerhedsarbejdet i det daglige, og dels til den ansvarlige ledelse. Ledelsen kan primært have glæde af at læse afsnittet om ansvar og opgaver for ledelsen i organisationen. 1 Se publikationen Enkel administration i staten på

4 04 > ISO/IEC indeholder i princippet de samme sikringsforanstaltninger som DS 484, men der er ikke minimumskrav til, hvilke sikringsforanstaltninger som skal implementeres. Der er ikke tale om, at organisationerne i staten nu skal starte forfra med sikkerhedsarbejdet. De kan bygge videre på det eksisterende informationssikkerhedsarbejde, men i højere grad fokusere på etablering af ledelsesopbakning, risikovurdering og tilstrækkelige sikringsforanstaltninger. Det er forventningen, at det arbejde, der skal udføres i forbindelse med ISO/IEC 27001, er begrænset til nogle enkelte aktiviteter, da meget allerede er gennemført som en del af den eksisterende DS 484-implementering. Hvor meget, der skal justeres, afhænger dog af, hvor langt organisationen er i sikkerhedsarbejdet, og organisationens risikoprofil. Det er hensigten, at vejledningen er praktisk anvendelig og kan hjælpe de informationssikkerhedsansvarlige over de forhindringer, der ellers vil kunne forsinke processen. Konkrete implementeringsaktiviteter i forhold til detaljerede problemstillinger falder uden for vejledningens formål. Vejledningen indeholder to dele: Dels en introduktion til ISO/IEC og dels en beskrivelse af processen for sikkerhedsarbejdet efter standarden. Læs standarden Denne vejledning kan ikke stå alene. Det anbefales, at organisationen anskaffer standarden og læser den sammen med denne vejledning. Standarden kan erhverves igennem standardiseringsorganisationer, som f.eks. Dansk Standard på

5 05 Introduktion > ISO/IEC ISO/IEC er en standard, som beskriver, hvordan en organisation kan opbygge et ledelsessystem for informationssikkerhed, et såkaldt ISMS 2. Systemet betoner en ledelsesforankret, forretningsorienteret og risikovurderingsbaseret tilgang til sikkerhed. Standarden lægger op til, at der tages udgangspunkt i den enkelte organisations risikoprofil. Med afsæt heri vælges implementering af de sikkerhedstiltag, der er passende og tilstrækkelige for den enkelte organisation. forbindelse med outsourcing og samarbejdsprojekter. Udbredelsen af standarden i staten vil give staten adgang til et større marked af sikkerhedsydelser. Den involvering af ledelsen i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau ud fra en risikobaseret tilgang, som ISO/IEC lægger op til, ligger i forlængelse af de udmeldte principper for god intern statslig administration, hvor der bl.a. er fokus på nødvendighed og proportionalitet i administration og regulering. Valget af en international standard, der vedligeholdes af eksperter på tværs af landegrænser, sikrer, at kvaliteten af standarden er høj. Endvidere er sikkerhedsudfordringer i dag internationale, og sikkerhedstiltag vil derfor skulle koordineres på tværs af landegrænser. 2 Information Security Management System Endelig er ISO/IEC en standard, som både private og offentlige virksomheder arbejder efter, og den vil derfor kunne udgøre et fælles sprog i

6 06 > ISO/IEC fokuserer på tre centrale områder: En risikobaseret stillingtagen til sikkerhed, dvs. proportionalitet i valget af sikringsforanstaltninger og procedurer i informationssikkerhedsarbejdet. Det bidrager til etablering af et passende sikkerhedsniveau, der er afstemt i forhold til organisationens forretning og risikobillede. Ledelsesforankring, hvor organisationens ledelse involveres direkte i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau og godkender hvilket risikoniveau, der er acceptabelt for organisationen. Dokumentation af ledelsens involvering i arbejdet med informationssikkerhed. Dokumentationen har til formål at sikre ledelsens involvering samt synliggøre ledelsens ansvar for informationssikkerheden i organisationen.

7 07 Ansvar og opgaver > De roller i arbejdet med informationssikkerhed, som var beskrevet i DS 484, og som staten derfor hidtil har arbejdet med, er ikke forandret i ISO/IEC Opgaver for lederen af organisationen Arbejdet med informationssikkerhed er en løbende proces, som skal integreres i det samlede arbejde med ledelse og styring af organisationen. Informationssikkerhed er et ledelsesansvar ligesom økonomistyring, arbejdsmiljø, service eller borgerbetjening. Det er et krav i standarden, at ledelsen er involveret i arbejdet med informationssikkerhed, og at dette er dokumenteret. Eksempler på dokumentation af ledelsesinvolveringen kan f.eks. være godkendte sikkerhedsdokumenter eller referater fra aktiviteter, hvor ledelsen har deltaget. I forbindelse med sikkerhedsarbejdet udarbejdes nogle dokumenter, som beskriver organisationens væsentligste sikkerhedsmål og tiltag. Disse dokumenter, som er behandlet senere i vejledningen, bør indgå i den eksisterende ledelsesproces i organisationen, så de drøftes i de relevante ledelsesfora, der kan tage beslutninger og sikre opfølgning. Ledelsens primære opgave i sikkerhedsarbejdet er ikke ændret i forhold til tidligere. Opgaven er stadig at fastlægge niveauet for sikkerhed i organisationen og at sikre, at informationssikkerhedsarbejdet i organisationen bliver en naturlig og integreret del af det daglige arbejde. Et effektivt og tilstrækkeligt sikkerhedsniveau fordrer, at ledelsen sikrer, at sikkerhedstiltagene vælges, prioriteres og tilpasses organisationens behov og imødegår de risici, som er identificeret som de kritiske. Risikovurderingen tager udgangspunkt i de informationsaktiver, der er væsentlige for organisationen. Identifikationen af aktiverne foretages ved en gennemgang af de mest kritiske og centrale forretningsprocesser/aktiviteter, som institutionen udfører, og de dertil knyttede informationer og data. Ledelsen skal være aktiv aktør i denne analyse.

