Revision. Skat. Rådgivning.
|
|
- Marie Beck
- 8 år siden
- Visninger:
Transkript
1 Forundersøgelse af modenhedsog sikkerhedsniveauet inden for cyber- og nssikkerhed blandt danske el- og naturgasselskaber Rapport 20. maj 2015 Revision. Skat. Rådgivning.
2 Indhold Slide Indledning 3 Om spørgeskemaundersøgelsen 4 Svarprocenter - respondenter 5 Forklaring af resultater og evalueringsmodel 7 Samlet resultat og konklusion 8 A. Ledelsesforankring 9 B. Medarbejdersikkerhed 11 C. Beskyttelse af data 13 D. Beredskab 15 E. Processer 17 F. Fysisk sikkerhed 19 G. Teknologi 21 Delkonklusioner - virksomhedstyper 24 Bilag 1: modenhedsskala 31 2
3 Indledning Som led i den nationale strategi for cyber- og nssikkerhed har Energistyrelsen (ENS), i samarbejde med Energinet.dk (ENDK), ønsket at skabe et overblik over det nuværende modenhedsniveau og sikkerhedsniveau af nssikkerhed i energisektoren. Et sådant overblik skal bidrage med empiri og fakta i den aktuelle debat om, hvorvidt branchen er tilstrækkeligt beskyttet i forhold til de skærpede trusler mod virksomheder, der er en del af Danmarks kritiske infrastruktur. ENS og ENDK har ønsket at få en indledende vurdering af, om virksomheder i sektoren har implementeret sikkerhedsprocesser, der medvirker til at opnå og vedligeholde et passende sikkerhedsniveau. Denne vurdering angiver desuden, hvorvidt tilstrækkelige kontroller er implementeret og forankret i de organisationer, der medvirker. har i foråret 2015 assisteret ENS og ENDK med at gennemføre en spørgeskemaundersøgelse af virksomhederne i el- og naturgassektoren samt med at evaluere de individuelle besvarelser og resultater, der er sammenfattet i denne rapport. It- og nssikkerhed er sensitivt, og der er derfor taget særlige forbehold for at beskytte fortroligheden og anonymiteten af de enkelte virksomheders besvarelser. De medvirkende myndigheder har ikke haft adgang til individuelle virksomheders besvarelser i forbindelse med undersøgelsen eller afrapportering, men udelukkende til de aggregerede resultater. Forbehold Denne rapport er resultatet af en spørgeskemaundersøgelse og de besvarelser, der danner grundlag for resultaterne, er respondenternes egen vurdering af modenhed og sikkerhedsniveau. Resultaterne afspejler dermed ikke en revision eller anden dybdegående vurdering af sikkerheden foretaget af en uvildig tredjepart. Ligeledes bør det pointeres, at der i denne rapport ikke er taget udgangspunkt i virksomhedernes kritikalitet i forhold til den samlede forsyningssikkerhed: Besvarelser fra et mindre selskab med få kunder er vægtet på samme måde som svarene fra et større selskab, som dækker en større region. 3
4 Om spørgeskemaundersøgelsen Denne undersøgelse er blevet gennemført i perioden 26. februar marts Der er blevet udsendt spørgeskemaer til 77 organisationer fordelt på følgende virksomhedstyper: - El-netselskaber - El-produktionsselskaber - Naturgasdistributionsselskaber - Naturgastransportselskaber - Produktionsbalanceansvarlige - Systemansvarlige transmissionsvirksomheder Undersøgelsen har overordnet set afdækket, hvorvidt de medvirkende virksomheder: 1. Har en tilstrækkelig styring af nssikkerhed ved at stille spørgsmål til modenheden af de processer, der skal medvirke til at opbygge og vedligeholde et passende sikkerhedsniveau over tid De involverede virksomheder er blevet stillet 29 spørgsmål inden for syv kategorier: A. Ledelsesforankring af nssikkerheden B. Informationssikkerhed i forhold til medarbejdere C. Beskyttelse af data D. It-beredskab E. Processer for styring af nssikkerhed F. Fysisk sikring G. Teknologianvendelse til sikring af it- og nsaktiver Spørgsmålene og svarmulighederne er udarbejdet af i samarbejde med Dansk Energi, Energistyrelsen, Energinet.dk såvel som repræsentanter fra branchen. Kategorierne og de enkelte spørgsmål er beskrevet senere i rapporten. 2. Har implementeret sikkerhedskontroller, der i tilstrækkelig grad beskytter virksomhederne mod relevante it-risici ved at stille spørgsmål til de konkrete tiltag, der er implementeret. 4
5 Svarprocenter - respondenter Virksomhedstype Antal virksomheder - udsendelser Besvarelser antal (%) El-netselskaber (79%) El-produktionsselskaber (79%) Naturgasdistributionsselskab 4 3 (75%) Naturgastransportselskab 9 4 (44%) Produktionsbalanceansvarlige 6 4 (67%) Systemansvarlig transmissionsvirksomhed 1 1 (100%) Samlet (74%) 5
6 Resultater for el- og naturgassektorerne 6
