Vejledning IT- og Telestyrelsen København den 21. februar 2008

Størrelse: px
Starte visningen fra side:

Download "Vejledning IT- og Telestyrelsen København den 21. februar 2008"

Transkript

1 ejledning IT- og Telestyrelsen København den 21. februar 2008 FESD-standardisering Sikkerhedsvejledning i henhold til DS 484 ersion 1.0

2 Kolofon: FESD-standardisering. Sikkerhedsvejledning i henhold til DS 484 ersion 1.0 Denne vejledning kan frit anvendes af alle. Citeres der fra vejledningen i andre publikationer til offentligheden, skal der angives korrekt kildehenvisning. Forslag til FESD-standarder udarbejdes af IT- og Telestyrelsen, Datastandardiseringskontoret, FESDstandardiseringsgruppen i samarbejde med de tre FESD-leverandører Software Innovation A/S, Accenture I/S og CSC Danmark A/S. Kontaktperson i FESD-standardisering: Projektleder Rita ützhøft, mail-adresse Accenture I/S Arne Jacobsens Allé København S Telefon: Web-adresse: CSC Danmark A/S Retortvej København Telefon: Web-adresse: Software Innovation A/S Nærum Hovedgade 10 DK-2850 Nærum Telefon: Web-adresse: Ministeriet for idenskab, Teknologi og Udvikling IT- og Telestyrelsen IT-Arkitektur kontoret National IT and Telecom Agency Ministry of Science, Technology and Innovation Holsteinsgade 63 DK-2100 København Ø Telf Fax / 49

3 Indholdsfortegnelse Forord... 5 rug af vejledningen... 5 DE A Formål... 7 DE Sikkerhedsvejledning i henhold til DS Indledning... 8 Eksterne samarbejdspartnere... 8 Risikovurdering... 9 Samarbejdsaftaler Klassifikation af informationer og data Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse Ansættelsesforholdet Fysisk sikkerhed Placering af udstyr Sikker bortskaffelse eller genbrug af udstyr Styring af netværk og drift Driftsafviklingsprocedurer Ændringsstyring Funktionsadskillelse Adskillelse mellem udvikling, test og drift Ekstern serviceleverandør Serviceleverancen Overvågning og revision af serviceleverandøren Styring af ændringer hos ekstern serviceleverandør Styring af driftsmiljøet Kapacitetsstyring Godkendelse af nye eller ændrede systemer Sikkerhedskopiering eskyttelse af systemdokumentation Informationsudveksling Elektronisk post og dokumentudveksling ogning og overvågning Opfølgningslogning eskyttelse af log-oplysninger / 49

4 Administrator- og operatørlog Fejllog Adgangsstyring Administration af brugeradgang Udvidede adgangsrettigheder Styring af systemadgang Identifikation og autentifikation af brugere Anskaffelse, udvikling og vedligeholdelse Sikkerhedskrav til informationsbehandlingssystemer Korrekt informationsbehandling alidering af inddata Kontrol af den interne databehandling alidering af uddata Styring af driftsmiljøet Sikkerhed ved systemtekniske filer Sikring af testdata Styring af adgang til kildekode Samarbejdsaftale mellem virksomhed og leverandør Indledning Indhold af samarbejdsaftale Ordforklaring / 49

5 Forord Den offentlige sektors IT-systemer på statsligt, kommunalt og regionalt niveau skal kunne spille sikkert og effektivt sammen. Derfor arbejdes der målrettet på at få gennemført fælles standarder for elektronisk sags- og dokumenthåndtering - den såkaldte FESD-standard. Målet med standardiseringsarbejdet er at fremme digital forvaltning i den offentlige sektor, og midlet er at sikre, at de forskellige elektroniske sags- og dokumenthåndteringssystemer (ESDH) får en fælles kernefunktionalitet, og at det samtidig sikres, at denne kerne videreudvikles ensartet. En fælles kernefunktionalitet skal sikre: At der kan foretages sagsbehandling på tværs af flere organisationer At myndigheder, der arbejder med åbne sager, kan lægges sammen At der kan flyttes opgaver mellem forskellige myndigheder I forlængelse af FESD-projektkonkurrencen, som havde sin afslutning primo 2004, og hvor der blev fundet tre FESD-leverandører, blev det i forbindelse med kontraktforhandlingerne besluttet at starte en standardiseringsproces den såkaldte FESD-standardisering. For at sikre interoperabiliteten, både til andre systemer, men også så tredjepart kan udvikle moduler til systemet, blev det anset for afgørende, at der udvikles en fælles offentlig datamodel samt andre standarder på ESDH-området. Nærværende dokument er dog ikke en standard, men en vejledning. Koordinering af FESD-standardiseringen er efterfølgende lagt i IT- og Telestyrelsen (ITST). Den konkrete udarbejdelse af forslag/udkast til standarder foregår i et samarbejde mellem de tre FESD-leverandører og en FESD-standardiseringsgruppe i ITST. Denne vejledning indeholder supplerende spørgsmål, i forbindelse med implementeringen af et FESD system, i henhold til de beskrevne sikringsforanstaltninger i DS 484. Fra 1. januar 2007 skal statsinstitutionerne overholde de basale krav i DS 484, herunder også implementering af supplerende sikkerhedsforanstaltninger, såfremt risikovurderingen tilsiger det. asale krav er de punkter, der ikke er markeret med *, i det efterfølgende afsnit samt i de tilsvarende krav i DS 484. DS 484 er den danske standard for IT-sikkerhed, som er obligatorisk for staten og som kommunerne samt regionerne også kan anvende. Denne vejledning erstatter ikke behovet for at foretage en risikoanalyse inden ibrugtagningen af et FESD system. Det bemærkes, at overholdelse af alle punkter i denne vejledning ikke i sig selv er ensbetydende med overholdelse af DS 484, idet DS 484 som sådan dækker over flere punkter udover de FESD relevante punkter, nævnt i denne vejledning. Kravene fokuserer på sikkerhedsniveauet hos virksomheden og leverandøren og på samarbejdet mellem virksomhed og leverandør i forbindelse med et FESD projekt. ær opmærksom på, at hvis FESD systemet indeholder personfølsomme data, så er virksomheden fortsat forpligtet til at overholde reglerne i persondataloven og sikkerhedsbekendtgørelsen. Det gælder også for leverandør og evt. ekstern databehandler. rug af vejledningen Denne vejledning kan benyttes som grundlag for en drøftelse mellem virksomheden og leverandøren i forbindelse med en planlægning af implementering af et FESD-system. Det er virksomhedens ansvar at FESD systemet er sikkerhedsmæssigt risikovurderet, og er sikret i henhold til den valgte balance mellem risici og omkostninger. Det er derfor en afgørende forudsætning, at virksomheden inden drøftelse med leverandøren har foretaget en ledelsesgodkendt risikovurdering med henblik på at afdække egne sikkerhedsbehov og sikkerhedskrav. Anvendelse af vejledningen forudsætter, at virksomheden har: Gennemført en generel risikoanalyse Gennemført en generel risikoanalyse for FESD systemet En sikkerhedsstyringsorganisation på plads 5 / 49

