Revision. Skat. Rådgivning.

Størrelse: px
Starte visningen fra side:

Download "Revision. Skat. Rådgivning."

Transkript

1 Forundersøgelse af modenhedsog sikkerhedsniveauet inden for cyber- og nssikkerhed blandt danske el- og naturgasselskaber Rapport 20. maj 2015 Revision. Skat. Rådgivning.

2 Indhold Slide Indledning 3 Om spørgeskemaundersøgelsen 4 Svarprocenter - respondenter 5 Forklaring af resultater og evalueringsmodel 7 Samlet resultat og konklusion 8 A. Ledelsesforankring 9 B. Medarbejdersikkerhed 11 C. Beskyttelse af data 13 D. Beredskab 15 E. Processer 17 F. Fysisk sikkerhed 19 G. Teknologi 21 Delkonklusioner - virksomhedstyper 24 Bilag 1: modenhedsskala 31 2

3 Indledning Som led i den nationale strategi for cyber- og nssikkerhed har Energistyrelsen (ENS), i samarbejde med Energinet.dk (ENDK), ønsket at skabe et overblik over det nuværende modenhedsniveau og sikkerhedsniveau af nssikkerhed i energisektoren. Et sådant overblik skal bidrage med empiri og fakta i den aktuelle debat om, hvorvidt branchen er tilstrækkeligt beskyttet i forhold til de skærpede trusler mod virksomheder, der er en del af Danmarks kritiske infrastruktur. ENS og ENDK har ønsket at få en indledende vurdering af, om virksomheder i sektoren har implementeret sikkerhedsprocesser, der medvirker til at opnå og vedligeholde et passende sikkerhedsniveau. Denne vurdering angiver desuden, hvorvidt tilstrækkelige kontroller er implementeret og forankret i de organisationer, der medvirker. har i foråret 2015 assisteret ENS og ENDK med at gennemføre en spørgeskemaundersøgelse af virksomhederne i el- og naturgassektoren samt med at evaluere de individuelle besvarelser og resultater, der er sammenfattet i denne rapport. It- og nssikkerhed er sensitivt, og der er derfor taget særlige forbehold for at beskytte fortroligheden og anonymiteten af de enkelte virksomheders besvarelser. De medvirkende myndigheder har ikke haft adgang til individuelle virksomheders besvarelser i forbindelse med undersøgelsen eller afrapportering, men udelukkende til de aggregerede resultater. Forbehold Denne rapport er resultatet af en spørgeskemaundersøgelse og de besvarelser, der danner grundlag for resultaterne, er respondenternes egen vurdering af modenhed og sikkerhedsniveau. Resultaterne afspejler dermed ikke en revision eller anden dybdegående vurdering af sikkerheden foretaget af en uvildig tredjepart. Ligeledes bør det pointeres, at der i denne rapport ikke er taget udgangspunkt i virksomhedernes kritikalitet i forhold til den samlede forsyningssikkerhed: Besvarelser fra et mindre selskab med få kunder er vægtet på samme måde som svarene fra et større selskab, som dækker en større region. 3

4 Om spørgeskemaundersøgelsen Denne undersøgelse er blevet gennemført i perioden 26. februar marts Der er blevet udsendt spørgeskemaer til 77 organisationer fordelt på følgende virksomhedstyper: - El-netselskaber - El-produktionsselskaber - Naturgasdistributionsselskaber - Naturgastransportselskaber - Produktionsbalanceansvarlige - Systemansvarlige transmissionsvirksomheder Undersøgelsen har overordnet set afdækket, hvorvidt de medvirkende virksomheder: 1. Har en tilstrækkelig styring af nssikkerhed ved at stille spørgsmål til modenheden af de processer, der skal medvirke til at opbygge og vedligeholde et passende sikkerhedsniveau over tid De involverede virksomheder er blevet stillet 29 spørgsmål inden for syv kategorier: A. Ledelsesforankring af nssikkerheden B. Informationssikkerhed i forhold til medarbejdere C. Beskyttelse af data D. It-beredskab E. Processer for styring af nssikkerhed F. Fysisk sikring G. Teknologianvendelse til sikring af it- og nsaktiver Spørgsmålene og svarmulighederne er udarbejdet af i samarbejde med Dansk Energi, Energistyrelsen, Energinet.dk såvel som repræsentanter fra branchen. Kategorierne og de enkelte spørgsmål er beskrevet senere i rapporten. 2. Har implementeret sikkerhedskontroller, der i tilstrækkelig grad beskytter virksomhederne mod relevante it-risici ved at stille spørgsmål til de konkrete tiltag, der er implementeret. 4

5 Svarprocenter - respondenter Virksomhedstype Antal virksomheder - udsendelser Besvarelser antal (%) El-netselskaber (79%) El-produktionsselskaber (79%) Naturgasdistributionsselskab 4 3 (75%) Naturgastransportselskab 9 4 (44%) Produktionsbalanceansvarlige 6 4 (67%) Systemansvarlig transmissionsvirksomhed 1 1 (100%) Samlet (74%) 5