8 08 > 3 Denne vil f.eks. have titel af informationssikkerhedskoordinator, informationssikkerhedschef eller informationssikkerhedsleder. Den ledelsesgodkendte risikovurdering danner grundlaget for at fastsætte de mål og sikringsforanstaltninger, der løbende rapporteres på. I rapporteringer kan ledelsen løbende følge med i og vurdere tilstrækkeligheden af indsatsen i arbejdet med styring af informationssikkerheden. Opgaver for lederen af informationssikkerhedsarbejdet 3 Lederen af informationssikkerhedsarbejdet skal bidrage til, at opgaverne vedrørende informationssikkerhed bliver udført i organisationen på en måde, som er i overensstemmelse med den overordnede ledelses beslutninger. Lederen af informationssikkerhedsarbejdet skal sikre, at ledelsen kender sammenhængen mellem organisationens forretning, risikoprofil og de valgte sikringsforanstaltninger. Lederen af informationssikkerhedsarbejdet skal understøtte og sikre disse foranstaltningers stabilitet og resultater. Lederen af informationssikkerhedsarbejdet er faglig ekspert på området og skal omsætte standardens indhold og eventuelle lovkrav til konkrete aktiviteter og sikringsforanstaltninger, der kan implementeres i organisationen. I forlængelse heraf skal der følges op på, om arbejdet giver det ønskede resultat. Det konkrete arbejde udføres ofte i samarbejde med andre, f.eks. it-afdelingen, indkøbsafdelingen, personaleafdelingen og eksterne samarbejdsparter. Lederen af informationssikkerhedsarbejdet har typisk en koordinerende og vigtig rolle i organisations arbejde med informationssikkerhed. Ledelsesopbakning forudsætter en fyldestgørende og operationel rapportering på informationssikkerhedsarbejdet til den overordnede ledelse. I nogle organisationer har man oplevet, at et fokus på sikkerhedspolitikken fra revisionens side har gjort dialogen nemmere. I de fleste situationer er det en udfordring at skaffe ledelsesopbakning. Mange ledere af informationssikkerhedsarbejdet opfatter det som en salgs- og markedsføringsopgave, som man må være parat til at tage, når muligheden er der for at få en dialog med den ansvarlige leder. Det er altid at foretrække at få et egentligt møde.

9 09 Standardens indhold > ISO/IEC beskriver en model for etablering, implementering, drift, overvågning, revudering/ vedligeholdelse og forbedring af et dokumenteret ledelsessystem for informationssikkerhed (det såkaldte ISMS). Standarden er beregnet til brug for alle virksomheder og organisationer uanset type og størrelse. Standarden omhandler informationssikkerhed og ikke alene it-sikkerhed. Den omhandler således alle informationsaktiver (fysiske, medarbejdere, it-mæssige mv.), der lagrer eller behandler informationer og er nødvendige, for at organisationen kan nå sine mål. Den konkrete udformning, omfanget og detaljeringsgraden af ledelsessystemet for informationssikkerhed fastlægges af organisationens ledelse ved at gennemføre en risikovurdering og en analyse af organisationens ønsker, krav og risikoprofil. Styring af lovmæssige krav og kontraktkrav Styring af mennesker processer, træning og kommunikation Styring af informationssikkerhed Styring af it-systemer og fysisk sikkerhed Figur 1: Elementer af informationssikkerhed På baggrund af en ledelsesforankret risikovurdering skal ledelsen vælge relevante og passende sikkerhedsforanstaltninger, som beskytter infor-

10 10 > mationsaktiverne og skaber tillid hos organisationens samarbejdspartnere, brugere og andre interessenter. De enkelte opgaver i standarden følger en model, der kan opdeles i fire faser. På engelsk benævnes modellen Plan, Do, Check, Act (forkortet PDCA) planlæg, udfør, kontrollér og handl. Denne faseopdeling ligger til grund for procesmodellen, som beskrives i denne vejlednings anden halvdel. Udover de opgaver, som er beskrevet i selve standarden, er der i anneks A en række forslag til sikringsforanstaltninger. For hver sikringsforanstaltning vurderes det, hvorvidt den er relevant at implementere i forhold til virksomhedens risikobillede. Enkelte af sikringsforanstaltningerne er påkrævet ifølge ISO/IEC og kan således ikke fravælges. Sikringsforanstaltningerne er opdelt i 11 domæner (figur 3), der svarer til de områder, der kendes fra det eksisterende informationssikkerhedarbejde. P D A C Figur 2: Procesmodel - PDCA

11 11 > Den risikobaserede tilgang Arbejdet med informationssikkerhed går på tværs af organisationen og omfatter både teknik, processer og adfærd. Traditionelt er der fokus på teknik og processer, men den menneskelige faktor må medtænkes. Inden for hvert fokusområde kan der være risici, som skal identificeres, vurderes og håndteres. Arbejdet med informationssikkerhed skal passe til hverdagens udfordringer, og det er muligt med ISO/IEC En risikobaseret tilgang opfattes måske som en forandring, som vil kunne møde modstand. Men det er netop gennem en vurdering af hvilke risici organisationen står over for, hvilke risici organisationen skal håndtere, og hvilke den kan leve med, at informationssikkerhedsarbejdet får værdi. Den risikobaserede tilgang er altså en lejlighed til at identificere muligheder for at justere organisationens ressourceforbrug og administrative byrder i forbindelsen med sikkerhedsarbejdet til det risikobillede, som organisationen reelt står overfor. Samtidig er den grundlaget for vurderingen af, om de implementerede sikringsforanstaltninger er passende. ISO/IEC A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 Sikkerhedspolitik Organisering af informationssikkerhed Styring af aktiver Medarbejdersikkerhed Fysisk og miljømæssig sikkerhed Styring af kommunikation og drift Adgangsstyring Anskaffelse, udvikling og vedligeholdelse af informationssystemer Styring af informationssikkerhedshændelser Beredskabsstyring Compliance - Overensstemmelse med krav og politikker Figur 3: De 11 domæner i ISO/IEC 27001