6 iden om DS 484 og sikkerhedsprocesser Gennemført generel DS 484 implementering Det er ikke afgørende, at virksomheden og leverandøren kan svare bekræftende på alle supplerende spørgsmål. Det afgørende er, at virksomheden har taget eksplicit stilling til spørgsmålene og forstår rækkevidden for egen og leverandørens sikkerhed. 6 / 49

7 DE A Formål Formålet med denne vejledning er at skabe dialog mellem virksomheden og leverandøren om de sikkerhedsmæssige konsekvenser af implementering og drift af et FESD system. everandøren skal indgå i et aftaleforhold med virksomheden, som lever op til kravene i DS 484 afsnit samarbejdsaftaler, der henvises i øvrigt også til afsnittet Samarbejdsaftaler i denne vejledning. Aftaleforholdet skal indgås for både nye og eksisterende installationer. everandøren skal ligeledes sikre, at kravene håndteres således, at virksomheden kan verificere etableringen og vedligeholdelsen af det aftalte sikkerhedsniveau jævnfør afsnit 10.2 i DS 484. Dette gælder også hvis leverandøren vælger at outsource til 3. part. ejledningen behandler de dele af DS 484, som er relevante i forbindelse med implementering og drift af et FESD system, og afdækker således den information, der skal tilvejebringes for at kunne foretage en konkret vurdering af trusler og sårbarheder samt disse håndtering i henhold til kravene i DS 484. ejledningen er ikke kravstillende i forhold til leverandøren og dennes løsning, udover hvad der er gældende jf. FESD rammeaftalen. irksomheden og leverandør skal således sikre de aftalemæssige forhold i forbindelse med eventuelt yderligere krav. Det skal endvidere bemærkes, at vejledningen ikke erstatter de samarbejdsaftaler, der stilles krav om i DS 484 afsnit irksomheden skal således sikre disses indgåelse, samt aftaler om verifikation af etablering og vedligeholdelse af det aftalte sikkerhedsniveau, jf. afsnit 10.2 i DS 484. I øvrigt henvises til afsnittet Samarbejdsaftale mellem virksomhed og leverandør, hvor der overordnet specificeres hvad samarbejdsaftalen skal indeholde. 7 / 49

8 DE Sikkerhedsvejledning i henhold til DS 484 Indledning I dette afsnit beskrives de punkter i DS 484, som virksomheden og leverandøren bør tage stilling til i forbindelse med et FESD projekt. Forventes FESD systemet at indeholde klassificeret information, som beskrevet i Statsministeriets cirkulære nr. 204 af 7. december 2001, skal der i forbindelse med implementering rettes henvendelse til Politiets Efterretningstjeneste med henblik på godkendelse af virksomhedens installation. For myndigheder under Forsvarsministeriets område, skal henvendelse dog rettes til Forsvarets Efterretningstjeneste. Overskriften til de enkelte underafsnit er enslydende med de tilsvarende overskrifter i DS 484. Der indledes med henvisninger til de relevante afsnit i DS 484 og eventuelle henvisninger til FESD kravspecifikationen, samt eventuel yderligere henvisninger til lovgivningen. De enkelte afsnit indeholder en kort beskrivelse af sikkerhedsproceduren samt et skema, der indeholder de enkelte DS 484 krav. Denne vejledning stiller spørgsmål til kravene. Det er kravene, der skal opfyldes. Spørgsmålene er alene medtaget for at inspirere til en drøftelse af kravene. Samtlige skemaer indeholder en ansvarskolonne. Formålet med denne kolonne er at give et forslag til, om det er virksomheden eller leverandøren, eller evt. begge, der har det overordnede ansvar for kravet. Kolonnen kan også ses som et forslag til, hvem der har ejerskab til ydelsen. I kolonnen er der benyttet følgende forkortelser: irksomhed. Det betyder ikke, at virksomhed og leverandør ikke skal samarbejde om punktet, men blot at forslaget er, at det er virksomheden der tager teten. everandør. Her gælder det samme som ovenstående, blot med modsat fortegn. egge. ær særlig påpasselig med, at der er ejerskab til opgaven. ær opmærksom på, at leverancer ofte opdeles i udviklingsydelser og driftsydelser. Det vil være forskellige dele af DS 484, der vil skulle opfyldes af leverandøren, ved disse to forskelligartede leverancer. Desuden er der ved udviklingsydelser forskel på, om ejerskabet af det leverede produkt overføres til kunden eller forbliver hos leverandøren. Dette vil ligeledes medføre, at forskellige dele af DS 484 skal opfyldes af leverandøren, og andre skal opfyldes af virksomheden selv. iser risikovurderingen, at FESD systemet indeholder information af væsentlig betydning for virksomheden, skal sikkerheden omkring systemet afspejle dette. Svarene i risikovurderingen skal anvendes til at dimensionere de forholdsregler, som skal være på plads hos virksomheden og leverandøren for at opretholde et ensartet og tilfredsstillende sikkerhedsniveau. Eksterne samarbejdspartnere I henhold til DS 484 afsnit 6.2, og skal der, i forbindelse med implementering af et FESD system, foretages en risikovurdering og udarbejdes en samarbejdsaftale med leverandøren, som sikrer, at virksomhedens ønskede sikkerhedsmålsætning ikke kompromitteres. Hvis FESD systemet integrerer med registre, der indeholder personfølsomme data og disse registre er placeret hos en ekstern databehandler, så skal der i henhold til persondataloven indgås en skriftlig aftale med den eksterne databehandler. For yderligere information henvises til Datatilsynets hjemmeside: Krav om skriftlig kontrakt med databehandlere. 8 / 49

9 Risikovurdering Det kan udgøre en risiko at give en leverandørs medarbejdere adgang til FESD systemet, blandt andet fordi leverandørens styring af sikkerhed kan være utilstrækkelig. Der skal således foretages en risikovurdering og udarbejdes en samarbejdsaftale. Samarbejdet baseres på en formel kontrakt. egge parter skal være enige i de sikkerhedskonditioner, der er knyttet til samarbejdet. Kontrakten skal færdigbehandles og underskrives, før dens tekniske og kontrolmæssige indhold implementeres. everandøren må ikke få adgang til data før risikovurderingen er gennemført, de relevante sikringsforanstaltninger er implementeret, og der er indgået en formel samarbejdsaftale (se afsnit og i DS 484). IT- og Telestyrelsen har udarbejdet en vejledning i udarbejdelse af risikovurdering som kan findes på eller via dette link: ejledning om risikovurdering. Identifikation af risici i forbindelse med eksternt samarbejde skal omfatte følgende: De informationsbehandlingsfaciliteter samarbejdspartneren skal have adgang til. Hvilken form for adgang samarbejdspartneren skal have: fysisk adgang logisk adgang om adgangen skal være via internt net eller via opkobling Er det nok at leverandøren får adgang til FESD systemet, eller skal der også gives adgang til andre systemer, f.eks. User Directory (AD), DMS, fagsystemer, CMS, portaler osv., er der risici forbundet herved, og tager eksisterende sikkerhedsmekanismer højde for de risici? I forhold til f.eks. User Directory, er der normalt kun behov for læseadgang. Er der også behov for skriveadgang og hvad er konsekvenserne? Hvis systemet benytter en eksisterende DMS server i virksomheden, hvilke adgange kræver leverandøren så for at kunne oprette og initiere databasen og påføres der evt. virksomheden yderligere risici herved? Hvilke konti skal oprettes på eksisterende DMS server for at systemet kan afvikles og vedligeholdes af leverandøren og kræver det særlige modforholdsregler? il der blive overflyttet data fra virksomheden til leverandør i forbindelse med implementering og test - og kan disse data sikres og hvad er konsekvenserne hvis data kompromitteres eller offentliggøres? Skal der installeres andre komponenter for at sikre kommunikationen mellem FESD systemet og øvrige systemer, og hvordan sikres det, at komponenterne ikke kompromitterer fortrolighed, tilgængelighed og integritet? Skal FESD systemet logge ind på andre systemer således, at man kan hoppe fra FESD systemet til andre af virksomhedens systemer f.eks. CPR, CR, R, GIS? Følgende spørgsmål bør tages med i risikovurderingen i forhold til leverandøren og leverandørens supportmedarbejdere: Hvor sikker skal virksomheden være på identiteten af leverandørens medarbejdere? Skal der udleveres adgangskort? (Udlevering af adgangskort kan kun ske mod fremvisning af billedlegitimation) Hvilke risici er der, hvis adgangskortet også giver adgang til lokationen udenfor normal kontortid? 9 / 49