7 Forklaring af resultater og evalueringsmodel Som nævnt, så afdækker denne forundersøgelse henholdsvis modenhedsniveauet såvel som det aktuelle sikkerhedsniveau af de medvirkende virksomheder. Modenhedsniveau En række af de stillede spørgsmål har fokus på at afdække modenhedsniveauet for de interne processer, der medvirker til, at en virksomhed kan opbygge og vedligeholde et tilstrækkeligt sikkerhedsprogram. Modenhedsniveauet er angivet på en 5-trins CMMI-modenhedsskala. Niveauerne 1-5 angiver, i hvilken grad virksomheden har formaliseret og optimeret sikkerhedsprocesser og -procedurer, så ensartede resultater kan opnås over tid. Et anbefalet minimumsniveau for styring af sikkerhed på tværs af brancher er på 3, hvilket angiver, at processer er veldokumenterede og kommunikerede i virksomheden. For særligt kritiske processer bør virksomheder have et modenhedsmål på 4, hvilket afspejler, at virksomheden kan måle effekten af de implementerede sikkerhedskontroller og gribe ind, hvis de ikke fungerer effektivt. I en organisation er det naturligvis ikke alle processer, der har samme kritikalitet, og den enkelte virksomhed bør prioritere indsatsen på basis af en risikobetragtning. Skalaens niveauer er beskrevet i Bilag 1. Sikkerhedsniveau Vi har i denne undersøgelse også undersøgt, hvilke konkrete sikkerhedstiltag de medvirkende virksomheder har implementeret for at beskytte deres nsaktiver. I modsætning til måling af modenhed, så findes der ikke en entydig vurderingsskala for en virksomheds sikkerhedsniveau. Vi har i denne undersøgelse anvendt en 5-trins skala, hvor 1 afspejler, at virksomheden ikke har implementeret selv de mest grundlæggende kontroller, og at der dermed er et meget lavt sikkerhedsniveau inden for det pågældende område, og 5 afspejler, at virksomheden har implementeret tiltag, der i høj grad afspejler sikkerhedsmæssig best practice og bør udgøre en meget høj beskyttelse af virksomheden i forhold til det aktuelle trusselsbillede. 7
8 Samlet resultat og konklusion Resultaterne af denne undersøgelse har vist, at branchen samlet set har et sikkerhedsniveau, der ligger på 2,8. Vores vurdering af energisektorens modenhedsniveau og de implementerede sikkerhedskontroller er et udtryk for et relativt højt sikkerhedsniveau sammenholdt med virksomheder i andre brancher. Energibranchen har et naturligt fokus på sikkerhed. Det er virksomhedernes primære opgave at opretholde forsyningssikkerheden. Derudover er driftsstabilitet og beredskab såvel som fysisk sikring af faciliteter naturlige opgaver, der varetages. Dette reflekteres i den måde, hvorpå it- og nssikkerheden er grebet an. Resultaterne af denne undersøgelse afspejler, at der er implementeret mange gode tiltag, herunder både administrative og tekniske kontroller, der medvirker til at beskytte nssikkerheden. Implementering af disse tiltag er dog ikke nødvendigvis foretaget med udgangspunkt i en formaliseret tilgang, hvor alle sikkerhedstiltag er lavet på basis af en aktiv stillingtagen til forretningens risiko. Det er vores vurdering, at i størstedelen af de medvirkende virksomheder er de implementerede tiltag og det høje sikkerhedsniveau et udtryk for en intuitiv tilgang, der er resultat af dygtige medarbejderes erfaring samt traditionelt omfattende beredskabskrav til sektoren. En sådan tilgang medfører en vis risiko for, at virksomhederne over tid ikke opretholder et sikkerhedsniveau, der i passende grad beskytter virksomheden mod nye komplekse trusler fra organiserede cyberkriminelle og fremmede statslige aktører, der målretter den kritiske infrastruktur. Resultaterne af undersøgelsen viser, at der er sammenhæng mellem virksomhedernes modenhed og deres størrelse. De større selskaber med regionalt ansvar har etableret formaliserede procedurer for styring af nssikkerhed. 8
9 A. Ledelsesforankring Kontrolmål For at sikre, at it- og nssikkerhed styres og implementeres med udgangspunkt i virksomhedens forretningsrisiko, bør der være implementeret processer, der 1) sikrer, at ledelsen kan forholde sig til risikobilledet, 2) sikrer, at ledelsens forventninger til sikkerhed er dokumenteret og kommunikeret entydigt til organisationen, og 3) sikrer, at roller og ansvar er defineret og forankret i organisationen. Der er stillet spørgsmål relateret til: 1. It-risikovurdering Er der foretaget en it-risikovurdering, og har ledelsen accepteret den aktuelle risiko? En itrisikovurdering indebærer en evaluering af sandsynligheden for, at en it-relateret trussel indtræffer, samt af hvilken forretningsmæssig konsekvens den kan have ift. brud på fortrolighed, integritet og tilgængelighed af data, systemer og processer. It-risikovurderingen bør anvendes til at prioritere sikkerhedsmæssige tiltag på både administrative systemer og produktionssystemer. 2. Retningslinjer for nssikkerhed Findes der retningslinjer for nssikkerhed inden for relevante områder? Retningslinjer udtrykker den overordnede politik for nssikkerhed inden for specifikke områder, evt. struktureret i henhold til en accepteret standard (fx ISO27000). 3. Ledelse af nssikkerhed Påser ledelsen styringen af nssikkerhed i organisationen? 9