12 12 Gode råd > 1 Arbejdet med informationssikkerhed skal give værdi og mening for den enkelte medarbejder What is in it for me?. 2 Der skal være et ledelsessystem og en medarbejderpolitik, som understøtter medarbejdernes arbejde med informationssikkerhed, f.eks. udtrykt i jobprofilen, medarbejdersamtalen eller medarbejderevalueringen. 3 Ikke alle har kvalifikationer på informationssikkerhedsområdet. Der bør kommunikeres og trænes i de nye kompetencer, der er behov for. 4 Der er brug for rollemodeller. Det er tit de ildsjæle, der er kendt i arbejdet med informationssikkerhed, men det kan også være medarbejdere, som i forvejen er faglige rollemodeller i andre sammenhænge.

13 13 Processen > Procesmodellen I resten af vejledningen gennemgås de fire faser i procesmodellen (figur 4). For hver fase er der fokuseret på de væsentligste aktiviteter og resultaterne heraf. Samtidig omtales for hver fase nogle af de udfordringer, der kan være ved aktiviteterne, og der gives nogle gode råd til at håndtere disse udfordringer. Afstem forventninger til sikkerhed Plan Do Implementer sikkerhedsarbejdet Hvor starter man? Da alle statslige organisationer har arbejdet med en informationssikkerhedsstandard, er det forskelligt hvor i procesmodellen, der er behov for at starte. Hvis organisationen står over for at skulle opdatere risikovurderingen, vil det være naturligt at starte i planlægningsfasen (Plan). Er der derimod et behov for at følge op på det sikkerhedsarbejde, der allerede er implementeret, eller at vurdere sikkerhedsniveauet og effektiviteten af de implementerede sikringsforanstaltninger, vil det være mere naturligt at starte i kontrolfasen (Check). Act Eventuelle forbedringer i sikkerhedsarbejdet Check Måling, test og rapportering på sikkerhed Figur 4: Procesmodel for ledelsesforankret informationssikkerhed

14 14 Afstem forventninger til sikkerhed (Plan) > Plan Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Definér og afgræns omfanget af ledelsessystemet for informationssikkerhed (ISMS) Definér ISMS-politik Gennemfør risikovurdering Udvælg sikringsforanstaltninger Udarbejd Statement of Applicability (SoA-dokumentet) Ledelsen godkender risikovurderingens resultat, SoA-dokumentet og ISMSpolitikken Sammenhæng mellem mål for informationssikkerhed, forretningens mål og behov Begreber og metode i risikovurderingen Opbakning og involvering af relevante aktører Udvælgelse af relevante og kritiske informationsaktiver Kommunikation til alle målgrupper / awareness Definér og afgræns ledelsessystem for informationssikkerhed (ISMS) Erfaringerne fra arbejdet med DS 484 viser, at det er centralt at etablere ledelsesmæssig opbakning, fokus i organisationen og ressourcer til arbejdet med informationssikkerhed. Overgangen til ISO/IEC ændrer ikke på dette. Informationssikkerhed er stadig et ledelsesansvar, og det er stadig nødvendigt for lederen af informationssikkerhedsarbejdet at tilrettelægge en proces, der i organisationen opleves som et konstruktivt og positivt bidrag til organisationens kerneaktiviteter. Organisationen skal identificere sine væsentligste opgaver og kritiske informationsaktiver til en risikovurdering. Med risikovurderingen vurderes konse-

15 15 > kvensen ved og sandsynligheden for tab af fortrolighed, integritet eller tilgængelighed af informationsaktiver. Resultatet af risikovurderingen danner grundlag for fastlæggelsen af omfanget og afgrænsningen af ledelsessystemet for informationssikkerhed (ISMS) og for en udvælgelse og implementering af passende sikringsforanstaltninger. Organisationens erfaringer fra det hidtidige sikkerhedsarbejde og eventuelle sikkerhedshændelser kan indgå i grundlaget for vurderingen. Ledelsessystem for informationssikkerhed (ISMS) definitionen i ISO/IEC Den del af det samlede ledelsessystem, der med udgangspunkt i en vurdering af forretningsmæssige risici dækker etablering, implementering, drift, overvågning, revurdering, vedligeholdelse og forbedring af informationssikkerhed. Et ISMS omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvarsområder, skikke, procedurer, processer og ressourcer. Beslutningen om afgrænsning af opgaven og prioritering af aktiviteter bør beskrives i en egentlig handlingsplan, der godkendes af ledelsen. Definér ISMS-politik De fleste organisationer har allerede en informationssikkerhedspolitik. Der er ikke nødvendigvis nogen forskel på den nuværende politik og en politik baseret på ISO/IEC Formulering af en informationssikkerhedspolitik udtrykker de forventninger, krav, mål, prioriteringer og konkrete beslutninger, som ledelsen har vedtaget for sikkerheden i en organisation. Politikken skal passe til organisationens forretningsmålsætning og sætte rammerne for formulering af formålet med informationssikkerhedsarbejdet. Gennemfør risikovurdering I statens hidtidige arbejde med informationssikkerhed har det været meget forskelligt, hvilken metode organisationerne har anvendt til risikovurderingen.