10 Den forretningsmæssige værdi af de involverede informationsaktiver. eskyttelsesforanstaltninger for informationsaktiver, der ikke er omfattet af samarbejdet. Samarbejdspartnerens personale. Autorisations- og verifikationsprocedurer Samarbejdspartnerens informationslagrings-, behandlings- og kommunikationsudstyr og de hertil knyttede sikringsforanstaltninger. Konsekvenserne af manglende tilgængelighed og ukorrekte informationer. Procedurer for håndtering af sikkerhedsrelaterede hændelser. Særlig lovgivning, samarbejdspartneren skal tage hensyn til, og Hvilke risici er der, hvis kortet giver adgang til serverrummet? Hvad er konsekvenserne, hvis der arbejdes uovervåget i serverrummet? Hvad er konsekvenserne, hvis der gives remote adgang til systemet og i givet fald hvilken form for adgang, f.eks. vpn, adsl, modem, osv.? Hvordan sikres, at leverandørens bærbare computere, som sluttes til et utal af kunder, ikke udgør en risiko for virksomheden? Er det reguleret om adgang til systemet kun må ske via en af virksomhedens standard arbejdspladser? Skal der oprettes specifikke leverandør logins til systemerne? Hvordan skal logning og kontrol af leverandørens adgang ske? Må leverandøren logge sig på døgnet rundet? Er data i FESD systemet vital for virksomhedens forretning? Hvilke konsekvenser har det, hvis systemets data kompromitteres? Er data, opbevaret andre steder end i systemet, underlagt de samme sikkerhedsforanstaltninger som FESD systemet f.eks. hvis der benyttes eksisterende DMS server eller backupsystem? Hvis der ligger følsomme/klassificeret data i systemet, skal der så stilles krav om at leverandørens medarbejdere har ren straffeattest? Skal leverandørens medarbejdere sikkerhedsgodkendes efter de samme retningslinjer som virksomhedens egne medarbejdere? Hvordan verificeres leverandørens medarbejdere, skal der f.eks. vises pas eller kørekort? Hvordan tildeles rettigheder til personer, der skal have adgang til systemet? Må leverandørens bærbare computere tilsluttes netværket? Må mobiltelefon være tilstede 10 / 49 f.eks. pga. indbygget kamera? Er virksomheden klar over konsekvenserne, hvis leverandøren hindres adgang eller gives ukorrekte oplysninger, i forbindelse med skærpede krav til tilgængelighed, f.eks. manglende oppetid? Er der krav om at virksomheden og leverandøren underretter hinanden om sikkerhedsrelaterede hændelser, f.eks. virus? Indeholder systemet klassificeret/følsomme data?

11 andre kontraktforhold, virksomheden og/eller samarbejdspartneren skal tage hensyn til. Hvorledes samarbejdet vil påvirke øvrige interessenter. Foreligger der en liste over kritisk lovgivning for området? Informeres leverandøren om nye lovgivningsinitiativer på den identificerede liste? Skal der foretages godkendelse hos Datatilsynet? Samarbejdsaftaler Samarbejdsaftalen med leverandøren skal sikrer at virksomhedens sikkerhedsmålsætning ikke kompromitteres. Det er afgørende for sikkerheden og samarbejdet, at aftalen er skriftlig og eksplicit. Samarbejdsaftalen skal kunne anvendes og refereres til i det daglige arbejde. Følgende punkter skal vurderes ved indgåelse af aftalen: irksomhedens informationssikkerhedsmålsætning. De aftalte sikringsforanstaltninger som eksempelvis: 1. procedurer til beskyttelse af virksomhedens informationsaktiver 2. eventuelle fysiske beskyttelsesforanstaltninger 3. beskyttelse mod skadevoldende programmer, jf procedurer for konstatering af eventuelle sikkerhedsbrud 5. procedurer for returnering eller destruktion af information ved aftalens udløb eller på andet aftalt tidspunkt (se eksempelvis Persondatalovens 41, stk. 4) 6. procedurer til beskyttelse af integritet, tilgængelighed og autenticitet 7. restriktioner vedrørende kopiering og videregivelse rugeruddannelse Fremgår virksomhedens målsætning for informationssikkerhed tydeligt i samarbejdsaftalen? Er der sikret videreførelse af kravene såfremt dele af leverancen outsources? Følgende spørgsmål bør vurderes: 1. Hvilke procedurer skal leverandøren overholde, skal leverandørens supportmedarbejdere aflevere C og evt. straffeattest? 2. Skal der udleveres adgangskort? 3. Skal leverandørens bærbare computere have installeret antivirusprogrammer for at blive tilsluttet virksomhedens interne netværk? 4. Er der aftalt kommunikationskanal/kontaktperson for evt. sikkerhedsbrud hos virksomheden eller leverandøren? 5. Findes der en oversigt over udleveret materiale som ønskes returneret eller destrueret ved aftalens ophør? Er det aftalt, om det udleverede materiale må kopieres? 6. Hvordan sikres, at modparten er den korrekte person fra den virksomhed, der er indgået samarbejdsaftale med? Er der aftalt tid for tilgængelighed (service vinduer)? Hvordan sikres, at den software, som leverandøren producerer, er den samme, som den virksomheden modtager (f.eks. hash på filer)? 7. Må samarbejdsparterne distribuere udleveret materiale? Er der aftalt uddannelse? Kan leverandøren levere uddannelsen? rugerbevidstgørelse Er der som led i indførelse af systemet behov for, at brugerne 11 / 49