6 Resultater for el- og naturgassektorerne 6

7 Forklaring af resultater og evalueringsmodel Som nævnt, så afdækker denne forundersøgelse henholdsvis modenhedsniveauet såvel som det aktuelle sikkerhedsniveau af de medvirkende virksomheder. Modenhedsniveau En række af de stillede spørgsmål har fokus på at afdække modenhedsniveauet for de interne processer, der medvirker til, at en virksomhed kan opbygge og vedligeholde et tilstrækkeligt sikkerhedsprogram. Modenhedsniveauet er angivet på en 5-trins CMMI-modenhedsskala. Niveauerne 1-5 angiver, i hvilken grad virksomheden har formaliseret og optimeret sikkerhedsprocesser og -procedurer, så ensartede resultater kan opnås over tid. Et anbefalet minimumsniveau for styring af sikkerhed på tværs af brancher er på 3, hvilket angiver, at processer er veldokumenterede og kommunikerede i virksomheden. For særligt kritiske processer bør virksomheder have et modenhedsmål på 4, hvilket afspejler, at virksomheden kan måle effekten af de implementerede sikkerhedskontroller og gribe ind, hvis de ikke fungerer effektivt. I en organisation er det naturligvis ikke alle processer, der har samme kritikalitet, og den enkelte virksomhed bør prioritere indsatsen på basis af en risikobetragtning. Skalaens niveauer er beskrevet i Bilag 1. Sikkerhedsniveau Vi har i denne undersøgelse også undersøgt, hvilke konkrete sikkerhedstiltag de medvirkende virksomheder har implementeret for at beskytte deres nsaktiver. I modsætning til måling af modenhed, så findes der ikke en entydig vurderingsskala for en virksomheds sikkerhedsniveau. Vi har i denne undersøgelse anvendt en 5-trins skala, hvor 1 afspejler, at virksomheden ikke har implementeret selv de mest grundlæggende kontroller, og at der dermed er et meget lavt sikkerhedsniveau inden for det pågældende område, og 5 afspejler, at virksomheden har implementeret tiltag, der i høj grad afspejler sikkerhedsmæssig best practice og bør udgøre en meget høj beskyttelse af virksomheden i forhold til det aktuelle trusselsbillede. 7

8 Samlet resultat og konklusion Resultaterne af denne undersøgelse har vist, at branchen samlet set har et sikkerhedsniveau, der ligger på 2,8. Vores vurdering af energisektorens modenhedsniveau og de implementerede sikkerhedskontroller er et udtryk for et relativt højt sikkerhedsniveau sammenholdt med virksomheder i andre brancher. Energibranchen har et naturligt fokus på sikkerhed. Det er virksomhedernes primære opgave at opretholde forsyningssikkerheden. Derudover er driftsstabilitet og beredskab såvel som fysisk sikring af faciliteter naturlige opgaver, der varetages. Dette reflekteres i den måde, hvorpå it- og nssikkerheden er grebet an. Resultaterne af denne undersøgelse afspejler, at der er implementeret mange gode tiltag, herunder både administrative og tekniske kontroller, der medvirker til at beskytte nssikkerheden. Implementering af disse tiltag er dog ikke nødvendigvis foretaget med udgangspunkt i en formaliseret tilgang, hvor alle sikkerhedstiltag er lavet på basis af en aktiv stillingtagen til forretningens risiko. Det er vores vurdering, at i størstedelen af de medvirkende virksomheder er de implementerede tiltag og det høje sikkerhedsniveau et udtryk for en intuitiv tilgang, der er resultat af dygtige medarbejderes erfaring samt traditionelt omfattende beredskabskrav til sektoren. En sådan tilgang medfører en vis risiko for, at virksomhederne over tid ikke opretholder et sikkerhedsniveau, der i passende grad beskytter virksomheden mod nye komplekse trusler fra organiserede cyberkriminelle og fremmede statslige aktører, der målretter den kritiske infrastruktur. Resultaterne af undersøgelsen viser, at der er sammenhæng mellem virksomhedernes modenhed og deres størrelse. De større selskaber med regionalt ansvar har etableret formaliserede procedurer for styring af nssikkerhed. 8

9 A. Ledelsesforankring Kontrolmål For at sikre, at it- og nssikkerhed styres og implementeres med udgangspunkt i virksomhedens forretningsrisiko, bør der være implementeret processer, der 1) sikrer, at ledelsen kan forholde sig til risikobilledet, 2) sikrer, at ledelsens forventninger til sikkerhed er dokumenteret og kommunikeret entydigt til organisationen, og 3) sikrer, at roller og ansvar er defineret og forankret i organisationen. Der er stillet spørgsmål relateret til: 1. It-risikovurdering Er der foretaget en it-risikovurdering, og har ledelsen accepteret den aktuelle risiko? En itrisikovurdering indebærer en evaluering af sandsynligheden for, at en it-relateret trussel indtræffer, samt af hvilken forretningsmæssig konsekvens den kan have ift. brud på fortrolighed, integritet og tilgængelighed af data, systemer og processer. It-risikovurderingen bør anvendes til at prioritere sikkerhedsmæssige tiltag på både administrative systemer og produktionssystemer. 2. Retningslinjer for nssikkerhed Findes der retningslinjer for nssikkerhed inden for relevante områder? Retningslinjer udtrykker den overordnede politik for nssikkerhed inden for specifikke områder, evt. struktureret i henhold til en accepteret standard (fx ISO27000). 3. Ledelse af nssikkerhed Påser ledelsen styringen af nssikkerhed i organisationen? 9