16 16 > Nogle har brugt en kvantitativ metode, mens andre mere kvalitativt har vurderet trusler og risici. Denne forskellighed afspejler bl.a. variationen i, hvad statens organisationer beskæftiger sig med. ISO/IEC ændrer ikke ved dette. Det vigtigste i arbejdet med en risikovurdering er fortsat at beskrive organisationens specifikke risici, beskrive den valgte metode og anvende metoden konsekvent. I analysen vurderes risici for tab af tilgænge-lighed, fortrolighed og integritet i forhold til de forretningsmæssige konsekvenser af en sikkerhedshændelse samt sandsynligheden for, at den indtræffer. Risikovurderingen gennemføres på det, som i standarden kaldes informationsaktiver. Det er både it-systemer og applikationer, fysiske informationsaktiver i form af f.eks. papiraktiver, væsentlige arbejdsprocesser, medarbejdere mv. Langt de fleste organisationer har foretaget en risikovurdering mindst én gang. Er der endnu ikke foretaget en risikovurdering, er det vigtigt at starte med de aktiver eller processer, som er vigtigst for organisationen. I gennemførelsen af risikovurderingen skal som minimum inddrages dem, der ejer informationsaktiverne, og den ansvarlige ledelse. Det kan dog være en rigtig god ide at inddrage flere personer, da risikovurderingen er en god lejlighed til holdningsbearbejdning og kommunikation om informationssikkerhed. Risikovurderingen vil give deltagerne en bedre forståelse af det samlede risikobillede og dermed af behovet for sikringsforanstaltninger. Hvis organisationens informationssikkerhedsarbejde er opdelt på flere områder i organisationen, er det vigtigt, at risici vurderes efter samme metode på tværs af organisationen, og at sikringsforanstaltningerne koordineres. Det er vigtigt at vælge den metode til risikovurdering, som passer til organisationen. De begreber og metoder, der er brugt i det hidtidige informationssikkerhedsarbejde, kan med fordel videreføres, hvis de har fungeret godt.

17 17 > Eksempler på trusler og sårbarheder I ISO/IEC (som er en tilhørende standard, se litteraturlisten) findes nogle eksempler og vejledninger, som organisationen kan vælge at tage udgangspunkt i. Uanset den valgte metode skal risikovurderingen indeholde en vurdering af konsekvensen ved, at en sikkerhedshændelse indtræffer. Denne konsekvens kan opgøres ud fra forskellige forhold som økonomi, image, politisk og strategisk konsekvens. Den samlede konsekvens kan udtrykkes i både kvalitative størrelser og i egentlige økonomiske omkostninger. Konsekvensvurderingen skal suppleres med en vurdering af sandsynligheden for, at risikoen indtræffer. Denne sandsynlighed kan vurderes generelt eller i relation til konkrete trusler. Vurderingen er ofte svær, da der sjældent findes oplysninger om de forskellige truslers reelle sandsynlighed. Her kan der med fordel tages udgangspunkt i organisationens erfaringer med truslen. Udvælg sikringsforanstaltninger Når risikovurderingen er gennemført, bør der tages stilling til de enkelte risici med udgangspunkt i de mest kritiske risici først. Risikovurderingen danner grundlag for behovet for beskyttelse af informationsaktiverne, og skal sammenholdes med de sikringsforanstaltninger, som er implementeret i organisationen. Effektiviteten af disse sikringsforanstaltninger bestemmer den faktiske risikominimering. På de punkter, hvor risikovurderingen af det samlede sikkerhedsniveau viser, at niveauet ikke opfylder behovet, må nødvendigheden af yderligere sikringsforanstaltninger vurderes. Sikkerhedsarbejdet kan ikke fjerne risici fuldstændigt. Der vil aldrig være en situation, hvor der ingen risiko er, uanset hvor mange sikringsforanstaltninger der måtte være implementeret. Sikkerhedsarbejdet kan derimod gøre, at risici er vurderet og minimeret i passende grad til, at restrisikoen er overskuelig og acceptabel.

18 18 > Valget af passende sikringsforanstaltninger vurderes bl.a. ud fra den omkostning, der er ved foranstaltningen, sammenholdt med den omkostning, som konsekvensen af en sikkerhedshændelse vil kunne have, hvis den indtræffer, og sandsynligheden herfor. Det er hensigtsmæssigt, at denne afvejning forelægges ledelsen, idet niveauet af resterende risiko skal godkendes af ledelsen. Udarbejd Statement of Applicability (SoA-dokumentet) Standardens anneks A indeholder en samling sikringsforanstaltninger. Organisationen kan med udgangspunkt heri vurdere og begrunde til- og fravalg af sikringsforanstaltninger ud fra den risikovurdering, der er gennemført. SoA-dokumentet er centralt og bør være et af nøgledokumenterne i arbejdet med informationssikkerhed. Det kan betragtes som et statusnotat for organisationens arbejde med informationssikkerhed og som beslutningsdokumentation for valg og fravalg. Organisationen skal ved udarbejdelsen af SoAdokumentet som minimum forholde sig til, hvilke sikringsforanstaltninger i standardens anneks A, som er relevante. Anneks A svarer i store træk til de sikringsforanstaltninger, der kendes fra DS 484. Anneks A er ikke nødvendigvis fyldestgørende, og organisationen kan eventuelt tilføje andre sikringsforanstaltninger, som er relevante i forhold til det vurderede risikobillede. Anneks A indeholder de relevante sikkerhedsområder, som den gennemførte risikovurdering principielt må omfatte. I SoA-dokumentet anføres det og begrundes, hvorvidt sikringsforanstaltninger på et givet område er relevant for organisationen eller ej. SoA-dokumentet giver således et overblik over arbejdet med informationssikkerhed og input til den fortsatte proces. Ledelsens godkendelse Som afslutning på Plan-fasen skal der foreligge ledelsesgodkendt dokumentation vedrørende resultatet af organisationens risikovurdering, ISMS-politik og SoA-dokumentet.