10 Resultater - ledelsesforankring Resultaterne af undersøgelsen viser, at ledelsesforankring af nssikkerhed i energibranchen ligger på et gennemsnitligt niveau på 2,6. I tre fjerdedele af de adspurgte virksomheder er ledelsen bevidst om, at nssikkerheden er ledelsens ansvar, og i over halvdelen af de adspurgte virksomheder overvåger ledelsen området i passende omfang. Der anvendes it-risikovurderinger i over halvdelen af de adspurgte virksomheder, især til vurdering af nye projekter, men det er kun i en tredjedel, at der er etableret en ensartet, formaliseret proces for itrisikovurdering, der muliggør det for den øverste ledelse at vurdere den overordnede it-risiko og godkende risikobilledet såvel som tiltag, der skal medvirke til at bringe it- og nssikkerhedsrisici til et acceptabelt niveau. Der er i tre fjerdedele af de adspurgte virksomheder etableret retningslinjer og skriftlige procedurer for, hvordan nssikkerheden skal styres på de mest kritiske aktiver. Det er dog kun i få virksomheder, at der er etableret kontrolmål (succeskriterier) og processer, der gør det muligt at måle, i hvilken grad de enkelte kontrolmål er opfyldt. 5,0 4,0 3,0 2,0 1,0 0,0 Ledelsesforankring 2,5 2,6 2,6 Total It-risikovurdering Retningslinjer for nssikkerhed Ledelse af nssikkerhed 10
11 B. Medarbejdere Etablerede procedurer for personalesikkerhed medvirker til minimering af risici forbundet med medarbejdere, herunder at alle medarbejdere har kendskab til og efterlever deres ansvar i forbindelse med deres arbejde med virksomhedens systemer og data. Der er stillet spørgsmål relateret til: 4. Efterprøvning af jobkandidaters baggrund Foretages der en passende efterprøvning af jobkandidaters baggrund med udgangspunkt i kritikaliteten af den jobfunktion, som kandidaten er tiltænkt at bestride? Jobfunktioner, hvor der eksempelvis er adgang til fortrolige data eller til systemer, der er kritiske for forsyningssikkerheden. 5. Information til medarbejderne om nssikkerhed Bliver medarbejderne løbende gjort bekendt med deres rolle og ansvar i relation til beskyttelse af nssikkerhed? 6. Beskyttelse af nssikkerhed ved afskedigelse/fratrædelse af medarbejdere Er der etableret en passende procedure til beskyttelse af nssikkerheden ved afskedigelse/fratrædelse af medarbejdere? 11
12 Resultater - medarbejdere Resultaterne af undersøgelsen viser, at de kontroller, der er relateret til medarbejderens rolle i forhold til nssikkerhed i energibranchen, ligger på et gennemsnitligt niveau på 2,4. I ca. halvdelen af de adspurgte virksomheder tages der stilling til, om en jobkandidat skal baggrundstjekkes inden ansættelse, ligesom der i rekrutteringsprocessen er krav til, at referencer og evt. straffeattest skal afgives. Der er i meget få tilfælde krav om, at medarbejdere skal sikkerhedsgodkendes inden ansættelse i kritiske jobfunktioner. Størsteparten af de adspurgte virksomheder har formelle procedurer såvel som tjeklister, der tager højde for inddragelse af it-aktiver og adgangsrettigheder ved fratrædelse eller afskedigelse af medarbejdere. Ca. en tredjedel af virksomhederne har en procedure for at implementere ekstraordinær overvågning for at påse, om der er forekommet uregelmæssigheder, når en medarbejder fratræder en kritisk jobfunktion. Størsteparten af de adspurgte virksomheder gør medarbejderne formelt bekendt med deres rolle og ansvar i relation til nssikkerhed ved ansættelse, og ligeledes kommunikerer størstedelen af virksomhederne de relevante dele af nssikkerhedspolitikken regelmæssigt til medarbejderne. 5,0 4,0 3,0 2,0 1,0 0,0 Medarbejdere 2,3 2,4 Total Efterprøvning af jobkandidaters baggrund Information til medarbejderne om nssikkerhed 2,6 Beskyttelse af nssikkerheden ved afskedigelse/fratrædelse 12
13 C. Beskyttelse af data Der bør være etableret procedurer, der sikrer beskyttelse af data og ner i virksomheden såvel som hos tredjepartsleverandører. Der er stillet spørgsmål relateret til: 7. Kategorisering/klassifikation og beskyttelse af data Er data kategoriseret/klassificeret, og beskyttes data i henhold til denne kategorisering? 8. Beskyttelse af personhenførbare oplysninger Hvordan er personhenførbare oplysninger beskyttet? Personhenførbare oplysninger kan henføre til eksempelvis både medarbejderes løn-, ansættelses- og helbredsoplysninger såvel som kunders stamdata, målerdata eller betalingsoplysninger. 9. Krav til databeskyttelse over for eksterne leverandører Er virksomhedens it-sikkerhedspolitik, herunder krav til databeskyttelse, gjort gældende over for relevante eksterne leverandører? 10. Overblik over vigtige nsaktiver Er der et tilstrækkeligt overblik med de vigtigste nsaktiver (de it-systemer og databærende medier, der er kritiske for at understøtte virksomhedens forretning)? 11. Kryptering Hvordan anvendes kryptering i virksomheden til at beskytte datas fortrolighed og integritet? 13
14 Resultater beskyttelse af data Resultaterne af undersøgelsen viser, at niveauet for beskyttelse af data i energibranchen gennemsnitligt ligger på 2,2. Der er i størsteparten af de adspurgte virksomheder etableret en overordnet politik for, hvordan data skal beskyttes, og hvordan man skal arbejde med beskyttelse af data i henhold til deres kritikalitet. Næsten alle adspurgte virksomheder har afgrænset adgangen til personhenførbare data til personer med et arbejdsbetinget behov. Det er under hver tredje virksomhed, der overvåger og logger aktiviteter, der vedrører fortrolige eller personhenførbare data, og kun få virksomheder gennemgår disse logs for uregelmæssigheder. Over halvdelen af de adspurgte virksomheder har gjort virksomhedens sikkerhedspolitik gældende over for leverandører, men kun en fjerdedel har defineret servicemål for overholdelse af politikken, og kun få har mekanismer etableret, der gør det muligt at vurdere, om leverandøren overholder politikken. Næsten alle virksomhederne har et overblik med de vigtigste nsaktiver og har tilknyttet et formelt ejerskab af disse. I en tredjedel af de adspurgte virksomheder er der etableret en procedure for, at aktivejeren etablerer passende sikkerhedsforanstaltninger, herunder kryptering i forhold til aktivets kritikalitet. 5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Beskyttelse af data 2,3 2,4 2,1 Total 2,5 Kategorisering/klassifikation og beskyttelse af data Beskyttelse af personhenførbare oplysninger Krav til databeskyttelse overfor eksterne leverandører Overblik over vigtige nsaktiver Kryptering 1,8 14
15 D. Beredskab Beredskabsstyring implementeres som en kontinuerlig proces med det formål at begrænse konsekvenserne ved tab af nsaktiver forårsaget af katastrofer og sikkerhedsbrister til et acceptabelt niveau samt med det formål at kunne genoprette driften gennem en kombination af forebyggende og udbedrende foranstaltninger. Der er stillet spørgsmål relateret til: 12. It-beredskabsplan Er der en godkendt it-beredskabsplan, der beskriver roller, ansvar og operationelle tiltag samt handlinger, der effektivt håndterer it-beredskabssituationer, hvor data eller systemers fortrolighed, integritet eller tilgængelighed er blevet kompromitteret? 13. Håndtering af it-sikkerhedshændelser Er der en dokumenteret proces for håndtering af it-sikkerhedshændelser? 14. Genetablering af kritisk produktions-it Har virksomheden implementeret et it-beredskab, der muliggør, at kritiske it-installationer og systemer kan genetableres med minimal konsekvens for driften? 15
16 Resultater it-beredskab Resultaterne af undersøgelsen viser, at niveauet for it-beredskab i energibranchen gennemsnitligt ligger på 2,6. I branchen er der et meget højt fokus på, at den kritiske produktionsit, der understøtter forsyningen, kan genetableres effektivt. Tre ud af fire adspurgte har etableret procedurer for manuel genetablering og har de nødvendige værktøjer, reservedele, vagtplaner mv. Disse procedurer testes regelmæssigt. Det er kendetegnende for branchen, at der er fokus på forsyningssikkerhed og tilgængelighed af systemer. Under halvdelen af de adspurgte har etableret en it-beredskabsplan, der håndterer brud på fortrolighed og integritet af data, ud over tilgængelighed af systemerne. En tredjedel af de adspurgte har implementeret automatiske værtøjer til at understøtte opdagelsen af hændelser. Størsteparten af de adspurgte rapporterer større it-sikkerhedshændelser til relevante eksterne parter. 5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Beredskab 3,4 2,3 2,2 Total It-beredskabsplan Håndtering af it-sikkerhedshændelser Genetablering af kritisk produktions-it 16
17 E. Processer Er der implementeret centrale processer, der medvirker til at opbygge og over tid vedligeholde et passende sikkerhedsniveau? Der er stillet spørgsmål relateret til: 15. Proces for identifikation af og overholdelse af eksterne krav Er der etableret en proces eller samarbejde, der medvirker til, at alle eksterne krav fra myndigheder og eksterne aftaleparter identificeres og overholdes? 16. Logisk adgang til kritiske it-systemer Er logisk adgang til kritiske it-systemer og data tildelt efter et arbejdsbetinget behov, og følges der løbende op på, hvorvidt adgangsrettigheder er aktuelle? Adgangsrettigheder bestemmer, hvem der skal have adgang til specifikke data, og hvad de skal kunne med disse data (fx læse- eller skriveadgang) 17. It-driftsprocedurer Dokumenteres og vedligeholdes it-driftsprocedurer, såsom ændringshåndtering, adgangsstyring, kapacitetsstyring, backup af data, hændelseshåndtering, sårbarhedsstyring mv.? 18. Anskaffelse, udvikling og vedligehold af systemer Er der implementeret kontroller ved anskaffelse, udvikling og vedligehold af systemer? 17
18 Resultater processer Resultaterne af undersøgelsen viser, at de processer, der medvirker til at opretholde et passende sikkerhedsniveau over tid, gennemsnitligt ligger på 2,9. Størsteparten af de adspurgte har udpeget en ansvarlig, der skal identificere og indrapportere nye krav til it-sikkerhed, og/eller man har etableret et samarbejde med eksempelvis en brancheforening, der kan holde virksomheden orienteret. Der er meget højt fokus på at sikre, at kun medarbejdere, der har et arbejdsbetinget behov, tildeles adgang til kritiske it-systemer, og der følges regelmæssigt og proaktivt op på disse adgangsrettigheder. It-driftsprocedurer er dokumenteret hos mere end tre fjerdedele af de adspurgte virksomheder og vedligeholdes som del af det daglige arbejde. Det er kun i en tredjedel af virksomhederne, at itdriftsprocedurer er dokumenteret i henhold til en standard (fx ITIL), og procedurernes effektivitet vurderes ligeledes årligt i en tredjedel af virksomhederne. Ca. halvdelen af virksomhederne stiller mindstekrav til sikkerheden i nye systemer, hvorimod mere end tre fjerdedele af virksomhederne stiller specifikt krav til test og godkendelse af it-systemer, der er kritiske for forsyningen inden idriftsættelse. 5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Processer 3,5 2,9 3,0 2,3 Total Proces for ident. af og overholdelse af eksterne krav Logisk adgang til kritiske it-systemer It-driftsprocedurer Anskaffelse, udvikling og vedligehold af systemer 18
19 F. Fysisk sikring Etablerede procedurer på området sikrer mod uautoriseret fysisk adgang, skader og forstyrrelser mod virksomheden via fysisk adgang både på og uden for virksomhedens lokationer. Der er stillet spørgsmål relateret til: 1. Fysisk perimetersikring og overvågning af lokationer, der huser kritiske it-installationer Har virksomheden etableret passende fysisk sikring og overvågning af kritiske it-installationer, herunder hovedstationer, produktionsenheder, anlæg mv., der er koblet op til det centrale netværk? 2. Fysisk adgangskontrol Er områder/lokaler i virksomheden, både centralt og decentralt, beskyttet med passende fysisk adgangskontrol for at sikre, at kun autoriseret personale kan få adgang? 19
20 Resultater fysisk sikring Resultaterne af undersøgelsen viser, at det fysiske sikringsniveau i branchen gennemsnitligt ligger på 3,1. To ud af tre af de adspurgte virksomheder har implementeret perimetersikring såvel som alarmovervågning af kritiske itinstallationer. Ca. en tredjedel af de adspurgte foretager regelmæssig manuel inspektion af alle kontroller med henblik på at opdage fejl, uønsket indtrængen eller manipulation. Næsten alle de adspurgte virksomheder har en politik for tildeling af adgange til fysiske rum og lokationer, baseret på et arbejdsbetinget behov. To ud af tre overvåger og logger adgangen til fysiske områder, og ca. halvdelen af de adspurgte har ydermere implementeret funktionalitet, hvor uautoriseret adgang eller uregelmæssigheder udløser alarmer. 5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Fysisk sikring 3,3 Total 3,1 Fysisk perimetersikring og overvågning af lokationer, der huser kritiske it-installationer Fysisk adgangskontrol 20
21 G. Teknologi Virksomheden bør have implementeret passende tekniske kontroller til at beskytte de mest kritiske dele af forretningen mod de aktuelle trusler. Der er stillet spørgsmål relateret til: 21. Beskyttelse mod elektroniske angreb Er der implementeret kontroller til beskyttelse mod elektroniske angreb? 22. Opdatering af it-systemer Er der implementeret kontroller til at holde it-systemer opdaterede? 23. Sikring af administrative arbejdsstationer Der skal være implementeret sikkerhedsmekanismer, der beskytter den enkelte arbejdsstation i henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til lukkede netværk eller kritiske data. 24. Sikring af arbejdsstationer, der har adgang til produktionen Der skal være implementeret sikkerhedsmekanismer, der beskytter den enkelte arbejdsstation i henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til lukkede netværk eller kritiske data. 25. Sikring af mobile enheder Der skal være implementeret sikkerhedsmekanismer, der beskytter den enkelte mobile enhed i henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til kritiske systemer eller data. 26. Tilgængelighed af produktions-it Har virksomheden implementeret tekniske kontroller, der afspejler forretningens krav til tilgængelighed for SCADA og styringssystemerne? 27. Pålidelighed af netværksforbindelser Er der etableret netværksforbindelser, der sikrer en robust tilgængelighed? 28. Beskyttelse af netforbindelse mellem internet og produktionsdatanet Hvordan er netforbindelsen mellem internet og produktionsdatanet beskyttet? 29. Beskyttelse af netforbindelse mellem kontrolrum og serverrum Hvordan er netforbindelsen mellem kontrolrum og serverrum beskyttet? 21
22 Resultater teknologi 5,0 Teknologi 4,5 4,0 3,5 3,0 3,4 3,3 3,1 3,1 3,4 3,5 3,2 3,7 2,5 2,0 1,8 1,5 1,0 0,5 0,0 Beskyttelse mod elektroniske angreb Total Opdatering af it-systemer Sikring af administrative arbejdsstationer Sikring af arbejdsstationer, der har adgang til produktionen Sikring af mobile enheder Tilgængelighed af produktions-it Pålidelighed af netværksforbindelser Beskyttelse af netforbindelse mellem internet og produktions-datanet Beskyttelse af netforbindelse mellem kontrolrum og serverrum Se næste side for beskrivelse 22
23 Resultater teknologi Resultaterne af undersøgelsen viser, at anvendelsen af teknologi til sikring af branchen gennemsnitligt ligger på 3,1. Alle de adspurgte virksomheder har implementeret de mest grundlæggende tekniske kontroller til beskyttelse mod ondsindet angreb, herunder antivirussoftware og firewalls mod internettet. Størsteparten af de adspurgte har ligeledes procedurer, der medvirker til at holde disse kontroller sikre over tid. Halvdelen har mere avanceret beskyttelse implementeret, i form af fx intrusion detection, eller et abonnement på eksterne tjenester, der medvirker til at identificere komplekse trusler eller angreb. To tredjedele af de adspurgte har procedurer for at holde operativsystemer opdaterede eller implementere kompenserende kontroller i de tilfælde, hvor fx produktions-it ikke kan opdateres uden at påvirke produktionen negativt. Næsten alle de adspurgte har standardiserede enheder og opsætninger for de administrative arbejdsstationer, og tre fjerdedele har det på arbejdsstationer, der har adgang til produktionen. På disse er der ydermere implementeret kontroller, fx overvågning/scanning med henblik på at sikre, at et passende sikkerhedsniveau opretholdes. Der er ikke megen fokus på sikring af mobile enheder. Der er primært adgang til mail og kalender via disse typer enheder ikke til produktionen. De kritiske it-systemer er enten delvist dublerede eller fuldt redundante, og typiske udfald forventes at have minimal konsekvens for driften. I næsten alle de adspurgte virksomheder kan produktionssystemer administreres fra mindst to fysisk adskilte kontrolrum eller terminaladgang via fjernarbejdspladser. I næsten alle de adspurgte virksomheder er kommunikationslinjer til kritiske it-installationer baseret på dedikerede og dublerede forbindelser. Produktionsnetværk er typisk adskilt fra internettet via firewalls, der er konfigureret restriktivt. Det er dog kun under halvdelen af respondenterne, der har implementeret tekniske begrænsninger i firewallen for at modvirke websurfing fra produktionsnettet. Sådanne begrænsninger skal modvirke, at medarbejdere fra produktionsnettet tilgår internettet og potentielt er medvirkende til at introducere ondsindet kode. 23
24 Delkonklusioner - virksomhedstyper 24
25 Delkonklusion elnetselskaber Gennemsnitligt niveau: 2,7 Der er 30 besvarelser fra elnetselskaber, hvilket udgør 52 % af det totale antal respondenter, og derfor er besvarelser fra denne virksomhedstype i høj grad afspejlet i de resultater, der er beskrevet i de samlede resultater for branchen. Det skal herudover nævnes, at resultaterne viser, at selskaber med et regionalt forsyningsansvar har et højere modenhedsniveau end gennemsnittet. Der er dog i denne virksomhedstype et noget højere fokus på beskyttelse af data, da elnetselskaberne typisk er tættere på slutbrugeren end de øvrige selskabstyper i branchen. Elnetselskaber opbevarer og behandler i stigende grad personhenførbare ner om kunderne, herunder deres forbrug. Det antages, at der er et erkendt behov for beskyttelse af disse ner, hvilket afspejles i et gennemsnitligt højere sikkerhedsniveau. Dette har også medført, at elnetselskaberne har implementeret bedre processer til at identificere ændringer i lovkrav og sikre overholdelsen af disse. Elnetselskaberne er ligeledes med til at løfte branchegennemsnittet på beredskabsområdet, hvor der i denne virksomhedstype er højt fokus på genetablering af den kritiske produktions-it. 25
26 Delkonklusion elproduktionsselskaber Gennemsnitligt niveau: 2,6 Der er 15 besvarelser fra elproduktionsselskaber, hvilket udgør 26 % af det totale antal respondenter, og ligesom elnetselskaberne er besvarelser fra denne virksomhedstype også afspejlet i de resultater, der er beskrevet i de samlede resultater for branchen. Elproduktionsselskaberne har ifølge undersøgelsen et marginalt lavere niveau end de øvrige selskabstyper. Dette skal dog ikke ses som værende kritisk, da det samlet set er 0,2 under det samlede gennemsnit. Desuden skal det nævnes, at de større selskaber med regionalt ansvar har et højere modenhedsniveau. Elproduktionsselskaberne har ifølge undersøgelsen et lavere niveau af ledelsesforankring for nssikkerhed end de øvrige selskaber i branchen, især udtrykt i manglende retningslinjer såvel som ansvarsplacering af opgaven. Resultaterne viser ligeledes et lavere niveau for beskyttelse af personhenførbare oplysninger. Dette er givetvis udtryk for, at denne virksomhedstype typisk ikke behandler personhenførbare kundeoplysninger. Andre personhenførbare oplysninger, som fx medarbejderdata, herunder data relateret til ansættelse, sygefravær mv., bør selvfølgelig sikres tilstrækkeligt. 26
27 Delkonklusion naturgasdistributionsselskaber Gennemsnitligt niveau: 3,4 Der er tre besvarelser fra naturgasdistributionsselskaberne, hvilket udgør kun 5 % af det totale antal respondenter. De enkelte besvarelser har derfor en høj indflydelse på gennemsnittet for denne virksomhedstype. Gasdistributionsselskaberne har ifølge undersøgelsen det højeste sikkerhedsniveau i branchen. Denne virksomhedstype har ifølge undersøgelsen høj fokus på sikkerhed, herunder især kommunikation til medarbejdere om deres rolle og ansvar i forhold til nssikkerheden; kravstilling til databeskyttelse over for eksterne leverandører; overblik med vigtige nsaktiver; it-beredskab; styring af logisk adgang til kritiske systemer; og beskyttelse mod ondsindede angreb. 27
28 Delkonklusion naturgastransportselskaber Gennemsnitligt niveau: 3,0 Der er tre besvarelser fra naturgastransportselskaberne, hvilket udgør kun 7 % af det totale antal respondenter. Ligesom for gasdistributionsselskaberne har de enkelte besvarelser derfor en høj indflydelse på gennemsnittet for denne virksomhedstype. Gastransportselskaberne har et marginalt højere gennemsnitligt niveau end det samlede branchegennemsnit. Denne virksomhedstype har ifølge undersøgelsen højt fokus på sikkerhed og har etableret formelle retningslinjer for styring af sikkerheden; har stærke procedurer ved ansættelse såvel som afskedigelse/fratrædelse af medarbejdere; it-driftsprocedurer er veldokumenterede og formaliserede, og der er fokus på fysisk sikkerhed; såvel som sikring af arbejdsstationer, der har adgang til produktionen. Der, hvor denne virksomhedstype ifølge undersøgelsen har et relativt lavere niveau end branchegennemsnittet, er i forhold til at have en formaliseret it-beredskabsplan. 28
29 Delkonklusion produktionsbalanceansvarlige Gennemsnitligt niveau: 3,2 Respondenter fra de produktionsbalanceansvarlige virksomheder udgør kun 7 % af det totale antal respondenter, og ligesom de foregående virksomhedstyper inden for naturgas, så har de enkelte besvarelser en høj indflydelse på gennemsnittet for denne virksomhedstype. De produktionsbalanceansvarlige virksomheder har et marginalt højere gennemsnitligt niveau end det samlede branchegennemsnit. Denne virksomhedstype har ifølge undersøgelsen højt fokus på sikkerhed og har stærke procedurer ved ansættelse såvel som afskedigelse/fratrædelse af medarbejdere; it-driftsprocedurer er veldokumenterede og formaliserede, og der stilles høje krav til leverandører om overholdelse af procedurer; man har formaliseret ithændelseshåndtering og har fokus på at beskytte produktionsnetværket. 29
30 Delkonklusion systemansvarlig transmissionsvirksomhed Gennemsnitligt niveau: 2,8 Der er kun én systemansvarlig transmissionsvirksomhed i Danmark, nemlig Energinet.dk. Energinet.dk har ifølge undersøgelsen højt fokus på sikkerhed, hvilket afspejles i en høj grad af ledelsesforankring. Der er et højt niveau for risikostyring; krav til eksterne leverandører; beredskab, herunder genetablering af kritisk produktions-it; opdatering af systemer; sikring af arbejdsstationer med adgang til produktionen; tilgængelighed af produktions-it; og sikring af netværksforbindelser. 30
31 Bilag 1: Modenhedsniveau Modenhedsniveauet er vurderet ved anvendelse af Capability Maturity Model (CMMI). Modenhedsniveau X Ikke relevant Aktiviteterne er ikke relevante. 0 Ikke-eksisterende Virksomheden har ikke identificeret og adresseret problemstillingerne. 1 Ad hoc Virksomheden har identificeret problemstillinger, som bør adresseres. Der findes ingen standardiserede processer, som tager hånd om problemstillingerne dette sker typisk på en medarbejders eget initiativ. 2 Intuitiv De samme procedurer følges af forskellige personer, der udfører en opgave. Der er ingen formel træning eller kommunikation omkring standardprocedurer. Udførelse sker på medarbejderens eget initiativ. 3 Defineret Procedurer er standardiserede, dokumenterede og kommunikerede. Medarbejderne bør følge procedurer. Procedurerne er typisk en simpel formalisering af guidelines. 4 Styret og målbar Ledelsen overvåger og måler anvendelse af procedurer og griber ind, hvis processer ikke fungerer effektivt. Aktiviteter forbedres konstant og sikrer effektivitet. Automatisering anvendes i begrænset omfang. 5 Optimeret Aktiviteter er blevet optimeret, baseret på resultater fra integrationen og sammenligning med andre virksomheder. It anvendes som et integreret værktøj til at automatisere processer og støtter op omkring forbedring af kvalitet og effektivitet. Dette gør virksomheden agil. 31
Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereResultatet af undersøgelse af status på implementering af ISO27001-principper i staten
Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten 2017 INDHOLD RESULTAT AF MÅLING AF IMPLEMENTERINGSGRADEN AF ISO27001-PRINCIPPER INDLEDNING HOVEDKONKLUSION METODE
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereModenhedsvurderinger. Mål hvad kan I tage med hjem?