10 Resultater - ledelsesforankring Resultaterne af undersøgelsen viser, at ledelsesforankring af nssikkerhed i energibranchen ligger på et gennemsnitligt niveau på 2,6. I tre fjerdedele af de adspurgte virksomheder er ledelsen bevidst om, at nssikkerheden er ledelsens ansvar, og i over halvdelen af de adspurgte virksomheder overvåger ledelsen området i passende omfang. Der anvendes it-risikovurderinger i over halvdelen af de adspurgte virksomheder, især til vurdering af nye projekter, men det er kun i en tredjedel, at der er etableret en ensartet, formaliseret proces for itrisikovurdering, der muliggør det for den øverste ledelse at vurdere den overordnede it-risiko og godkende risikobilledet såvel som tiltag, der skal medvirke til at bringe it- og nssikkerhedsrisici til et acceptabelt niveau. Der er i tre fjerdedele af de adspurgte virksomheder etableret retningslinjer og skriftlige procedurer for, hvordan nssikkerheden skal styres på de mest kritiske aktiver. Det er dog kun i få virksomheder, at der er etableret kontrolmål (succeskriterier) og processer, der gør det muligt at måle, i hvilken grad de enkelte kontrolmål er opfyldt. 5,0 4,0 3,0 2,0 1,0 0,0 Ledelsesforankring 2,5 2,6 2,6 Total It-risikovurdering Retningslinjer for nssikkerhed Ledelse af nssikkerhed 10

11 B. Medarbejdere Etablerede procedurer for personalesikkerhed medvirker til minimering af risici forbundet med medarbejdere, herunder at alle medarbejdere har kendskab til og efterlever deres ansvar i forbindelse med deres arbejde med virksomhedens systemer og data. Der er stillet spørgsmål relateret til: 4. Efterprøvning af jobkandidaters baggrund Foretages der en passende efterprøvning af jobkandidaters baggrund med udgangspunkt i kritikaliteten af den jobfunktion, som kandidaten er tiltænkt at bestride? Jobfunktioner, hvor der eksempelvis er adgang til fortrolige data eller til systemer, der er kritiske for forsyningssikkerheden. 5. Information til medarbejderne om nssikkerhed Bliver medarbejderne løbende gjort bekendt med deres rolle og ansvar i relation til beskyttelse af nssikkerhed? 6. Beskyttelse af nssikkerhed ved afskedigelse/fratrædelse af medarbejdere Er der etableret en passende procedure til beskyttelse af nssikkerheden ved afskedigelse/fratrædelse af medarbejdere? 11

12 Resultater - medarbejdere Resultaterne af undersøgelsen viser, at de kontroller, der er relateret til medarbejderens rolle i forhold til nssikkerhed i energibranchen, ligger på et gennemsnitligt niveau på 2,4. I ca. halvdelen af de adspurgte virksomheder tages der stilling til, om en jobkandidat skal baggrundstjekkes inden ansættelse, ligesom der i rekrutteringsprocessen er krav til, at referencer og evt. straffeattest skal afgives. Der er i meget få tilfælde krav om, at medarbejdere skal sikkerhedsgodkendes inden ansættelse i kritiske jobfunktioner. Størsteparten af de adspurgte virksomheder har formelle procedurer såvel som tjeklister, der tager højde for inddragelse af it-aktiver og adgangsrettigheder ved fratrædelse eller afskedigelse af medarbejdere. Ca. en tredjedel af virksomhederne har en procedure for at implementere ekstraordinær overvågning for at påse, om der er forekommet uregelmæssigheder, når en medarbejder fratræder en kritisk jobfunktion. Størsteparten af de adspurgte virksomheder gør medarbejderne formelt bekendt med deres rolle og ansvar i relation til nssikkerhed ved ansættelse, og ligeledes kommunikerer størstedelen af virksomhederne de relevante dele af nssikkerhedspolitikken regelmæssigt til medarbejderne. 5,0 4,0 3,0 2,0 1,0 0,0 Medarbejdere 2,3 2,4 Total Efterprøvning af jobkandidaters baggrund Information til medarbejderne om nssikkerhed 2,6 Beskyttelse af nssikkerheden ved afskedigelse/fratrædelse 12

13 C. Beskyttelse af data Der bør være etableret procedurer, der sikrer beskyttelse af data og ner i virksomheden såvel som hos tredjepartsleverandører. Der er stillet spørgsmål relateret til: 7. Kategorisering/klassifikation og beskyttelse af data Er data kategoriseret/klassificeret, og beskyttes data i henhold til denne kategorisering? 8. Beskyttelse af personhenførbare oplysninger Hvordan er personhenførbare oplysninger beskyttet? Personhenførbare oplysninger kan henføre til eksempelvis både medarbejderes løn-, ansættelses- og helbredsoplysninger såvel som kunders stamdata, målerdata eller betalingsoplysninger. 9. Krav til databeskyttelse over for eksterne leverandører Er virksomhedens it-sikkerhedspolitik, herunder krav til databeskyttelse, gjort gældende over for relevante eksterne leverandører? 10. Overblik over vigtige nsaktiver Er der et tilstrækkeligt overblik med de vigtigste nsaktiver (de it-systemer og databærende medier, der er kritiske for at understøtte virksomhedens forretning)? 11. Kryptering Hvordan anvendes kryptering i virksomheden til at beskytte datas fortrolighed og integritet? 13