12 Mulighed for eventuel udveksling af personale Ansvaret for installation og vedligehold af informationsbehandlingsudstyr og programmel Rapporteringsomfang, -struktur og -format Procedurer for ændringsstyring Adgangskontrolprocedurer 1. Den forretningsmæssige begrundelse for at give samarbejdspartneren adgang 2. Tilladte adgangs- og identifikationsmetoder 3. Autorisationsprocedure for brugeradgang og tildeling af rettigheder med præcisering af, at adgangstildeling og -rettigheder skal være strengt arbejdsbetinget 4. Krav til lister over brugeradgang og -beføjelser 5. Præcisering af at enhver uautoriseret adgang er forbudt 6. Procedure for spærring af adgangsrettigheder Procedurer for rapportering og efterforskning af sikkerhedsbrud og - hændelser samt overtrædelse af samarbejdsaftalen eskrivelse af det informationsbehandlingsudstyr, de systemer og de informationer (inkl. klassifikation, jf ), der er omfattet af aftalen Det aftalte kvalitetsmål for serviceydelsen f.eks. orienteres om hvilke fil formater og fil størrelser, der må gemmes i systemet? Er det nødvendigt, at leverandøren arbejder hos virksomheden eller omvendt? Er der behov for udstationering af leverandørens medarbejdere hos virksomheden efter, at leverancen er gennemført? Er ansvarsplacering aftalt i forbindelse med installation af hardware og software? Er der indgået en vedligeholdelsesaftale på hardware og software? Er det tilstrækkelig med mundtlig rapportering eller skal der afgives skriftlig rapportering? Af hvem og under hvilke omstændigheder må der foretages ændringer i systemet? Overholder leverandørens procedurer for ændringshåndtering virksomhedens egne procedurer? 1. Er der en begrundelse for at give samarbejdspartneren adgang til systemet? 2. Må leverandøren benytte fælles brugerkonti? Må leverandøren få adgang uden forudgående tilladelse? 3. Hvem må tildele leverandøren adgang til systemet (både logisk og fysisk)? 4. Er der behov for at dokumentere, hvad leverandøren må få adgang til? 5. Er det tydeliggjort, at selvom der er adgang til andre lokaliteter eller systemer, så er dette ikke tilladt? 6. Er det klart hvordan og under hvilke omstændigheder, de tildelte rettigheder spærres eller fjernes? Hvis der opstår et sikkerhedsbrud, er det så aftalt hvem der kan forestå efterforskningen? Hvis samarbejdsaftalen misligholdes, er der så aftalt evt. sanktioner? Er det beskrevet hvilket systemer og informationer, der kræver særlig beskyttelse? Er der udarbejdet en SA? Tager kvalitetsmålene højde for afhængighed til 3. parts systemer? 12 / 49

13 eskrivelse af de aftalte servicemål, deres overvågning og afrapportering Retten til at overvåge og afbryde den aftalte serviceydelse Retten til revision af kontraktens overholdelse, evt. ved brug af ekstern revisor Eskaleringsprocedure ved problemhåndtering eredskabsplaner, herunder krav til maksimal reetableringstid De respektive parters ansvarsforhold i relation til aftalen Ansvarlighed i forhold til lovbestemmelser, fx Persondataloven. Dette er specielt vigtigt ved aftaler med udenlandske samarbejdspartnere Forhold omkring ophavsrettigheder og licenser Aftaleforhold i forbindelse med samarbejdspartnerens eventuelle underleverandører etingelserne for genforhandling/afslutning af samarbejdsaftalen 1. ed brud på aftalen 2. ed ændringer til sikkerhedskravene 3. Dokumentationen af aftalens indhold og omfang, licenser, aftaler og rettigheder skal til stadighed holdes ajour. Er der aftalt oppetidskrav? Indeholder den indgåede SA en beskrivelse af servicemålene, deres overvågning og afrapportering? Er det aftalt, om det er leverandøren eller virksomheden eller 3. part, der skal overvåge overholdelse af de indgåede servicemål? Er der aftalt sanktioner i forbindelse med manglende overholdelse af de indgåede servicemål? Er der behov for, at virksomhedens eller leverandørens revisor overvåger kontraktens overholdelse? Er der aftalt entydige eskaleringsprocedurer i forbindelse med drift og vedligeholdelse af systemet? Er det aftalt hvor kritisk systemet er for virksomheden? Er der lavet planer for retablering af systemet? Er det aftalt, at beredskabsplaner skal afprøves og evt. i hvilken grad? Er der enighed om ansvarsfordelingen i alle punkter i samarbejdsaftalen? Er der særlige nationale lovkrav som skal overholdes i forbindelse med kontrakten, f.eks. persondatalovens bestemmelse om overførsel af oplysninger til tredjeland Hvordan sikres, at de indkøbte licenser svarer til det aktuelle forbrug? Hvordan sikres, at systemets software ikke kopieres og evt. benyttes hos 3. part uden forudgående aftale med leverandøren? Er det tydeliggjort, om det er virksomheden eller leverandøren, der indgår aftale med underleverandører? Er det tydeligt, at den indgåede samarbejdsaftale også har indvirkning for underleverandører? Følgende spørgsmål bør stilles: 1. Hvis samarbejdsaftalen brydes, er det så aftalt under hvilke omstændigheder, aftalen kan eller skal ændres? 2. Hvis der sker ændringer i sikkerhedskravene, skal de beskrevne sikkerhedsforhold i aftalen så ændres? 3. Er der procedurer for, hvordan samarbejdsaftalen holdes ajourført? 13 / 49

14 Klassifikation af informationer og data I henhold til FESD kravspecifikationen, krav 9.1.1, 9.1.2, og , samt DS 484 afsnit 7.2, og skal det sikres, at FESD systemet får et passende beskyttelsesniveau. Systemets kritiske informationer og data skal identificeres og klassificeres. Informationer og data i systemet kan have varierende sensitivitets- og væsentlighedskriterier nogle har behov for særlige sikringsforanstaltninger og specielle procedurer for at sikre informationernes tilgængelighed, integritet og fortrolighed. I forbindelse med klassifikation af information, er det vigtigt ikke at overklassificere data. Et FESD system med tilhørende støttesystemer skal kunne leve op til de sikkerhedskrav, den højest anvendte sikkerhedsklassifikation foreskriver. Følgende punkter skal overholdes i forbindelse med klassificering af data: Klassifikationsproceduren skal omfatte en periodisk revurdering, jf Den udpegede ejer, jf , er ansvarlig for klassifikationen og den periodiske revurdering. Klassifikationen skal tage hensyn til den ophobningseffekt, der omtales i Informationer og data i systemet kan klassificeres i nedenstående 4 kategorier. Offentlige informationer og data defineret som informationer og data, som alle, der udtrykker et ønske om det, kan få adgang til. Interne informationer og data defineret som informationer og data, der kun må anvendes og kommunikeres internt, og som i den daglige drift er nødvendige for de brugere, der skal anvende dem. Klassificeret data kan over tid blive uklassificeret, der skal derfor foretages en periodisk revurdering. Kan systemet håndtere, at klassificeret data har en datomarkering for, hvornår dataene ikke er klassificeret længere? I visse tilfælde kan det også være nødvendig at foretage en opklassificering af data, f.eks. i forbindelse med ressortændringer, hvor den afgivende organisation har klassificeret dataene lavere end den modtagende. Kan systemet håndtere opklassificering af data? Kan der alternativt laves et udtræk i systemet indeholdende klassificeret data, der skal revurderes? Er dataejeren opmærksom på, at der skal foretages revurdering af klassificeret data? Er data, der er klassificeret, stadig nødvendig eller kan det slettes, evt. efter aflevering til Statens Arkiver? Følgende spørgsmål bør stilles i forbindelse med håndtering af klassifikation: 1. Indeholder FESD systemet et klassifikationsfelt på dokumentniveau (journalpost)? 2. Fremgår klassifikationen også på papirversionen af f.eks. et udgående brev eller en udgåede ? 14 / 49