Modenhedsvurderinger Mål hvad kan I tage med hjem? Hvorfor skal man overveje at lave en modenhedsvurdering? Hvordan kan man gribe processen an? Hvad skal man være opmærksom på? 1 Hvem er jeg? Ole Boulund
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereIT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereVer. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereJyske Bank Politik for It sikkerhed
Indholdsfortegnelse Indholdsfortegnelse... 1 1. Formål og omfang... 2 2. It sikkerhedsniveau... 2 3. Organisation og ansvar... 2 4. It risikostyring... 3 5. Outsourcing... 3 6. Sikkerhedsprincipper...
Læs mereDUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT
DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereSikkerhed og Revision 2015
Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs mereBilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer
Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereIt-sikkerhedspolitik for Københavns Kommune
Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereRisikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering
Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereFront-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.
Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København
Læs mereHovedresultater: ISO modenhed i staten. December 2018
Hovedresultater: ISO 27001-modenhed i staten December 2018 Indhold 1. Indledning 3 2. Resultat af ISO-målingen for 2018 4 3. Resultat af ISO-målingen for 2017 7 Side 3 af 8 1. Indledning Rapporten behandler
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereHenrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring
Læs mereIT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser
IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereFront-data Danmark A/S
Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560
Læs mereH AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET
H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET AGEN D A Hvem er vi? Prioritering af IT-Sikkerhedstiltag Rejsen mod et passende sikkerhedsniveau Beredskabsøvelser National strategi for cyber- og informationssikkerhed
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs mereInformationssikkerhedspolitik for Odder Gymnasium
Informationssikkerhedspolitik for Odder Gymnasium Version: 1.0 Maj 2018 Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:... 2 1.5
Læs mereTabulex ApS. Februar erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereANALYSE Informationssikkerhed blandt DI s medlemmer
ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik
Læs mereEU-udbud af Beskæftigelsessystem og ESDHsystem
EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs merePersondata Behandlingssikkerhed. v/rami Chr. Sørensen
Persondata Behandlingssikkerhed v/rami Chr. Sørensen Behandlingssikkerhed Artikel 32 2 Behandlingssikkerhed art. 32 Henset til det aktuelle tekniske niveau og omkostningerne og i betragtning af behandlingens
Læs mereBilag 1: Overblik over interviews og surveys
Marts 2015 Bilag 1: Overblik over interviews og surveys Energistyrelsen Indholdsfortegnelse 1. Interview 3 2. Survey 4 Survey af energiselskaber 5 Survey af eksterne aktører 7 Survey af slutbrugere 9 2.3.1.
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereBeredskabspolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING TILTAG FOR AT OPFYLDE POLITIKKENS FORMÅL...
BEREDSKABSPOLITIK Gyldig fra d. 01-12-2017 Indhold 1 INDLEDNING... 2 1.1 FORMÅLET MED BEREDSKABSPOLITIKKEN... 2 1.2 GYLDIGHEDSOMRÅDE... 2 1.3 VÆRDIGRUNDLAG OG PRINCIPPER... 2 2 TILTAG FOR AT OPFYLDE POLITIKKENS
Læs mereSikkerhedsvurderinger
Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i
Læs mereISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer
plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereArbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87
Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system
Læs mereInformationsforvaltning i det offentlige
Informationsforvaltning i det offentlige 1 Baggrund Den omfattende digitalisering af den offentlige sektor i Danmark er årsag til, at det offentlige i dag skal håndtere større og større mængder digital
Læs mereTil Økonomiudvalget. Sagsnr Dokumentnr Bilag 1 til indstilling til Økonomiudvalget
KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncernservice NOTAT Til Økonomiudvalget Bilag 1 til indstilling til Økonomiudvalget Uddybning vedr. Købehavns Kommunens modenhed på Itsikkerhedsområdet Konklusionen
Læs mereIt-beredskabsstrategi for Horsens Kommune
It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereBEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen
BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til
Læs mere