14 Resultater beskyttelse af data Resultaterne af undersøgelsen viser, at niveauet for beskyttelse af data i energibranchen gennemsnitligt ligger på 2,2. Der er i størsteparten af de adspurgte virksomheder etableret en overordnet politik for, hvordan data skal beskyttes, og hvordan man skal arbejde med beskyttelse af data i henhold til deres kritikalitet. Næsten alle adspurgte virksomheder har afgrænset adgangen til personhenførbare data til personer med et arbejdsbetinget behov. Det er under hver tredje virksomhed, der overvåger og logger aktiviteter, der vedrører fortrolige eller personhenførbare data, og kun få virksomheder gennemgår disse logs for uregelmæssigheder. Over halvdelen af de adspurgte virksomheder har gjort virksomhedens sikkerhedspolitik gældende over for leverandører, men kun en fjerdedel har defineret servicemål for overholdelse af politikken, og kun få har mekanismer etableret, der gør det muligt at vurdere, om leverandøren overholder politikken. Næsten alle virksomhederne har et overblik med de vigtigste nsaktiver og har tilknyttet et formelt ejerskab af disse. I en tredjedel af de adspurgte virksomheder er der etableret en procedure for, at aktivejeren etablerer passende sikkerhedsforanstaltninger, herunder kryptering i forhold til aktivets kritikalitet. 5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Beskyttelse af data 2,3 2,4 2,1 Total 2,5 Kategorisering/klassifikation og beskyttelse af data Beskyttelse af personhenførbare oplysninger Krav til databeskyttelse overfor eksterne leverandører Overblik over vigtige nsaktiver Kryptering 1,8 14

15 D. Beredskab Beredskabsstyring implementeres som en kontinuerlig proces med det formål at begrænse konsekvenserne ved tab af nsaktiver forårsaget af katastrofer og sikkerhedsbrister til et acceptabelt niveau samt med det formål at kunne genoprette driften gennem en kombination af forebyggende og udbedrende foranstaltninger. Der er stillet spørgsmål relateret til: 12. It-beredskabsplan Er der en godkendt it-beredskabsplan, der beskriver roller, ansvar og operationelle tiltag samt handlinger, der effektivt håndterer it-beredskabssituationer, hvor data eller systemers fortrolighed, integritet eller tilgængelighed er blevet kompromitteret? 13. Håndtering af it-sikkerhedshændelser Er der en dokumenteret proces for håndtering af it-sikkerhedshændelser? 14. Genetablering af kritisk produktions-it Har virksomheden implementeret et it-beredskab, der muliggør, at kritiske it-installationer og systemer kan genetableres med minimal konsekvens for driften? 15

16 Resultater it-beredskab Resultaterne af undersøgelsen viser, at niveauet for it-beredskab i energibranchen gennemsnitligt ligger på 2,6. I branchen er der et meget højt fokus på, at den kritiske produktionsit, der understøtter forsyningen, kan genetableres effektivt. Tre ud af fire adspurgte har etableret procedurer for manuel genetablering og har de nødvendige værktøjer, reservedele, vagtplaner mv. Disse procedurer testes regelmæssigt. Det er kendetegnende for branchen, at der er fokus på forsyningssikkerhed og tilgængelighed af systemer. Under halvdelen af de adspurgte har etableret en it-beredskabsplan, der håndterer brud på fortrolighed og integritet af data, ud over tilgængelighed af systemerne. En tredjedel af de adspurgte har implementeret automatiske værtøjer til at understøtte opdagelsen af hændelser. Størsteparten af de adspurgte rapporterer større it-sikkerhedshændelser til relevante eksterne parter. 5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Beredskab 3,4 2,3 2,2 Total It-beredskabsplan Håndtering af it-sikkerhedshændelser Genetablering af kritisk produktions-it 16

17 E. Processer Er der implementeret centrale processer, der medvirker til at opbygge og over tid vedligeholde et passende sikkerhedsniveau? Der er stillet spørgsmål relateret til: 15. Proces for identifikation af og overholdelse af eksterne krav Er der etableret en proces eller samarbejde, der medvirker til, at alle eksterne krav fra myndigheder og eksterne aftaleparter identificeres og overholdes? 16. Logisk adgang til kritiske it-systemer Er logisk adgang til kritiske it-systemer og data tildelt efter et arbejdsbetinget behov, og følges der løbende op på, hvorvidt adgangsrettigheder er aktuelle? Adgangsrettigheder bestemmer, hvem der skal have adgang til specifikke data, og hvad de skal kunne med disse data (fx læse- eller skriveadgang) 17. It-driftsprocedurer Dokumenteres og vedligeholdes it-driftsprocedurer, såsom ændringshåndtering, adgangsstyring, kapacitetsstyring, backup af data, hændelseshåndtering, sårbarhedsstyring mv.? 18. Anskaffelse, udvikling og vedligehold af systemer Er der implementeret kontroller ved anskaffelse, udvikling og vedligehold af systemer? 17