15 Følsomme informationer og data defineret som de informationer og data, som kun særligt betroede brugere kan få adgang til for at kunne udøve deres betroede arbejdsfunktioner, og hvor et brud på fortroligheden kan have skadelig virkning for virksomheden eller den part som informationen omhandler. Fortrolige informationer og data defineret som informationer og data, der har en særlig sensitiv karakter, som kun ledelsen kan få adgang til, eller informationer som kun særligt betroede medarbejdere får adgang til i forbindelse med betroede arbejdsfunktioner, og hvor et brud på fortroligheden kan have særdeles skadelig virkning. Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse I henhold til DS 484 afsnit 8.1 og skal det sikres, at alle nye medarbejdere, der skal have adgang til følsomme data i FESD systemet, er opmærksomme på deres særlige ansvar og rolle i forbindelse med brug af systemet for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af data. Alle ansøgere til såvel faste som midlertidige stillinger og eksterne konsulenter, skal kontrolleres før en ansættelsesaftale indgås, specielt hvis de skal have adgang til følsomme data i FESD systemet. Eventuelle sikkerhedsopgaver og -ansvar skal være klart definerede og forklares tydeligt til ansøgere under ansættelsessamtalen. Personer, der ikke gennemgår virksomhedens almindelige ansættelsesprocedure, f.eks. konsulenter og vikarer, skal også informeres tydeligt om roller og ansvar i forbindelse med sikkerhed. De supplerende spørgsmål skal anvendes til at vurdere, om virksomhedens beskrivelse af sikkerhedsopgaver og ansvar er tilstrækkelig klar og entydig. eskrivelsen af sikkerhedsopgaver og -ansvar skal omfatte medarbejderens ansvar for: 15 / 49

16 At overholde virksomhedens sikkerhedsretningslinjer og politik. At beskytte virksomhedens informationsaktiver mod misbrug. Eventuelle specifikke sikkerhedsopgaver. Egne handlinger. At rapportere sikkerhedshændelser og -trusler. Har den nye medarbejder eller evt. den nye eksterne konsulent fået en kopi af sikkerhedsretningslinjerne og sikkerhedspolitikken for virksomheden og er de gjort bekendt med vigtigheden af overholdelse af disse regningslinjer? Er det nødvendigt, at der som led i ansættelsen af ny medarbejder eller ekstern konsulent, fremvises straffeattest? Fremgår det entydigt af sikkerhedsretningslinjerne, hvordan den enkelte medarbejde kan beskytte virksomhedens informationsaktiver? Er det entydigt, om arbejdsfunktionerne indeholder sikkerhedsopgaver? Er det entydigt, hvordan den enkelte medarbejde bidrager til at opretholde sikkerhedsniveauet f.eks. ved at kontrollere identiteten af gæster i virksomheden og være opmærksom på hvilke vedhæftede filer der må åbnes i s o.l.? Informeres medarbejderen eller den eksterne konsulent om, hvem/hvorhen mistanke om sikkerhedshændelser skal rapporteres? Ansættelsesforholdet I henhold til DS 484 afsnit 8.2 og skal det sikres, at alle medarbejdere er opmærksomme på relevante sikkerhedstrusler og sårbarheder, og at de har den fornødne viden og uddannelse til at udføre deres daglige arbejde inden for rammerne af virksomhedens informationssikkerhedspolitik og -retningslinjer. edelsen skal sikre sig, at alle medarbejdere implementerer og fastholder informationssikkerhed i overensstemmelse med virksomhedens sikkerhedspolitik, retningslinjer og procedurer. ær opmærksom på, at hvis FESD systemet indeholder personfølsomme data, så er virksomheden endvidere forpligtet til, i henhold til sikkerhedsbekendtgørelsens 6, at holde sine medarbejdere instrueret om, hvorledes behandling af disse data kan ske forsvarligt. edelsens ansvar omfatter følgende for alle medarbejdere: At de er blevet tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til virksomhedens systemer og data. At de er gjort bekendt med de nødvendige retningslinjer, således at de kan leve op til virksomhedens informationssikkerhedspolitik. At de er motiverede for at leve op til virksomhedens informationssikkerhedspolitik og retningslinjer. At de opnår et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, Er medarbejderen klar over hvilke konsekvenser det har at få adgang til følsomme/klassificeret data i et FESD system? Er det tydeligt, at der skal udvises ekstra påpasselighed ifbm. følsomt/klassificeret information, hvis data skal anvendes uden for systemet f.eks. på papir? ed medarbejderen hvilke procedurer, der skal følges for at overholde sikkerhedspolitikken? Fremgår der f.eks. af retningslinjerne, at der ikke må sendes CPR numre ubeskyttet over Internettet? Er medarbejderen klar over deres egen betydning og rolle i at understøtte virksomhedens sikkerhedspolitik? Er medarbejderen klar over, at det kan have betydelige implikationer for virksomheden hvis informationerne i FESD systemet kompromitteres? Gennemføres der regelmæssige bevidstgørelses kampagner for virksomhedens sikkerhedspolitik, herunder værdien af informati- 16 / 49

17 der er i overensstemmelse med deres roller og ansvar i virksomheden (jf ). At de holder sig inden for de retningslinjer og bestemmelser, der er for ansættelsen, inkl. virksomhedens informationssikkerhedspolitik og korrekte arbejdsmetoder. onerne i FESD systemet? Er det tydeligt i hvilken omfang, sikkerhedsretningslinjerne er obligatoriske eller frivillige at følge? Hvis reglerne f.eks. stiller begrænsninger om udsendelse af personfølsomme data, er medarbejderen så orienteret om, at det også betyder, at der ikke må sendes personfølsomme data til f.eks. en privat hjemme adresse? Fysisk sikkerhed I henhold til DS 484 afsnit 9.1 og skal det sikres, at virksomhedens lokaler og informationsaktiver beskyttes mod uautoriseret fysisk adgang samt fysiske skader og forstyrrelser. I forbindelse med fysisk beskyttelse af information, skal virksomheden og leverandøren vurdere, om egne fysiske rammer sikrer fortrolighed og tilgængelighed tilstrækkeligt. Placering af udstyr Udstyr skal placeres eller beskyttes, så risikoen for skader og uautoriseret adgang minimeres. Følgende punkter skal overholdes i forbindelse med placering af udstyr: Udstyr skal placeres, så behovet for uvedkommendes adgang til arbejdsområdet minimeres. Udstyr, hvorpå der behandles kritiske/følsomme informationer, skal placeres, så informationerne ikke kan ses af uvedkommende. urderes det som nødvendigt, at sagsbehandlere, der arbejder med følsom information, er placeret i separate lokaler? Sidder sagsbehandlerne placeret så uvedkommende ikke kan aflæse informationen på skærmen? Udstyr, som kræver særlig beskyttelse, skal placeres særskilt for at undgå unødige generelle beskyttelsesforanstaltninger. Udstyr skal placeres eller beskyttes, så risikoen for mulige fysiske trusler som tyveri, brand, varme, eksplosioner, røg, vand, støv, rystelser, kemiske påvirkninger, strømforstyrrelser, kommunikationsforstyrrelser, elektromagnetisk stråling, hærværk osv. minimeres. Der skal være klare retningslinjer for fortæring og rygning i nærheden af udstyr. * Trusler fra omgivelserne, som eksempelvis temperatur og Er server udstyr, backup bånd og lignende, der kræver særlig beskyttelse, placeret i tilstrækkelige beskyttede omgivelser? Er der vandførende rør i eller i nærheden af serverrummet? Arbejdes der med brændbart materiale i nærheden af serverrummet? Er det tilladt at medbringe drikkevarer o.l. i serverrummet? Dette er et skærpet krav og overholdelse afhænger af den enkelte 17 / 49