19 19 Implementér sikkerhedsarbejdet (Do) > Plan Do Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Udarbejd plan for risikohåndtering Opdater informationssikkerhedspolitik, retningslinjer og beredskabsplan mm. Implementér procedure til registrering af sikkerhedshændelser Ledelsen godkender sikkerhedspolitik, regningslinjer og beredskabsplan Gennemfør intern kommunikation om informationssikkerhed Prioritering og vurdering af risici Valg af kommunikationsform og gennemførelse af kommunikation om informationssikkerhed Udarbejd plan for risikohåndtering Forslag til sikringsforanstaltninger skal tage udgangspunkt i resultatet af risikovurderingen, og det skal beskrives, hvordan der opnås det sikkerhedsniveau på de enkelte områder, som er beskrevet i politikken.

20 20 > Risikohåndtering kan gennemføres på fire måder: Minimering. Risici, som i praksis kan reduceres, kan imødegås med sikringsforanstaltninger af teknisk eller organisatorisk art. Omgåelse. Risici kan gøres irrelevant ved en ændring af arbejdsopgaver, organisation eller processer. Overførsel. Risici kan overføres til andre, f.eks. ved at organisationen tegner en forsikring. Accept. Risici kan accepteres, som de er. Langt de fleste risici er nemme at vurdere og finde passende sikringsforanstaltninger imod. Andre sikringsforanstaltninger kan være mere komplicerede at identificere eller implementere, og her kan det være nødvendigt at inddrage andre for at vurdere, hvad der kan gøres. I risikohåndteringen skal der tages udgangspunkt i de risici, som i risikovurderingen ønskes minimeret eller omgået, og der skal designes relevante sikringsforanstaltninger og ændrede procedurer af teknisk eller organisatorisk art. For risici, som i risikovurderingen er vurderet at kunne overføres til andre, skal denne overførsel konkretiseres. Risici, som er vurderet som acceptable, skal der ikke gøres noget ved. Sikkerhedsforanstaltningerne implementeres ifølge en plan for konkrete aktiviteter. Information om konkrete sikringsforanstaltninger falder uden for denne vejlednings formål, men der kan findes nærmere retningslinjer for implementering i ISO/ IEC (som er en tilhørende standard, se litteraturlisten). Planen for informationssikkerhedsstyringen skal omfatte en identifikation af ansvarlige personer og mål for arbejdet. Endvidere beskrives den samlede ressourceanvendelse med hensyn til årsværk og omkostninger til tekniske og organisatoriske foranstaltninger.

21 21 > Hændelsesstyring Som en del af implementeringen af informationssikkerhedsstyringen udarbejdes der retningslinjer og procedurer for at følge op på, om de valgte sikringsforanstaltninger har den ønskede effekt på de risici, organisationen ønsker at styre. Registrering af sikkerhedshændelser er en vigtig opgave i dette arbejde. Medarbejdernes bevidsthed om brud på sikkerhed, viden om rapporteringskanaler og planer for håndtering af sikkerhedshændelser er derfor vigtige led i implementeringsprocessen. Resultatet af denne aktivitet kan være en retningslinje, der beskriver, hvordan man i organisationen identificerer, analyserer og rapporterer sikkerhedshændelser. Det anbefales, at retningslinjen udarbejdes i samarbejde med de it-ansvarlige, da det ofte er dem, der først modtager information om sikkerhedshændelser. behovet for at udbrede sikkerheds- awareness i organisationen. Da politikken udtrykker ledelsens forventninger til og mål for sikkerhedsarbejdet og prioriteringer og konkrete beslutninger, kan informationssikkerhedspolitikken med fordel udbredes internt i organisationen og til relevante interessenter uden for organisationen. Et vigtigt element i kommunikation til medarbejderne er, hvorfor sikkerhedsarbejdet er vigtigt, og hvilken rolle og opgave den enkelte medarbejder har. Det er en god idé at tænke i flere kommunikationsformer og målrette kommunikationen til de forskellige målgrupper. Skriftlig information, mundtlige oplæg, informationsbreve, interne kurser, opslag, quizzer og konkurrencer kan alle være relevante måder at kommunikere på. Indholdet tager afsæt i informationssikkerhedspolitikken med fokus på det, som er relevant for den enkelte medarbejder. Kommunikation og kompetence Når der foreligger en oversigt over passende sikringsforanstaltninger, skal der træffes beslutning om behovet for træning af medarbejdere og om

22 22 > Udarbejd en kommunikationsplan Formål og målsætninger Nøglebudskaber og vigtigste mål Målgrupper Kommunikationskanaler og medievalg tilpasset målgrupperne Aktiviteter, ansvarlige personer og deadlines Økonomi og ressourceanvendelse Opfølgning og tilpasning af kommunikationen Ledelsens godkendelse Det samlede resultatet af denne fase er en handlingsplan, hvor overvejelser og beslutninger dokumenteres. Ledelsen skal godkende elementerne i handlingsplanen, herunder planen for risikohåndtering, sikkerhedspolitikken, procedure for hændelsesstyring, kommunikationsplan og den samlede ressourceanvendelse på sikkerhedsarbejdet.

23 23 Måling, test og rapportering på sikkerhed (Check) > Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Check Mål og test sikkerhedsniveauet Vurder om der er sket ændringer, som påvirker informationssikkerheden Rapportér sikkerhedsniveauet til ledelsen Ledelsen godkender sikkerhedsrapportering Fastlægge målepunkter Vurdere og teste sikringsforanstaltningerne Rapportere på en forståelig og interessant måde Måling, test og rapportering I denne fase gennemføres en opfølgning eller egentlig test af, om sikringsforanstaltningerne er tilstrækkelige og effektive til håndtering af risici og sikkerhedshændelser, samt om ressourceanvendelsen er hensigtsmæssig og står mål med resultatet. Der evalueres, om informationssikkerhedspolitikken og de tilhørende retningslinjer efterleves, og hvad der er det faktiske sikkerhedsniveau i organisationen.

24 24 > Testmetoder og opfølgning Opfølgningen kan udføres på flere måder. Der kan gennemføres tekniske test af systemer og applikationer for at afdække deres eventuelle sårbarheder. Der kan samles op på, hvad der er sket af sikkerhedshændelser og gennemført af korrigerende handlinger. Der kan gennemføres interviews eller indhentes anden feedback fra medarbejdere, f.eks. ved at gennemføre en spørgeskemaundersøgelse om organisationens implementering, forståelse og efterlevelse af informationssikkerhedspolitikken og retningslinjer. Tests og rapportering bør foretages af en kvalificeret og uafhængig person, som ikke er direkte involveret i den daglige drift af de sikringsforanstaltninger, som evalueres. I tilfælde, hvor sikringsforanstaltninger er meget komplekse at vurdere og forudsætter specialviden, kan der med fordel anvendes eksterne eksperter til test og vurdering. Organisationen bør gennemføre tekniske test af de væsentligste sikringsforanstaltninger for at sikre, at de virker efter hensigten. Hvor der er implementeret nye løsninger, eller risikobilledet har ændret sig, bør der gennemføres en fornyet risikovurdering og en test for at få fastlagt det reelle risikobillede. Risikobilledet kan have ændret sig, hvor der er sket ændringer i organisationens struktur, i dens informationssystemer eller i fysiske eller tekniske anlæg eller ved ydre påvirkninger såsom ændrede mål for organisationen eller et ændret regelgrundlag. Ledelsens godkendelse Resultatet af evalueringen består af dokumentationen for de gennemførte test og en samlet vurdering af sikringsforanstaltningernes tilstrækkelighed og effektivitet. Evalueringen skal godkendes af ledelsen. Det anbefales, at der i rapporteringen fokuseres på de væsentligste risici og de vigtigste områder af SoA-dokumentet. Vær opmærksom på, at risici

25 25 > og resultater skal kommunikeres på et niveau og i et sprog, som giver mening for ledelsen, og skal kunne danne grundlag for ledelsesbeslutninger. Med ledelsens godkendelse af rapporteringen er der samtidig tilvejebragt et opdateret grundlag for forslag til nødvendige, korrigerende handlinger og forbedringer af informationssikkerheden eller til afskaffelse af sikringsforanstaltninger, som ikke længere vurderes at være nødvendige. Der er dermed etableret et kvalificeret grundlag for at træffe beslutninger om vurderingen af ændrede risici, om implementering af ændrede sikringsforanstaltninger og om behov for kompetenceudvikling og ressourcer til vedligeholdelsen af sikkerhedsniveauet. Evalueringen af informationssikkerhedsarbejdet og ledelsens godkendelse heraf bør ske som minimum én gang om året.

26 26 Eventuelle forbedringer i sikkerhedsarbejdet (Act) > Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Act Check Implementér ændringer i risikovurderinger, sikringsforanstaltninger mv. Ledelsen godkender forbedringsforslag Kommuniker ændringer til organisationen Afklaring af, om de foreslåede ændringer er de rigtige Opfølgning på risikovurderingen Som opfølgning på ledelsens godkendelse af sikkerhedsrapporteringen på sikkerhedsniveauet i organisationen og relevante opdateringer i risikovurderingen skal der eventuelt gennemføres en opdatering af den eksisterende plan for håndtering af risici. Opdateringen af risikovurderingen kan være mere eller mindre omfattende. Det vil afhænge af resultatet af de gennemførte test og målinger, ledelsens evaluering af hele informationssikkerhedsstyringen, eventuelle ændringer i trussels- eller risikoniveau, større organisatoriske ændringer eller andre relevante forhold. Hvis der er konstateret afvigelser i forhold til de definerede sikkerhedskrav og -politikker, bør de imødegås med korrigerende handlinger. Det er en god idé at udarbejde en konkret handlingsplan eller konkrete forslag til forbedringer i arbejdet med informationssikkerhed.

27 27 > På grundlag af den justerede plan for risikohånd-tering udarbejdes en mere overordnet plan for eventuelle forbedringer af styringen af informa-tionssikkerhed i overensstemmelse med organisationens målsætninger. De påtænkte forbedringer og ændringer beskrives for og godkendes af ledelsen. Der skal herefter ske relevant kommunikation til organisationen. På de områder, hvor handlingsplanen anviser nye indsatsområder, skal der ske planlægning og implementering af informationssikkerhedstiltag og sikringsforanstaltninger jf. de forudgående afsnit herom. Når ændringerne i informationssikkerhedsarbejdet er gennemført, kan de pågældende tiltag herefter indgå i den normale tilbagevendende måling, test og rapportering jf. afsnittet herom. Processen forsætter Arbejdet med informationssikkerhedsstyring er et af mange vigtige elementer i ledelsesarbejdet i organisationen og vil med tiden blive synkroniseret til den cyklus for ledelsesrapportering, som organisationen i øvrigt har. Om ressourcetrækket og omkostningerne ved sikkerhedsarbejdet med tiden tager af eller tager til, afhænger af udviklingen i organisationens risiko- og trusselbillede, og ikke mindst af at man kommer godt i gang med at implementere effektive og passende sikringsforanstaltninger. ISO/IEC hjælper organisationen med at løfte denne opgave og med at udvikle et ledelsessystem for informationssikkerhed, som passer til organisationens behov og risikoprofil.

28 28 Litteraturliste > ISO familien (ISO/IEC ) ISO/IEC indgår i en række af standarder om informationssikkerhed. ISO/IEC udgør den styringsmæssige ramme, mens de øvrige standarder udfylder denne ramme inden for områderne: Grundprincipper og ordliste (ISO/IEC 27000) Ledelsessystemer for informationssikkerhed (ISMS) krav (ISO/IEC 27001) Kontroller Regelsæt for styring af informationssikkerhed (ISO/IEC 27002) Implementering (ISO/IEC 27003) Effektivitetsmåling (ISO/IEC 27004) Risikovurdering (ISO/IEC 27005) Krav til organisationer der udfører revision og certificering (ISO/IEC 27006) Anden litteratur Humphreys, Edward: Information Security Risk Management: Handbook for ISO/IEC London: BSI, 2010 ISO/IEC for Small Businesses: Practical Advice. Genève: ISO, 2010

29 > Tekstforfattere på publikationen er Jørgen Sørensen og Charlotte Pedersen, Deloitte. IT- og Telestyrelsen Holsteinsgade København Ø Tlf

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Guide til implementering af ISO27001

Guide til implementering af ISO27001 Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

ISO Ledelsesværktøj til digital risikostyring

ISO Ledelsesværktøj til digital risikostyring ISO 27001 Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno 2016 3. Hvorfor ISO27001

Læs mere

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Velkommen Grupperne SJ-1 & SJ-2

Velkommen Grupperne SJ-1 & SJ-2 Velkommen Grupperne SJ-1 & SJ-2 Lasse Ahm Consult Tirsdag, den 1. december 2015 20:33 1 Program Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne og nye grupper Kl. 10.05

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik

Læs mere

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden

Læs mere

Fra ad hoc-tilgang til en struktureret CSR-indsats

Fra ad hoc-tilgang til en struktureret CSR-indsats Tryksag 541-643 Gode råd Her er nogle gode råd til, hvordan I griber CSR-processen an. Kom godt i gang med standarder > > Sæt et realistisk ambitionsniveau > > Sørg for, at CSR er en integreret del af

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Sikkerhed og Revision 2015

Sikkerhed og Revision 2015 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi? Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur?

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur? Sikkerhedskultur Hvordan går det med sikkerheden? Virksomheder er i stigende grad udsatte og sårbare over for såvel eksterne som interne sikkerhedstrusler. Truslerne kan være rettet mod mennesker, it-systemer,

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Forordningens sikkerhedskrav

Forordningens sikkerhedskrav Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Kommunikationsstrategi 2008-2012. Professionshøjskolen UCC

Kommunikationsstrategi 2008-2012. Professionshøjskolen UCC Kommunikationsstrategi 2008-2012 Professionshøjskolen UCC Indledning Kommunikationsstrategien beskriver, hvordan vi kommunikerer ud fra hvilke principper og med hvilke mål. Kommunikationsstrategien er

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING - OPSAMLING PÅ SISCON S EFTERÅRSKONFERENCE ControlManager by Siscon 1 DAGEN I DAG Informationssikkerhed på agendaen i bestyrelsen EU-forordningen

Læs mere

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1 Introduktion

Læs mere

Velkommen Gruppe SJ-1

Velkommen Gruppe SJ-1 Velkommen Gruppe SJ-1 Lasse Ahm Consult Torsdag, den 25. september 2014 15:35 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05

Læs mere

serien og nyheder i ISO og ISO 27002

serien og nyheder i ISO og ISO 27002 27000- serien og nyheder i ISO 27001 og ISO 27002 Dansk Industri/ITEK 3. juni 2014 Jesper E. Siig Senior Security Advisor Om Neupart ISO 27001 certificeret virksomhed. Udvikler og sælger SecureAware, en

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Digitaliseringsstrategi

Digitaliseringsstrategi gladsaxe.dk Digitaliseringsstrategi 2015-2018 Gladsaxe Kommune er med stor fart i gang med at forandre og effektivisere opgaveløsningen og skabe mere velfærd for borgerne ved at udnytte mulighederne gennem

Læs mere

Revideret Miljøledelsesstandard

Revideret Miljøledelsesstandard Revideret Miljøledelsesstandard ISO 14001:2015 Ændringer ift. DS/EN ISO 14001:2004 Dokumentationskrav i ny ISO 14001 GREENET- Revideret ISO 14001 1 MiljøForum Fyn - Revideret ISO 14001 2 1 Termer og definitioner

Læs mere

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

Guide til bedre beredskabsstyring. April 2015

Guide til bedre beredskabsstyring. April 2015 Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

Identificering og imødegåelse af farer og risici

Identificering og imødegåelse af farer og risici dato 05.11.2012 Side 1 af 5 Identificering og imødegåelse af farer og risici Formål: At sikre, at risici bliver vurderet og at der tages passende forholdsregler til at imødegå ulykker og andre arbejdsmiljøbelastninger.

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act) Agenda AGENDA & Siscon Indledning Konsekvensanalyse (Plan) Omfang Parametre Konsekvensanalyse (Do) Forberedelse Gennemførelse Konsekvensanalyse (Check) Fremlæggelse Konsekvensanalyse (Act) Iværksæt tiltag

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Velkommen Gruppe SJ-2

Velkommen Gruppe SJ-2 Velkommen Gruppe SJ-2 Lasse Ahm Consult Torsdag, den 19. marts 2015 23:23 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK Mission Critical o Projekt Information management o Processer, metoder & værktøjer. Side 1 of 11 Projekt information Projekt information management inkluderer alle de processer, som er nødvendige for at

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Sundhedsstyrelsen Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Konklusion og anbefalinger September 2009 Sundhedsstyrelsen Evaluering af

Læs mere

Resume Københavns Universitet efterlever nu ISO 27001, om end der udestår en del konsekvensrettelser i IS-håndbog, sikkerhedspolitik mv.

Resume Københavns Universitet efterlever nu ISO 27001, om end der udestår en del konsekvensrettelser i IS-håndbog, sikkerhedspolitik mv. K Ø B E N H A V N S U N I V E R S I T E T Ledelsesteamet S A G S N O T A T 1. JUNI 2012 Vedr.: Statusrapport vedr. informationssikkerhed på KU for 2011 fra ISU til LT Sagsbehandler: Henrik Larsen Bilag:

Læs mere

Modenhedsvurderinger. Mål hvad kan I tage med hjem?

Modenhedsvurderinger. Mål hvad kan I tage med hjem? Modenhedsvurderinger Mål hvad kan I tage med hjem? Hvorfor skal man overveje at lave en modenhedsvurdering? Hvordan kan man gribe processen an? Hvad skal man være opmærksom på? 1 Hvem er jeg? Ole Boulund

Læs mere

Udvikling af ledelsessystemet i en organisation

Udvikling af ledelsessystemet i en organisation mindbiz Udvikling af ledelsessystemet i en organisation Poul Mouritsen Fra lederudvikling til ledelsesudvikling Tiderne ændrer sig og ledere bliver mere veluddannede inden for ledelsesfeltet. Den udvikling

Læs mere

Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet

Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet 2 VELKOMMEN Opsamling på resultaterne v/greenet Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet Hvordan kommer vi videre? Matchmaking: Parring

Læs mere

Stilling+Brixen. Kvalitetsledelse. Opbygning og implementering af ledelsessystemer på vej mod certificering

Stilling+Brixen. Kvalitetsledelse. Opbygning og implementering af ledelsessystemer på vej mod certificering ` Stilling+Brixen Kvalitetsledelse Opbygning og implementering af ledelsessystemer på vej mod certificering ` Intro Vækst forudsætter dokumentation for kvalitet De fleste danske virksomheder har mødt kravet

Læs mere

Audit beskrivelser for PL

Audit beskrivelser for PL 3-4-1 V01 3-4-1 V02 3-4-1 V03 3-4-1 V04 3-4-1 V05 Er der etableret et system til regelmæssig kontrol af processerne? Punktet er opfyldt, hvis der er en synlig regelmæssig måling for processen med acceptgrænser.

Læs mere

OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD

OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD Pia Clausen Seniorprojektleder Reg. Energisynskonsulent Tlf. 31 75 17 05 Nr. Farimagsgade 37-1364 København K Danmark Storegade 1-8382 Hinnerup Danmark

Læs mere

Ledelsesbekendtgørelsen

Ledelsesbekendtgørelsen Ledelsesbekendtgørelsen Nye lovkrav til finansiel corporate governance Eftermiddagsseminar for Fondsmæglerselskaber, 5. maj 2015 Tine Walldén Jespersen, Partner, Advokat, LL.M. Indledende Ændringerne kort

Læs mere

2. Fødevareministeriet er en koncern

2. Fødevareministeriet er en koncern Ministeriet for Fødevarer, Landbrug og Fiskeri Fødevareministeriets effektiviseringsstrategi 1. Indledning 2. udgave af Fødevareministeriets effektiviseringsstrategi er udarbejdet i 2007. Effektiviseringsstrategien

Læs mere

Fælles regional retningslinje for arbejdsmiljø

Fælles regional retningslinje for arbejdsmiljø Psykiatri og Social Dansk Kvalitetsmodel på det sociale område Dato november 2011 i Region Midtjylland Fælles regional retningslinje for arbejdsmiljø Vejledning til, hvordan det enkelte tilbud kan arbejde

Læs mere

Temperaturmåling på beskæftigelsesområdet

Temperaturmåling på beskæftigelsesområdet KPMG Statsautoriseret Revisionspartnerselskab Osvald Helmuths Vej 4 Postboks 250 2000 Frederiksberg Telefon 73 23 30 00 Telefax 72 29 30 30 www.kpmg.dk Temperaturmåling på beskæftigelsesområdet Faglig

Læs mere

Forbedringspolitik. Strategi

Forbedringspolitik. Strategi Forbedringspolitik Strategi 1 2 Indhold Forord... 3 Formål... 5 Vi vil forandre for at forbedre... 6 Forbedringer tager udgangspunkt i patientforløb og resultatet for patienten... 7 Medarbejder og brugerinvolvering...

Læs mere

Fra DS 484 til ISO 27001

Fra DS 484 til ISO 27001 Fra DS 484 til ISO 27001 Hvordan kan din virksomhed efterleve den internationale standard for informationssikkerhed - ISO 27001? En praktisk vejledning i at skifte fra den udgående danske standard, DS

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Kvalitetsledelse af jeres ydelser og services

Kvalitetsledelse af jeres ydelser og services Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for kvalitetsledelse på telefon 39 96 61 01 eller consulting@ds.dk. Kvalitetsledelse

Læs mere

Velkommen Gruppe SJ-1

Velkommen Gruppe SJ-1 Velkommen Gruppe SJ-1 Lasse Ahm Consult Onsdag, den 25. september 2013 15:26 1 Kl. 10.05 11.00 Bordet rundt Kl. 11.00 12.00 Den gode audit DS/EN ISO 19 011 Kl. 12.00 12.45 Frokost & networking Kl. 12.45

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

Hvordan effektiviserer I jeres processer

Hvordan effektiviserer I jeres processer Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for kvalitetsledelse og andre ledelsessystemer på telefon 39 96 61 01 eller

Læs mere

Systematiseret tilgang til Virksomhedskontakt - executive summary

Systematiseret tilgang til Virksomhedskontakt - executive summary Systematiseret tilgang til Virksomhedskontakt - executive summary Jobcenter Randers PricewaterhouseCoopers, CVR-nr. 16 99 42 94, Gentofte 1. Baggrund for projektet Hvert år gør Jobcenter Randers en stor

Læs mere