18 Resultater processer Resultaterne af undersøgelsen viser, at de processer, der medvirker til at opretholde et passende sikkerhedsniveau over tid, gennemsnitligt ligger på 2,9. Størsteparten af de adspurgte har udpeget en ansvarlig, der skal identificere og indrapportere nye krav til it-sikkerhed, og/eller man har etableret et samarbejde med eksempelvis en brancheforening, der kan holde virksomheden orienteret. Der er meget højt fokus på at sikre, at kun medarbejdere, der har et arbejdsbetinget behov, tildeles adgang til kritiske it-systemer, og der følges regelmæssigt og proaktivt op på disse adgangsrettigheder. It-driftsprocedurer er dokumenteret hos mere end tre fjerdedele af de adspurgte virksomheder og vedligeholdes som del af det daglige arbejde. Det er kun i en tredjedel af virksomhederne, at itdriftsprocedurer er dokumenteret i henhold til en standard (fx ITIL), og procedurernes effektivitet vurderes ligeledes årligt i en tredjedel af virksomhederne. Ca. halvdelen af virksomhederne stiller mindstekrav til sikkerheden i nye systemer, hvorimod mere end tre fjerdedele af virksomhederne stiller specifikt krav til test og godkendelse af it-systemer, der er kritiske for forsyningen inden idriftsættelse. 5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Processer 3,5 2,9 3,0 2,3 Total Proces for ident. af og overholdelse af eksterne krav Logisk adgang til kritiske it-systemer It-driftsprocedurer Anskaffelse, udvikling og vedligehold af systemer 18

19 F. Fysisk sikring Etablerede procedurer på området sikrer mod uautoriseret fysisk adgang, skader og forstyrrelser mod virksomheden via fysisk adgang både på og uden for virksomhedens lokationer. Der er stillet spørgsmål relateret til: 1. Fysisk perimetersikring og overvågning af lokationer, der huser kritiske it-installationer Har virksomheden etableret passende fysisk sikring og overvågning af kritiske it-installationer, herunder hovedstationer, produktionsenheder, anlæg mv., der er koblet op til det centrale netværk? 2. Fysisk adgangskontrol Er områder/lokaler i virksomheden, både centralt og decentralt, beskyttet med passende fysisk adgangskontrol for at sikre, at kun autoriseret personale kan få adgang? 19

20 Resultater fysisk sikring Resultaterne af undersøgelsen viser, at det fysiske sikringsniveau i branchen gennemsnitligt ligger på 3,1. To ud af tre af de adspurgte virksomheder har implementeret perimetersikring såvel som alarmovervågning af kritiske itinstallationer. Ca. en tredjedel af de adspurgte foretager regelmæssig manuel inspektion af alle kontroller med henblik på at opdage fejl, uønsket indtrængen eller manipulation. Næsten alle de adspurgte virksomheder har en politik for tildeling af adgange til fysiske rum og lokationer, baseret på et arbejdsbetinget behov. To ud af tre overvåger og logger adgangen til fysiske områder, og ca. halvdelen af de adspurgte har ydermere implementeret funktionalitet, hvor uautoriseret adgang eller uregelmæssigheder udløser alarmer. 5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Fysisk sikring 3,3 Total 3,1 Fysisk perimetersikring og overvågning af lokationer, der huser kritiske it-installationer Fysisk adgangskontrol 20

21 G. Teknologi Virksomheden bør have implementeret passende tekniske kontroller til at beskytte de mest kritiske dele af forretningen mod de aktuelle trusler. Der er stillet spørgsmål relateret til: 21. Beskyttelse mod elektroniske angreb Er der implementeret kontroller til beskyttelse mod elektroniske angreb? 22. Opdatering af it-systemer Er der implementeret kontroller til at holde it-systemer opdaterede? 23. Sikring af administrative arbejdsstationer Der skal være implementeret sikkerhedsmekanismer, der beskytter den enkelte arbejdsstation i henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til lukkede netværk eller kritiske data. 24. Sikring af arbejdsstationer, der har adgang til produktionen Der skal være implementeret sikkerhedsmekanismer, der beskytter den enkelte arbejdsstation i henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til lukkede netværk eller kritiske data. 25. Sikring af mobile enheder Der skal være implementeret sikkerhedsmekanismer, der beskytter den enkelte mobile enhed i henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til kritiske systemer eller data. 26. Tilgængelighed af produktions-it Har virksomheden implementeret tekniske kontroller, der afspejler forretningens krav til tilgængelighed for SCADA og styringssystemerne? 27. Pålidelighed af netværksforbindelser Er der etableret netværksforbindelser, der sikrer en robust tilgængelighed? 28. Beskyttelse af netforbindelse mellem internet og produktionsdatanet Hvordan er netforbindelsen mellem internet og produktionsdatanet beskyttet? 29. Beskyttelse af netforbindelse mellem kontrolrum og serverrum Hvordan er netforbindelsen mellem kontrolrum og serverrum beskyttet? 21

22 Resultater teknologi 5,0 Teknologi 4,5 4,0 3,5 3,0 3,4 3,3 3,1 3,1 3,4 3,5 3,2 3,7 2,5 2,0 1,8 1,5 1,0 0,5 0,0 Beskyttelse mod elektroniske angreb Total Opdatering af it-systemer Sikring af administrative arbejdsstationer Sikring af arbejdsstationer, der har adgang til produktionen Sikring af mobile enheder Tilgængelighed af produktions-it Pålidelighed af netværksforbindelser Beskyttelse af netforbindelse mellem internet og produktions-datanet Beskyttelse af netforbindelse mellem kontrolrum og serverrum Se næste side for beskrivelse 22