18 fugtighed, skal overvåges. risikovurdering. * Der skal være etableret beskyttelse mod lyn og overspænding på alle indkommende elektricitets- og kommunikationslinjer, jf. DS/IEC Dette er et skærpet krav og overholdelse afhænger af den enkelte risikovurdering. I særligt forurenende områder skal særlige beskyttelsesforanstaltninger etableres, fx beskyttelse af tastatur. * Udstyr, der benyttes til behandling af følsomme informationer, skal om fornødent beskyttes mod udstråling for at undgå kompromittering. Er der behov for at anvende udstyr uden for normal kontormiljø og i så fald, er der så retningslinjer for hvordan det skal ske, f.eks. mht. bærbare computere, PDA o.l.? Dette er et skærpet krav og overholdelse afhænger af den enkelte risikovurdering. Sikker bortskaffelse eller genbrug af udstyr I henhold til DS 484 afsnit skal det sikres, at følsomme/fortrolige data fjernes inden udstyr kasseres eller genbruges. Alt udstyr med lagringsmedier skal kontrolleres for at sikre, at kritiske/følsomme informationer og licensbelagte systemer er fjernet eller overskrevet, i forbindelse med at udstyret bortskaffes eller genbruges. Når et lagringsmedie har indeholdt følsom information, skal man være opmærksom på, at denne information stadig kan befinde sig fysisk på mediet efter sletning. Skal informationen fjernes helt, skal lagringsmediet overskrives med et særligt værktøj eller destrueres fysisk. Følgende punkter skal overholdes i forbindelse bortskaffelse eller genbrug af udstyr: Enheder med kritiske/følsomme informationer skal enten fysisk destrueres eller overskrives i henhold til en anerkendt metode. Standardslettefunktioner og reformatering er ikke tilstrækkelig beskyttelse, da informationerne stadig ligger på datamediet. Er enheder med følsomt/klassificeret information tydeligt markeret? Kan udstyr genanvendes uden risiko for kompromittering af tidligere lagret information på udstyret? Hvis udstyr skal genanvendes, er der så progammel i virksomheden, der sikrer, at følsomt/klassificeret information ikke kan genanvendes? Hvis leverandøren hjemtager data f.eks. for produktion af arkiveringsversioner til Statens Arkiver, hvordan sikrer leverandøren så, at disse data slettes korrekt efter brug? Styring af netværk og drift I henhold til DS 484 afsnit 10.1 og skal der sikres, en korrekt og betryggende driftsafvikling af virksomhedens FESD system. Ansvar og retningslinjer for styring og drift af virksomhedens FESD system skal være fastlagt. Herunder driftsinstruktioner og reaktionsprocedurer til imødegåelse af uønskede hændelser. Dette gælder uanset om virksomheden selv drifter løsningen eller drift er outsourcet. 18 / 49

19 Følgende punkter skal overholdes i forhold til operationelle procedurer og ansvarsområder: For at reducere risici på grund af uagtsomhed eller overlagt misbrug skal funktionsadskillelse gennemføres, hvor det er relevant. Er der procedurer, der sikrer, at det er forskellige personer, der godkender og opretter brugere hvis ikke, er der så kontrollerende foranstaltninger? Er der procedurer, der sikrer, at det ikke er den samme person, der udfører ændringer i driftsmiljøet som den person, der godkender ændringerne? Driftsafviklingsprocedurer I henhold til DS 484 afsnit skal det sikres, at driftsafviklingsprocedurerne er dokumenterede, ajourførte og tilgængelige for driftsafviklingspersonalet og andre med et arbejdsbetinget behov. Driftsafviklingsprocedurer er en del af virksomhedens informationsaktiver og skal derfor indgå i en formaliseret ændringsstyring, herunder en ledelsesmæssig godkendelse. Dette gælder uanset om virksomheden selv drifter løsningen eller drift er outsourcet. Fordi tilgængelighed i et FESD system kan være en afgørende forudsætning for virksomhedens drift, skal drift afviklingsprocedurerne derfor afspejle virksomhedens forventning til tilgængelighed af FESD systemet. Procedurerne skal omfatte samtlige informationsbehandlingsopgaver, herunder: ehandling og håndtering af information Sikkerhedskopiering, jf Afviklingsplanlægning, herunder driftsmæssige bindinger til andre systemer og fastlagte tidsterminer Fejl- og undtagelseshåndtering, herunder begrænsninger vedrørende brug af systemhjælpeværktøjer, jf Kontaktpersoner ved operationelle eller tekniske problemer Procedurer for håndtering af særlige uddata og databærende medier, eksempelvis brug af særlige blanketter eller håndtering af fortrolige/følsomme uddata, herunder også sikker destruktion af fejlbehæftede uddata, jf og Retablerings- og genstartsprocedurer ved systemfejl Er det tydeliggjort, hvordan de dokumenter, der beskriver driftsafvikling, må håndteres og anvendes? Er der beskrevne procedurer for sikkerhedskopiering? Er der beskrevne procedurer for batch kørsler og afhængigheder til andre systemer? Er der beskrevne procedurer for hvad der skal ske hvis en kørsel eller lignende fejler og hvem der kan tilgå hjælpeværktøjer, der kan identificere og rette fejlen? Findes der et kontaktpunkt hos leverandøren og virksomheden, der kan behandle forespørgsler af teknisk- og operationel- karakter? Er der behov for procedurer for kopiering af information, der ikke vedrører sikkerhedskopiering, f.eks. til test? Er der procedurer for at alle papirer, der ikke skal anvendes, bliver destrueret betrykkende? Er der procedurer for, hvem der må genstarte FESD systemet (både HW og SW), hvordan det genstartes og hvornår det må genstartes? 19 / 49

20 Styringen af kontrolspor og øvrige systemtekniske logninger, jf Er der vished for, at kun autoriseret personel kan tilgå og ikke ændre kontrolspor og log information? Ændringsstyring I henhold FESD krav , samt til DS 484 afsnit skal det sikres, at ændringer til forretningskritisk informationsbehandlingsudstyr, -systemer og -procedurer skal styres gennem en formaliseret procedure. Ændringer i FESD systemet kan have utilsigtede konsekvenser, f.eks. kan rettelse af en fejl i en del af systemet medføre fejl i andre dele af systemet. Det er afgørende for et FESD systems tilgængelighed, at ændringer og test er veldokumenteret. Følgende punkter skal overholdes i forhold til ændringsstyring: Entydig identifikation og registrering af væsentlige ændringer Krav til planlægning og afprøvning af ændringer Er det tydeligt og præcist, hvilke ændringer der skal gennemføres og er de nødvendige? Er det afprøvet, at ændringen ikke har andre konsekvenser end tilsigtede? Gennemføres ændringer i henhold til dokumenteret testplan? urdering af ændringens konsekvenser, herunder sikkerhedskonsekvenser inkl. konsekvenser for beredskabsplanen, jf En formaliseret godkendelsesprocedure En informationsformidlingsprocedure Nødprocedure ved fejlslagne ændringer ogningsprocedure, jf Er ændringen afprøvet i et testmiljø? Er effekten af opdateringer af applikationer, operativsystem og database kendt for FESD systemet, f.eks. opdateringer af Office versioner, MDAC, Internet Explorer o.l.? Hvem kan godkende testen hos virksomheden? Har virksomheden fremsendt testcases til leverandøren? Er der procedurer, der beskriver, hvordan leverandøren har udbedret fejlretningen og står inde for kvaliteten? Hvor omfattende vurderer leverandøren ændringen? Er der mulighed for at genetablere systemet til det niveau systemet havde før ændringen blev implementeret? Har virksomheden en systematisk oversigt/dokumentation af, hvornår og hvordan ændringer er implementeret? Funktionsadskillelse I henhold til FESD kravspecifikationen, krav 8.3.1, samt DS 484 afsnit skal det sikres, at der etableres funktionsadskillelse for at minimere risikoen for uautoriserede eller utilsigtede ændringer eller misbrug af systemet. irksomheden skal være opmærksom på leverandørens funktionsadskillelse i forbindelse med kodning, og om leverandøren kan sandsynliggøre, at der foreligger procedurer, som også følges. Følgende punkter skal overholdes i forhold til funktionsadskillelse: Det skal sikres, at samme person ikke har adgang til at tilgå, ændre og anvende FESD systemet, uden at Er det forskellige personer, der ændrer kode i test og efterfølgende lægger det i produktion? Er den person, der ændrer koden, den samme person, der godkender 20 / 49

21 dette er godkendt eller vil blive opdaget. Samme person må ikke både godkende og initiere en given handling. ed tilrettelæggelse af funktionsadskillelse skal risikoen for indbyrdes aftaler medarbejderne imellem indgå. Hvis funktionsadskillelse ikke kan gennemføres i eksempelvis mindre virksomheder, skal der iværksættes kompenserende kontrolforanstaltninger, fx overvågning, logning eller lignende. rettelsen hos leverandøren? Er den person, der godkender en sikkerhedsændring (oprettelse af brugere og grupper), den samme person, der også udfører arbejdet i systemet? Er der formaliserede procedurer for sikkerhedsrettelser i systemet, hermed tænkes på ændringer af gruppetilhørsforhold i FESD systemet? Er der kompenserende foranstaltninger hvis funktionsadskillelse ikke kan gennemføres? Adskillelse mellem udvikling, test og drift I henhold FESD kravspecifikationen, krav , samt til DS 484 afsnit skal det sikres, at udviklingsog testmiljøet er adskilt fra driftsmiljøet for at undgå uautoriseret adgang eller ændringer. Drift og test-/udviklingsmiljøer bør holdes fysisk adskilt både hos virksomheden og leverandør. Det kan have negative konsekvenser for tilgængeligheden af et FESD system, såfremt det ikke er tilfældet. DS 484 kræver ikke fysisk adskillelse, men virksomheden skal eksplicit gøre sig bekendt med risici og acceptere konsekvenserne heraf ved manglende adskillelse. Følgende punkter skal overholdes i forhold til adskillelse mellem udvikling, test og drift: Retningslinjer for overførsel af forretningskritiske systemer fra udviklings- og testmiljøet til driftsmiljøet. * Udviklings- og testmiljøet skal være systemteknisk eller fysisk adskilt fra driftsmiljøet. Udviklings- og hjælpeværktøjer må kun findes i driftsmiljøet, hvis det er påkrævet, jf Testmiljøet skal være så identisk med driftsmiljøet som muligt. Er der procedurer for, hvornår et system er af en sådan kvalitet, at det kan flyttes fra udvikling til test og igen fra test til drift? Er der aftalte kvalitetskrav til systemets funktionalitet og stabilitet som skal opfyldes før et system skal gå fra udvikling til test og fra test til drift? Dette er et skærpet krav og overholdelse afhænger af den enkelte risikovurdering. Er udviklings- og testmiljø adskilt fra produktionsmiljø? Følger adskillelsen af systemerne også de underlæggende systemer i særdeleshed den underlæggende database? Er der licenser til opretholdelse af både test og udviklingsmiljø? Er det kun nødvendige programmer og funktioner, der er tilstede i produktionsmiljøet, det gælder både for leverandør og virksomhed? Er debug værktøjer kun tilgængelige i test og udviklingsmiljø? Hvordan sikres, at test og produktionsmiljø er så identiske som muligt? Er kapaciteten i testmiljø og driftsmiljø datamæssigt sammenligneligt? Er det sikret, at der i forbindelse med test i testmiljøet ikke fo- 21 / 49

22 * Hvis en bruger har behov for adgang til både udviklings-, testog driftsmiljøerne, skal vedkommende benytte forskellige brugerprofiler. Følsomme/fortrolige data må ikke benyttes i udviklings- og testmiljøet, medmindre adgangskontrolforanstaltningerne er lige så restriktive som i driftsmiljøet, jf retages ændringer, men at disse ændringer altid laves i udviklingsmiljøet? Dette er et skærpet krav og overholdelse afhænger af den enkelte risikovurdering. Er det sikret, at samme brugerprofil ikke har adgang til både udvikling, test og drift? I det omfang produktionsdata er nødvendige til test, er klassificerede/følsomme data så sikret på samme måde i testmiljøet som i produktionsmiljøet? Ekstern serviceleverandør I henhold til FESD kravspecifikationen, krav 7.1.7, samt DS 484 afsnit 10.2 skal det sikres, at det ønskede sikkerhedsniveau opretholdes ved samarbejde med en ekstern serviceleverandør, idet virksomheden skal være opmærksom på, at den fortsat har det overordnede ansvar for informationssikkerheden. Følgende punkter skal overholdes i forhold til en ekstern serviceleverandør, herunder en ASP-løsning: Der skal være udpeget en ansvarlig kontakt både i virksomheden og hos serviceleverandøren. De eksterne serviceleverandører som FESD systemet er integreret til datamæssigt f.eks. CPR, CR, R o.l., er der så et eksternt kontaktpunkt hos hver af disse udbydere? Hvis FESD systemet eller systemets data ikke er placeret hos virksomheden, er der så et eksternt kontaktpunkt hos den/de eksterne serviceleverandører? Serviceleverancen I henhold til DS 484 afsnit skal det sikres, at der er indgået en aftale med den eksterne serviceleverandør, og at de aftalte sikrings- og kontrolforanstaltninger, serviceydelser og servicemål bliver etableret, leveret og opretholdt, jf irksomheden og leverandøren bør indgå en egentlig Service evel Agreement (SA) med målepunkter, hvis opfyldelse sikrer driftsstabiliteten af FESD-systemet. ed statusmøder mellem virksomheden og leverandøren skal SA punkterne vurderes. For at sikre aftalens overholdelse er det vigtigt, at virksomheden løbende har indsigt i og forholder sig kritisk til: Serviceleverandørens løbende kapacitetstilpasning Kvaliteten af og realismen i serviceleverandørens beredskabsplaner. Herudover skal en eventuel overgangsperiode plan- Er der aftalt løbende kapacitets overvågning af serverne, f.eks. memory, diskplads, backup, databaser og netværksforbindelser? Er der aftalt under hvilke omstændigheder, der skal ske kapacitets udvidelser eller indskrænkninger? Hvilke sikringsforanstaltninger har den eksterne serviceleverandør gennemført for at afskærme virksomheden for utilsigtede hændelser hos leverandøren, f.eks. brand, medarbejderafgang, tyveri o.l.? Hvis der sker en uforudset hændelse hos den eksterne serviceleverandør, hvordan kommer leverandøren så tilbage fra nød drift til normal 22 / 49