23 Resultater teknologi Resultaterne af undersøgelsen viser, at anvendelsen af teknologi til sikring af branchen gennemsnitligt ligger på 3,1. Alle de adspurgte virksomheder har implementeret de mest grundlæggende tekniske kontroller til beskyttelse mod ondsindet angreb, herunder antivirussoftware og firewalls mod internettet. Størsteparten af de adspurgte har ligeledes procedurer, der medvirker til at holde disse kontroller sikre over tid. Halvdelen har mere avanceret beskyttelse implementeret, i form af fx intrusion detection, eller et abonnement på eksterne tjenester, der medvirker til at identificere komplekse trusler eller angreb. To tredjedele af de adspurgte har procedurer for at holde operativsystemer opdaterede eller implementere kompenserende kontroller i de tilfælde, hvor fx produktions-it ikke kan opdateres uden at påvirke produktionen negativt. Næsten alle de adspurgte har standardiserede enheder og opsætninger for de administrative arbejdsstationer, og tre fjerdedele har det på arbejdsstationer, der har adgang til produktionen. På disse er der ydermere implementeret kontroller, fx overvågning/scanning med henblik på at sikre, at et passende sikkerhedsniveau opretholdes. Der er ikke megen fokus på sikring af mobile enheder. Der er primært adgang til mail og kalender via disse typer enheder ikke til produktionen. De kritiske it-systemer er enten delvist dublerede eller fuldt redundante, og typiske udfald forventes at have minimal konsekvens for driften. I næsten alle de adspurgte virksomheder kan produktionssystemer administreres fra mindst to fysisk adskilte kontrolrum eller terminaladgang via fjernarbejdspladser. I næsten alle de adspurgte virksomheder er kommunikationslinjer til kritiske it-installationer baseret på dedikerede og dublerede forbindelser. Produktionsnetværk er typisk adskilt fra internettet via firewalls, der er konfigureret restriktivt. Det er dog kun under halvdelen af respondenterne, der har implementeret tekniske begrænsninger i firewallen for at modvirke websurfing fra produktionsnettet. Sådanne begrænsninger skal modvirke, at medarbejdere fra produktionsnettet tilgår internettet og potentielt er medvirkende til at introducere ondsindet kode. 23

24 Delkonklusioner - virksomhedstyper 24

25 Delkonklusion elnetselskaber Gennemsnitligt niveau: 2,7 Der er 30 besvarelser fra elnetselskaber, hvilket udgør 52 % af det totale antal respondenter, og derfor er besvarelser fra denne virksomhedstype i høj grad afspejlet i de resultater, der er beskrevet i de samlede resultater for branchen. Det skal herudover nævnes, at resultaterne viser, at selskaber med et regionalt forsyningsansvar har et højere modenhedsniveau end gennemsnittet. Der er dog i denne virksomhedstype et noget højere fokus på beskyttelse af data, da elnetselskaberne typisk er tættere på slutbrugeren end de øvrige selskabstyper i branchen. Elnetselskaber opbevarer og behandler i stigende grad personhenførbare ner om kunderne, herunder deres forbrug. Det antages, at der er et erkendt behov for beskyttelse af disse ner, hvilket afspejles i et gennemsnitligt højere sikkerhedsniveau. Dette har også medført, at elnetselskaberne har implementeret bedre processer til at identificere ændringer i lovkrav og sikre overholdelsen af disse. Elnetselskaberne er ligeledes med til at løfte branchegennemsnittet på beredskabsområdet, hvor der i denne virksomhedstype er højt fokus på genetablering af den kritiske produktions-it. 25

26 Delkonklusion elproduktionsselskaber Gennemsnitligt niveau: 2,6 Der er 15 besvarelser fra elproduktionsselskaber, hvilket udgør 26 % af det totale antal respondenter, og ligesom elnetselskaberne er besvarelser fra denne virksomhedstype også afspejlet i de resultater, der er beskrevet i de samlede resultater for branchen. Elproduktionsselskaberne har ifølge undersøgelsen et marginalt lavere niveau end de øvrige selskabstyper. Dette skal dog ikke ses som værende kritisk, da det samlet set er 0,2 under det samlede gennemsnit. Desuden skal det nævnes, at de større selskaber med regionalt ansvar har et højere modenhedsniveau. Elproduktionsselskaberne har ifølge undersøgelsen et lavere niveau af ledelsesforankring for nssikkerhed end de øvrige selskaber i branchen, især udtrykt i manglende retningslinjer såvel som ansvarsplacering af opgaven. Resultaterne viser ligeledes et lavere niveau for beskyttelse af personhenførbare oplysninger. Dette er givetvis udtryk for, at denne virksomhedstype typisk ikke behandler personhenførbare kundeoplysninger. Andre personhenførbare oplysninger, som fx medarbejderdata, herunder data relateret til ansættelse, sygefravær mv., bør selvfølgelig sikres tilstrækkeligt. 26

27 Delkonklusion naturgasdistributionsselskaber Gennemsnitligt niveau: 3,4 Der er tre besvarelser fra naturgasdistributionsselskaberne, hvilket udgør kun 5 % af det totale antal respondenter. De enkelte besvarelser har derfor en høj indflydelse på gennemsnittet for denne virksomhedstype. Gasdistributionsselskaberne har ifølge undersøgelsen det højeste sikkerhedsniveau i branchen. Denne virksomhedstype har ifølge undersøgelsen høj fokus på sikkerhed, herunder især kommunikation til medarbejdere om deres rolle og ansvar i forhold til nssikkerheden; kravstilling til databeskyttelse over for eksterne leverandører; overblik med vigtige nsaktiver; it-beredskab; styring af logisk adgang til kritiske systemer; og beskyttelse mod ondsindede angreb. 27

28 Delkonklusion naturgastransportselskaber Gennemsnitligt niveau: 3,0 Der er tre besvarelser fra naturgastransportselskaberne, hvilket udgør kun 7 % af det totale antal respondenter. Ligesom for gasdistributionsselskaberne har de enkelte besvarelser derfor en høj indflydelse på gennemsnittet for denne virksomhedstype. Gastransportselskaberne har et marginalt højere gennemsnitligt niveau end det samlede branchegennemsnit. Denne virksomhedstype har ifølge undersøgelsen højt fokus på sikkerhed og har etableret formelle retningslinjer for styring af sikkerheden; har stærke procedurer ved ansættelse såvel som afskedigelse/fratrædelse af medarbejdere; it-driftsprocedurer er veldokumenterede og formaliserede, og der er fokus på fysisk sikkerhed; såvel som sikring af arbejdsstationer, der har adgang til produktionen. Der, hvor denne virksomhedstype ifølge undersøgelsen har et relativt lavere niveau end branchegennemsnittet, er i forhold til at have en formaliseret it-beredskabsplan. 28

29 Delkonklusion produktionsbalanceansvarlige Gennemsnitligt niveau: 3,2 Respondenter fra de produktionsbalanceansvarlige virksomheder udgør kun 7 % af det totale antal respondenter, og ligesom de foregående virksomhedstyper inden for naturgas, så har de enkelte besvarelser en høj indflydelse på gennemsnittet for denne virksomhedstype. De produktionsbalanceansvarlige virksomheder har et marginalt højere gennemsnitligt niveau end det samlede branchegennemsnit. Denne virksomhedstype har ifølge undersøgelsen højt fokus på sikkerhed og har stærke procedurer ved ansættelse såvel som afskedigelse/fratrædelse af medarbejdere; it-driftsprocedurer er veldokumenterede og formaliserede, og der stilles høje krav til leverandører om overholdelse af procedurer; man har formaliseret ithændelseshåndtering og har fokus på at beskytte produktionsnetværket. 29

30 Delkonklusion systemansvarlig transmissionsvirksomhed Gennemsnitligt niveau: 2,8 Der er kun én systemansvarlig transmissionsvirksomhed i Danmark, nemlig Energinet.dk. Energinet.dk har ifølge undersøgelsen højt fokus på sikkerhed, hvilket afspejles i en høj grad af ledelsesforankring. Der er et højt niveau for risikostyring; krav til eksterne leverandører; beredskab, herunder genetablering af kritisk produktions-it; opdatering af systemer; sikring af arbejdsstationer med adgang til produktionen; tilgængelighed af produktions-it; og sikring af netværksforbindelser. 30

31 Bilag 1: Modenhedsniveau Modenhedsniveauet er vurderet ved anvendelse af Capability Maturity Model (CMMI). Modenhedsniveau X Ikke relevant Aktiviteterne er ikke relevante. 0 Ikke-eksisterende Virksomheden har ikke identificeret og adresseret problemstillingerne. 1 Ad hoc Virksomheden har identificeret problemstillinger, som bør adresseres. Der findes ingen standardiserede processer, som tager hånd om problemstillingerne dette sker typisk på en medarbejders eget initiativ. 2 Intuitiv De samme procedurer følges af forskellige personer, der udfører en opgave. Der er ingen formel træning eller kommunikation omkring standardprocedurer. Udførelse sker på medarbejderens eget initiativ. 3 Defineret Procedurer er standardiserede, dokumenterede og kommunikerede. Medarbejderne bør følge procedurer. Procedurerne er typisk en simpel formalisering af guidelines. 4 Styret og målbar Ledelsen overvåger og måler anvendelse af procedurer og griber ind, hvis processer ikke fungerer effektivt. Aktiviteter forbedres konstant og sikrer effektivitet. Automatisering anvendes i begrænset omfang. 5 Optimeret Aktiviteter er blevet optimeret, baseret på resultater fra integrationen og sammenligning med andre virksomheder. It anvendes som et integreret værktøj til at automatisere processer og støtter op omkring forbedring af kvalitet og effektivitet. Dette gør virksomheden agil. 31

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Bilag 1: Overblik over interviews og surveys

Bilag 1: Overblik over interviews og surveys Marts 2015 Bilag 1: Overblik over interviews og surveys Energistyrelsen Indholdsfortegnelse 1. Interview 3 2. Survey 4 Survey af energiselskaber 5 Survey af eksterne aktører 7 Survey af slutbrugere 9 2.3.1.

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

CYBERFORSIKRING OFFENTLIG KONFERENCE

CYBERFORSIKRING OFFENTLIG KONFERENCE CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der

Læs mere

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER NOVEMBER 2014 Hvad er et hackerangreb? INTRODUKTION Denne folder er udarbejdet af It-sikkerhedssøjlen i Branchefællesskab

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1 Introduktion

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

It-beredskabspolitik for Ishøj Kommune

It-beredskabspolitik for Ishøj Kommune It-beredskabspolitik for Ishøj Kommune Version Dato Udarbejdet af Ændringer Godkendt af ledelsen 0.1 - Neupart Første udkast - 0.2 - Neupart 2.2 Beredskabs - organisation fastsat. 2.3 Tilgængelighedskrav

Læs mere

CYBER RISIKOAFDÆKNING

CYBER RISIKOAFDÆKNING CYBER RISIKOAFDÆKNING Den 4 september 2015 Kort om Willis WILLIS ER DANMARKS STØRSTE FORSIKRINGSMÆGLER OG BLANDT VERDENS FØRENDE VIRKSOMHEDER MED SPECIALE I RISIKOSTYRING. VI ER PÅ VERDENSPLAN 17.000 ANSATTE

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester 1)

Bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester 1) (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-07167 Senere ændringer

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

De nye standarder for kundeengagement

De nye standarder for kundeengagement De nye standarder for kundeengagement : Sammenfattende rapport April 2015 www.decisioningvision.com Indledning Hvordan kan du vide, om din forretningsmodel er velegnet i dag, og om fem år? Den teknologiske

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Hvor mange ansatte er der typisk i de virksomheder, som du servicerer?

Hvor mange ansatte er der typisk i de virksomheder, som du servicerer? Resultater og konklusion af Siteloom Contracts brugerundersøgelse oktober 2015 vedr. kontraktstyring set gennem intern / ekstern bogholder / økonomiansvarliges øjne. Indledende spørgsmål: Hvor mange ansatte

Læs mere

it-sikkerhed i produktionen DE 5 TRIN

it-sikkerhed i produktionen DE 5 TRIN it-sikkerhed i produktionen DE 5 TRIN Hvem er jeg? Tina Henriette Christensen Ingeniør med 18 års erfaring IPMA certificeret Projektleder Projektledelse af it-projekter Større integrationsprojekter Arbejder

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Bioterror. - Hvad er det og hvordan kan universiteterne indfri krav og forventninger fra myndigheden. Karin Grønlund Jakobsen HR Arbejdsmiljø, DTU

Bioterror. - Hvad er det og hvordan kan universiteterne indfri krav og forventninger fra myndigheden. Karin Grønlund Jakobsen HR Arbejdsmiljø, DTU - Hvad er det og hvordan kan universiteterne indfri krav og forventninger fra myndigheden. Karin Grønlund Jakobsen HR Arbejdsmiljø, DTU Disposition Baggrund for lovgivningen Hvad er et biologisk våben?

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0. Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring

Læs mere

ATP s digitaliseringsstrategi 2014-2018

ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi samler hele ATP Koncernen om en række initiativer og pejlemærker for digitalisering i ATP. Den støtter op om ATP Koncernens målsætning

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Sundhedsstyrelsen Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Konklusion og anbefalinger September 2009 Sundhedsstyrelsen Evaluering af

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? Administrative systemer bundet op mod SRO systemer Hvad med gør vi med IT sikkerheden? Jørgen Jepsen IT-chef Ringkøbing-Skjern Forsyning A/S Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? at

Læs mere

Beredskabstesten Vurdering af niveauet for en organisations samlede beredskabsplan Revideret 2009

Beredskabstesten Vurdering af niveauet for en organisations samlede beredskabsplan Revideret 2009 Vurdering af niveauet for en organisations samlede beredskabsplan Revideret 2009 Introduktion Introduktion Hvad er Beredskabstesten Beredskabstesten er en metode til at få et indtryk af organisationens

Læs mere

Privatlivsfremmende teknologier (PETs)

Privatlivsfremmende teknologier (PETs) Privatlivsfremmende teknologier (PETs) Appendiks 7 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Privatlivsfremmende teknologier... 3 Midler til imødegåelse af privatlivskrænkende

Læs mere

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Regionshuset Viborg Regionssekretariatet Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1)

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1) (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-076167 Senere ændringer

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Guide til implementering af ISO27001

Guide til implementering af ISO27001 Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen

Læs mere

Application Management Service

Application Management Service Application Management Service I dette Whitepaper vil vi beskrive nogle af vores erfaringer med Application Management. De fleste virksomheder har på et tidspunkt lavet, eller fået lavet, en mindre applikation,

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Vejledning om avanceret afhentning. i Digital Post på Virk.dk.

Vejledning om avanceret afhentning. i Digital Post på Virk.dk. Vejledning om avanceret afhentning og sortering i Digital Post på Virk.dk. Denne vejledning beskriver, hvordan virksomheder, foreninger m.v. med et CVR-nummer kan modtage Digital Post, herunder hvordan

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013 Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2013 Agenda Mobility Politik og procedure Virksomhedens modenhed Hvad bør

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

SAXOTECH Cloud Publishing

SAXOTECH Cloud Publishing SAXOTECH Cloud Publishing Fuld hosted infrastruktur til mediebranchen Stol på flere års erfaringer med hosting til mediehuse Fuld tillid til et dedikeret team af hostingeksperter Opnå omkostningsbesparelser

Læs mere