23 lægges omhyggeligt. drift? Overvågning og revision af serviceleverandøren I henhold til DS 484 afsnit skal det sikres, at virksomheden regelmæssigt overvåger serviceleverandøren, gennemgår de aftalte rapporter og logninger samt udfører egentlige revisioner, for at sikre, at aftalen overholdes, og at sikkerhedshændelser og problemer håndteres betryggende. Følgende aktiviteter skal gennemføres løbende: Overvågning af det aftalte serviceniveau * Regelmæssige møder med gennemgang af driftsrapport, herunder sikkerhedshændelser Gennemgang af og opfølgning på sikkerhedshændelser, driftsproblemer, fejl og nedbrud Gennemgang af sikkerheds- og driftsrelaterede logninger Indgåelse af aftale, planlægning og opfølgning på løsningen af udestående problemer. Hvordan måles og afrapporteres de servicemål der er aftalt? Er der aftalt konsekvenser af manglende overholdelse af serviceniveauet? Dette er et skærpet krav og overholdelse afhænger af den enkelte risikovurdering. Er der aftalt gennemgang af hændelser i forbindelse med statusmøder? Er der aftalt procedurer for kontrol af logs, og hvem der må udføre kontrollen? Er der en foranstaltning, der automatisk adviserer virksomheden eller den eksterne serviceleverandør, i forbindelse med særlige kritiske hændelser i loggen? Er der aftalt eskalationsprocedurer? Er det aftalt om 3. part (for eksempel virksomhedens IT-revisor) må få adgang til driftsmiljøet med henblik på at bistå virksomheden i vurdering af driftskvalitet? Styring af ændringer hos ekstern serviceleverandør I henhold til DS 484 afsnit skal det sikres, at en ekstern serviceleverandørs ydelser følger de samme retningslinjer som virksomhedens egen ændringsstyring, jf i DS 484. ær opmærksom på, at kravene til ændringsstyring også skal omfatte eventuelle underleverandører, jf i DS 484. Ændringsstyring hos en serviceleverandør skal tage højde for følgende specielle forhold: * irksomhedens egne ændringsønsker: 1. udvidelser af de eksisterende serviceydelser 2. udvikling af nye systemer 3. ændringer i virksomhedens politikker og procedurer 4. nye sikringsforanstaltninger til forbedring af sik- Dette er et skærpet krav og overholdelse afhænger af den enkelte risikovurdering. 23 / 49

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november 2014. Mulighed for fritagelse

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november 2014. Mulighed for fritagelse Automatisk og obligatorisk tilslutning 1. november 2014 blev det lovpligtig at være tilsluttet Digital Post fra det offentlige. Denne dato skete der derfor en automatisk og obligatorisk tilslutning for

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Region Midtjylland Informationssikkerhedshåndbog Retningslinjer Region Midtjyllands regler for informationssikkerhed 1.0 11-03-2013 Indholdsfortegnelse Retningslinjer 2 1 Indledning 2 2 Termer og definitioner

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Konference 27. januar 2011 Personale og IT-sikkerhed /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Hvordan sikrer I, at medarbejderne iagttager og overholder IT-sikkerheden?

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

Informationssikkerhedspolitik for Norddjurs Kommune

Informationssikkerhedspolitik for Norddjurs Kommune Norddjurs Kommune Informationssikkerhedspolitik for Norddjurs Kommune Regler Kommunens regler for informationssikkerhed 24-11-2011 Indholdsfortegnelse Regler 2 4 Risikovurdering og -håndtering 2 4.1 Vurdering

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Arbejdsgange og retningslinier vedr. brug af KMD-SAG-EDH

Arbejdsgange og retningslinier vedr. brug af KMD-SAG-EDH FAABORG-MIDTFYN KOMMUNE Arbejdsgange og retningslinier vedr. brug af KMD-SAG-EDH KMD-sag-edh Side 1 af 10 MÅL MED ELEKTRONISK DOKUMENTHÅNDTERING 4 AFGRÆNSNING 4 SIKKERHED 4 DOKUMENTER 5 Dokumentdefinition

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING 1 Involverede parter 1.1 Virksomheden Navn: CVR.nr. Kontaktperson: Juridiske enheder omfattet af analysen: 1.2 Willis Adresse Forsikringsmægler E-mail / Telefon @willis.dk / 88 139 2 Om virksomheden 2.1

Læs mere

Informationssikkerhed

Informationssikkerhed Banedanmark Informationssikkerhed Overordnet politik Banedanmarks informationssikkerhedspolitik Version 4.0 10-12-2012 Indholdsfortegnelse Politik 2 Informationssikkerhedspolitik for Banedanmark 2 Indledning

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Bilag 15 Leverandørkoordinering

Bilag 15 Leverandørkoordinering Bilag 15 Leverandørkoordinering Version 0.8 26-06-2015 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 2 2 INDLEDNING... 3 3 LEVERANDØRENS ANSVAR... 4 4 LEVERANDØRENS KOORDINERINGS- OG SAMARBEJDSFORPLIGTELSE...

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

CYBERFORSIKRING OFFENTLIG KONFERENCE

CYBERFORSIKRING OFFENTLIG KONFERENCE CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering

Læs mere

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010. It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud Region Midtjylland 2010. 1 1 Indledning 1.1 Versionshistorie Version Dato Ansvarlig Status Beskrivelse 1.0 2010-05-04 HENSTI Lukket Definition

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351.

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351. ABONNEMENTS- OG MEDLEMSKABSBETINGELSER for Berlingske Business Premium For IP-adgang til biblioteker, uddannelsesinstitutioner og højere læreanstalter, 21-08-2013 (Version 1.2) Biblioteker på uddannelsesinstitutioner

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere