IT- og Telestyrelsen It risk management i private og offentlige organisationer i Danmark. 2006

Størrelse: px
Starte visningen fra side:

Download "IT- og Telestyrelsen It risk management i private og offentlige organisationer i Danmark. 2006"

Transkript

1 It risk management i private og offentlige organisationer i Danmark s. 1 af 36

2 Indholdsfortegnelse 1. Indledning Undersøgelsens formål og rammer Konklusioner og anbefalinger Undersøgelsens opbygning og rapportens struktur Undersøgelsens grundlag Deltagende organisationer Undersøgelsens forløb Karakteristik af it-anvendelsen Organisationernes kritiske anvendelse af it Udveksling af data med leverandører og kunder Forretningsprocessers afhængighed af it It proces-modenhed It-sikkerhedsområdets opmærksomhed Organisationens begrundelse for at arbejde med it-sikkerhed Organisatorisk placering Konsekvensvurderinger Samlet vurdering Ejerskab i forhold til trusler Konsekvensvurdering - tilgængelighed, fortrolighed, integritet It-sikkerhedsindsatser It risk Management Organisering af sikkerhedsarbejde Formalisering Medarbejdernes sikkerhedsadfærd It-sikkerhedsindsats ift. it-modenhed Brug af ekstern ekspertise Kontrol og evaluering af it-sikkerhed Viden om it-sikkerhed Outsourcing af sikkerhed s. 2 af 36

3 1. Indledning 1.1. Undersøgelsens formål og rammer Undersøgelsen over danske organisationers praksis indenfor styring af risici knyttet til itanvendelsen er udarbejdet for It & Telestyrelsen af Parkegaard & Kristensen Sikkerhed. Undersøgelsesperioden var september oktober Undersøgelsen har haft to overordnede formål: at få overblik over danske private og offentlige organisationers opmærksomhed og indsats på it-sikkerhed som en væsentlig del af en organisations risk management, og derved at fastlægge metoder, der gør det muligt at monitorere organisationernes indsats indenfor itsikkerhed i forhold til organisationernes størrelse, industritilhør m.v. Resultatet af undersøgelsen dokumenteres med indeværende rapport. Som følge af undersøgelsens perspektiv med fokus på at opsamle erfaring indenfor de to overordnede formål, har mængden af deltagende været indsnævret. Undersøgelsens talmateriale baseres således på 534 deltagende organisationer; hvilket er for snævert til at foretage analyser på delmængder af materialet. Undersøgelsesmaterialet er udarbejdet i et samarbejde mellem It & Telestyrelsen, et udvalg nedsat af Dansk Industris sikkerhedsforum ITEK, samt Parkegaard & Kristensen Sikkerhed. Undersøgelsen omfatter såvel private organisationer som offentligt ejede institutioner og organisationer, der i det følgende omfattes af fælles termen organisation Konklusioner og anbefalinger Afhængighed af it De deltagende organisationer i undersøgelsen udtrykker entydigt, at anvendelsen af informationsteknologi har afgørende betydning for såvel kommunikation med omverdenen, de administrative funktioner såvel som de væsentlige forretningsprocesser.. Stort set alle organisationer vurderer, at de administrative funktioner i afgørende grad er afhængige af it. I forhold til kommunikation med kunder og leverandører anses for at have en væsentlig større betydning end andre former for it-understøttet kommunikation. De processer, som organisationerne i størst omfang er afhængige af forretnings- eller kerneprocesserne, har en afhængighed af it, der stiger med organisationens størrelse. Afhængigheden er meget markant for de fleste organisationstypers vedkommende. Forsyningssektoren er den sektor, der angiver den mindste følsomhed for kerneprocesserne. s. 3 af 36

4 Organisationernes begrundelse for at adressere it-sikkerhed hænger i høj grad sammen med ønsket om at beskytte it-anvendelsen; således markerer over halvdelen af respondenterne, at det er den primære årsag til it-sikkerhedsinitiativer. Hensynet til vækstplaner og hensynet til kunder udgør i en tredjedel af organisationerne bevæggrunden for it-sikkerhedsinitiativer. Kommentar Undersøgelsen viser, at afhængigheden af it er så stor, at it udgør en kritisk forudsætning for organisationernes evne til at gennemføre deres daglige processer og dermed opfylde deres mål. Styring af it-området Betragtes organisationernes praksis for regulering af de processer, der omhandler it-anvendelsen viser undersøgelsen at jo større organisationen er, i desto større grad er der fastlagt og formaliseret styringsprocesser for it-anvendelsen. Set i forhold til de enkelte industrigrupper er det mest markante udsving industrivirksomheders lave interesse for området. Sammenlagt har 62 % af organisationerne indført en praksis for styring af it-området. Kommentar Organisationernes praksis for styring af it-området er væsentlig for evnen til at indføre og fastholde sikkerhedsinitiativer. Undersøgelsen viser, at der er taget en række initiativer for at styre it-området, men også at der er markante forskelle mellem organisationerne afhængig af størrelse og industrigruppe. For de grupper, der markerer sig svagt i undersøgelsen, bør der ydes en indsats for at gøre opmærksom på betydningen af at styre processerne i it-området. It risk management I undersøgelsen konstateres det, at alene omkring halvdelen af de deltagende organisationer har gennemført en egentlig styring af it-sikkerhedsområdet og at under 10 % har indført styring af såvel it-processer som it-sikkerhed. Der er forskellig praksis afhængig af organisationens størrelse og tilhør til industrigruppe: De større organisationer har flere processer på plads end de mindre. Specielt forsyningssektoren markerer sig med høj grad af styring. Respondenterne i undersøgelsen udtrykker tydeligt, at ledelsens interesse for området ikke er stor: Den indsats, der gøres for at dokumentere kravene til sikkerhed i form af sikkerhedspolitikker etc. fører ikke nødvendigvis til, at man får kravene omsat i praksis. Kommentar Det lave ledelsesengagement for it-sikkerhed er problematisk i forhold til den store betydning som it-anvendelsen spiller for organisationerne. Det er et ledelsesansvar, at sikre organisationernes værdier og evne til at opfylde de primære mål. s. 4 af 36

5 Formalisering og organisering Et af de undersøgte forhold er, i hvilket omfang der er indført sikkerhedsstyring og sikkerhedsregler: Der kan iagttages en klar tendens til at organisationerne er bedre til at beskrive krav og regler end til at udmønte det i egentlige implementeringer af sikkerhedsforanstaltninger. Specielt blandt de største organisationer er der en klar tendens til, at jo større organisationen er, desto større er forskellen med beskrivelsesgrad og implementering i praksis. Kun knap halvdelen af de deltagende organisationer har indført en formaliseret styring af deres itsikkerhed i form af sikkerhedspolitikker, retningslinier, udvalg m.v. Sammenlagt viser undersøgelsen at ledelsens opmærksomhed på og opbakning bag gennemførelse af sikkerhedspolitikkerne i praksis er meget lav. Næsten ¾ af de deltagende organisationer har ikke etableret et it-sikkerhedsudvalg, der skal behandle og vurdere de sikkerhedsmæssige tiltag. Virksomheder i Energi og Vandforsyningssektoren er bedst til at gennemføre en formaliseret sikkerhedsstyring. Dernæst følger offentlige servicevirksomheder samt gruppen af erhvervs- og finansielle servicevirksomheder. Kommentar Indførelsen af de formelle rammer for sikkerhedsstyring i form af it-sikkerhedspolitkker m.m. er kun gennemført hos halvdelen af de deltagende organisationer. Ledelsens engagement og opmærksomhed på it-sikkerhedsområdet ses som en væsentlig forudsætning for og del af de initiativer, der skal medføre at intentioner omsættes i praksis. Der er dermed behov for at gøre opmærksom på ledelsens betydning for indsatsen for itsikkerhed både i forhold til at indføre styringsværktøjer og i forhold til at understøtte den praktiske indførelse. Ressourceindsats Næsten alle organisationer har ansat personale til at håndtere sikkerhedsområdet og der er etableret direkte bånd fra sikkerhedslederen til organisationens øverste ledelse. Men det må også konstateres at jo større organisationerne bliver, desto længere væk kommer den sikkerhedsansvarlige fra den direkte kontakt til direktionen. Kommentar Den it-sikkerhedsansvarliges mulighed for at gøre den øverste ledelse opmærksom på væsentlige problemer er vigtig for at sikre upartiskhed og indgriben. Det kan derfor synes problematisk, at jo større en organisation er, jo længere væk kommer den sikkerhedsansvarlige fra den øverste ledelse. Trusler og beskyttelse Et af de trusselsscenarier, der kan medføre store konsekvenser for organisationerne, og hvor respondenterne ikke finder at der ikke er tilstrækkelige sikringsmekanismer på plads, er forbundet med medarbejderne og den adfærd de udøver. Under halvdelen af de deltagende organisationer har præciseret kravene til hvorledes it-sikkerhed i forhold til medarbejdernes adfærd skal håndteres. Det fremgår af undersøgelsen, at det er et område med lav ledelsesopmærksomhed. s. 5 af 36

6 De øvrige trusselsområder personer udenfor organisationen, fejl ved hardware og software og hændelser, der stammer fra forhold udenfor organisationens rækkevidde ses alle at kunne medføre alvorlige konsekvenser men også, at organisationerne i stort omfang føler sig beskyttet mod disse trusler. Kommentar Opmærksomheden på den uheldige indflydelse medarbejdernes adfærd tilsigtet som utilsigtet kan få på it-anvendelsen ses at være meget lav og i stor grad uden tilstrækkelig beskyttelse. Det er et område, hvor organisationerne bør sætte ind i forhold til den kultur og forståelse medarbejderne har for anvendelse af it Undersøgelsens opbygning og rapportens struktur Undersøgelsen var fastsat til at omfatte organisationer indenfor følgende af Danmarks Statistiks industrigrupper: Gruppe 2: Industri Gruppe 3: Energi og vandforsyning Gruppe 5: Handel, hotel og restauration Gruppe 6: Transportvirksomhed, post og tele Gruppe 7: Finansiering og forretningsservice Gruppe 8: Offentlige og personlige tjenester Undersøgelsen omfatter følgende størrelsesgrupper: medarbejdere medarbejdere medarbejdere medarbejdere Det samlede antal respondenter blev 534. Rapporten gengiver i tabel og figurform observationer for de enkelte analyseområder med kommentarer på de specifikke og mere generelle forhold. Der er kun foretaget enkelte undersøgelse på tværs af industri- og størrelsesgrupperne, da en respondentgruppe på 500 ikke åbner mulighed herfor Undersøgelsens grundlag Deltagende organisationer Hensigten med den foretagne undersøgelse har ikke været at foretage en statistisk dækkende vurdering af alle virksomhedsgrupper i Danmark. Udover at fravælge enkelte industrigrupper er s. 6 af 36

7 der foretaget en række selektioner, som gør at materialet i forhold til størrelsesgrupper og industrigrupper ikke er fuld repræsentativ. De foretagne valg er, 1. Mindre organisationer under 50 indgår ikke, da undersøgelsens spørgeområder ikke forventes at dække de forhold, der gælder i disse organisationer 2. Organisationer mellem 50 og 199 er overrepræsenteret, for at få så dækkende en undersøgelse af denne gruppe som muligt 3. Energisektoren har fået særlig vægt, da den har afgørende betydning for det øvrige samfundslivs evne til at gennemføre de daglige processer Med et grundlag på 534 organisationer i respondentgruppen vurderes talmaterialet at være tilstrækkeligt til at give indtryk af sammenhænge indenfor størrelses- og industrigrupper, men ikke for yderligere opdelinger eller tværanalyser. Indenfor gruppen af offentlige servicevirksomheder er 79 af 105 deltagende organisationer helt eller delvist ejet af det offentlige. Øvrige organisationer i denne gruppe er privatejede skoler o. lign. Udvælgelsen af organisationer blev foretaget på baggrund af den statistiske fordeling ifølge Danmarks Statistik og de ovenfor angivne selektionskriterier. Størrelses Gruppe Statistik ref. 47,19 % 24,06 % 16,21 % 12,54 % Resultat 48,13 % 28,09 % 15,54 % 8,24 % Konsekvensen af opprioriteringen af grupperne indtil 199 medarbejdere medførte en underrepræsentation for specielt gruppen fra 500 medarbejdere og opefter. Repræsentativiteten for denne gruppe er således lav. Industri (2) Danmarks Statistik industrigruppering Energi & vand forsyning (3) Handel (5) Transport (6) Finansiel & erhvervsservice (7) Offentlig service virksomhed (8) Statistik ref. 26,03 % 0,48 % 20,92 % 6,90 % 19,47 % 26,19 % Resultat 31,46 % 5,24 % 19,10 % 7,68 % 16,85 % 19,66 % Fordelingen af organisationer indenfor industrigrupperne viser, at grupperne ved erhvervs- og finansiel service, offentlige service-virksomheder, samt til dels handel og serviceindustrien er underrepræsenteret. Der deltager hhv. 102, 90 og 105 fra de tre grupper. s. 7 af 36

8 Danmarks Statistik Gruppe Industri (2) Energi & vand forsyning (3) Handel (5) Transport (6) Finansiel & erhvervsservice (7) Offentlig service virksomhed (8) Total Størrelsesgrupper Total 14,61 % 11,24 % 5,24 % 0,37 % 31,46 % ,62 % 1,12 % 1,12 % 0,37 % 5,24 % ,05 % 5,43 % 1,69 % 0,94 % 19,10 % ,12 % 2,25 % 0,94 % 0,37 % 7,68 % ,36 % 3,56 % 2,81 % 1,12 % 16,85 % ,37 % 4,49 % 3,75 % 5,06 % 19,66 % ,13 % 28,09 % 15,54 % 8,24 % 100,00 % Sammenlagt giver materialet et udgangspunkt for vurderinger af de enkelte størrelsesgrupper og industrigrupper med de anførte forbehold. Til gengæld er antallet af deltagende organisationer for snævert til krydsvurderinger mellem delgrupperinger eller vurderinger af grupperinger indenfor f.eks. en størrelsesgruppe Undersøgelsens forløb Proces Undersøgelsen blev gennemført som telefoninterviews på baggrund af en selektion af organisationer som anført under 8.1. Henvendelsen til de udvalgte organisationer blev indledt med et brev til den it-ansvarlig chef, hvor It & Telestyrelsen præsenterede undersøgelsen og dens målsætninger og orienterede organisationen om, at den var udvalgt til deltagelse. Efterfølgende blev der taget telefonisk kontakt til de udvalgte organisationer. Der blev opnået kontakt til 1815 organisationer og gennemført i alt 540 interviews. Af de 1275 afslag blev den manglende deltagelse typisk begrundet et af følgende svar: Jeg kan ikke afsætte tid til deltagelse Det har ikke vores interesse at høre om, så vi ønsker derfor heller ikke at deltage Det er ikke oplysninger vi ønsker at give ud Det har ikke vi ikke interesse i Respondenterne Betegnelse respondenter er anvendt om de personer, der har besvaret undersøgelsens spørgsmål. s. 8 af 36

9 Det ses, at respondenterne typisk udgøres af den it-ansvarlige eller sikkerhedsansvarlige chef. Kun i meget begrænset omfang (6 %) har respondenterne plads i direktionen. Størrelses Gruppe Respondenternes rolle i organisationen Total Direktionsmedlem 10 % 2 % 4 % 0 % 6 % Ansvar for andre forhold end It 2 % 2 % 8 % 0 % 2 % Ansvarlig for It 71 % 69 % 60 % 50 % 67 % Ansvarlig for it-sikkerhed 12 % 21 % 26 % 48 % 20 % Øvrig 4 % 7 % 2 % 2 % 4 % Hovedtotal 100 % 100 % 100 % 100 % 100 % s. 9 af 36

10 2. Karakteristik af it-anvendelsen It risk management skal ses i forhold til, hvor kritisk it-anvendelsen er for de enkelte organisationer. I indeværende undersøgelse er det vurderet, hvilken betydning organisationernes it-anvendelse har for afviklingen af deres kerneprocesser såvel som for udførelsen af administrative rutiner. Endvidere er det undersøgt, hvor betydende de forskellige former for it-understøttet kommunikation med kunder og leverandører er. Undersøgelsen omfatter endvidere en karakteristik af organisationernes modenhed indenfor en række af kerneområderne i it-management Organisationernes kritiske anvendelse af it Respondenterne blev bedt om at karakterisere såvel den eksterne som den interne afhængighed af it. For den eksterne afhængighed indgik udvekslingen af data med hhv. leverandører og kunder. For den interne afhængighed blev der skelnet mellem anvendelsen af it til såvel generelle formål som til specifikke forhold for den enkelte organisations væsentlige forretningsprocesser Udveksling af data med leverandører og kunder Respondenterne blev for de IKT (informations kommunikations teknologi) understøttede kommunikationsformer mail, web, edi samt andre ikke-specificerede former bedt om at karakterisere afhængigheden af kommunikationen med såvel kunder som leverandører. Det er ikke muligt at definere nærmere hvad kundebegrebet omfatter det kan være forholdet mellem en organisation og andre organisationer (business to business) eller mellem en organisation og slutkunden (business to consumer). Mail vurderes af respondenter som den mest kritiske kommunikationsform for såvel leverandør- som kunderelationer med henholdsvis 56 og 61 %, der har vurderet det som meget kritisk (afhængighed 4-5). Web-baserede løsninger er den lavest vurderede kommunikationsform i kommunikationen med kunder: 80 % Kommunikation m. kunder Afhængighed Stigende skala mail web edi andet 1 7 % 65 % 50 % 31 % 2 12 % 15 % 16 % 13 % 3 25 % 11 % 14 % 24 % 4 29 % 6 % 10 % 20 % 5 27 % 4 % 10 % 13 % 100 % 100 % 100 % 100 % angiver det som laveste afhængighedstrin 1 til 2 og 10 % som trin 4-5. I kommunikationen med leverandører har web en lidt større rolle (64 % som afhængighed 1 til 2) og 14 % som trin s. 10 af 36

11 Edi-løsninger spiller forsat en rolle for organisationerne: således vurderer knap 20 % den som meget vigtig for relationen til såvel kunder som leverandører. Under andet gemmer sig diverse typer af udveksling af data, der ikke omfattes af mail, web eller edi. For kunde-relationer vurderes det af 20 % det som væsentligt og for leverandør-relationer af 18 %. Kommunikation m. leverandører Afhængighed Stigende skala mail web edi andet 1 5 % 44 % 56 % 45 % 2 11 % 20 % 14 % 16 % 3 23 % 22 % 13 % 22 % 4 37 % 11 % 8 % 10 % 5 24 % 3 % 10 % 8 % 100 % 100 % 100 % 100 % Set i forhold til andelen af markeringer indenfor afhængighedsskalaen har den it-understøttede kommunikation med andre organisationer højere betydning end i relationer med kunder Forretningsprocessers afhængighed af it Respondenterne blev bedt om at vurdere deres administrative rutiner, dvs. almene processer som skrive, regne og kommunikere, i forhold til it-anvendelsen. Sammenlagt karakteriserer 95 % af deltagerne anvendelsen som værende meget afhængig af it (afhængighed 4 eller 5). Gruppen af de største organisationer udtrykker at deres administrative rutiner er helt afhængige af it. Administrative rutiners afhængig af it Afhængighed Størrelses Gruppe Stigende Gns. skala org. 1 0 % 1 % 0 % 0 % 0 % 2 0 % 1 % 1 % 0 % 1 % 3 4 % 5 % 5 % 0 % 4 % 4 30 % 26 % 17 % 30 % 27 % 5 65 % 68 % 77 % 70 % 68 % 100 % 100 % 100 % 100 % 100 % Vurderes administrative rutiners afhængighed af it indenfor de enkelte industrigrupper, fremkommer et billede, hvor afhængigheden entydig er meget stor: Grupperne af offentlig serviceorganisation, energi samt transport-sektoren har angivet den højeste grad af afhængighed, mens de øvrige sektorer ligger omkring % i afhængighedsniveau 4 til 5. Afhængighed Stigende skala Administrative rutiners afhængighed af IT Danmarks Statistik Gruppe Finansiel Energi & & vand erhvervsservice forsyning Handel Transport (3) (5) (6) (7) Industri (2) Offentlig service virksomhed Gns. (8) org. 1 0 % 0 % 0 % 0 % 1 % 0 % 0 % 2 1 % 0 % 0 % 0 % 1 % 1 % 1 % 3 7 % 0 % 6 % 2 % 4 % 0 % 4 % 4 25 % 36 % 25 % 34 % 22 % 30 % 27 % 5 68 % 64 % 69 % 63 % 71 % 69 % 68 % total 100 % 100 % 100 % 100 % 100 % 100 % 100 % s. 11 af 36

12 Respondenterne blev endvidere bedt om at vurdere kerneprocesser i forhold til afhængigheden af it. Kerneprocesser er forretningsprocesser, der er afgørende betydning for en organisations virke og dermed dens evne til at opfylde de forretningsmæssige mål. Der ses en kraftig afhængighed af it i forhold til organisationens størrelse; jo større organisation er, desto mere markant fremstår det, at organisationens kerneprocesser er afhængige af it: Det kan være et udtryk for manglende bevidsthed om dette forhold blandt de mindre organisationer, samt at jo større en organisation er, desto mere udbredt og funderet er dens anvendelse og afhængighed af it. Kerneprocessers afhængighed af it Størrelses Gruppe Afhængighed Stigende skala Gns. org. 1 1 % 1 % 2 % 0 % 1 % 2 4 % 4 % 2 % 2 % 3 % 3 22 % 24 % 21 % 7 % 21 % 4 36 % 36 % 20 % 27 % 33 % 5 37 % 34 % 54 % 64 % 41 % 100 % 100 % 100 % 100 % 100 % Betragtes afhængigheden af de organisationsspecifikke it-systemer i forhold til industrigrupper er der visse forskelle med betydning for kerneprocesserne: I gruppen af industrivirksomheder samt hos de offentlige servicevirksomheder har 6-8 % angivet, at it ikke spiller nogen betydende rolle. Organisationerne i forsyningssektoren angiver alle at it har en fra middel til væsentlig betydning. Afhængighed Stigende skala Industri (2) Kerneprocessers afhængighed af it Danmarks Statistik Gruppe Finansiel Energi & & vand erhvervsservice forsyning Handel Transport (3) (5) (6) (7) Offentlig service virksomhed Gns. (8) org. 1 2 % 0 % 1 % 0 % 1 % 1 % 1 % 2 6 % 0 % 2 % 0 % 1 % 5 % 3 % 3 23 % 36 % 20 % 20 % 14 % 23 % 21 % 4 38 % 46 % 40 % 34 % 22 % 23 % 33 % 5 32 % 18 % 37 % 46 % 61 % 49 % 41 % I alt 100 % 100 % 100 % 100 % 100 % 100 % 100 % Gruppen af organisationer indenfor finansiel og erhvervsservice samt offentlige servicevirksomheder har markeret den højeste afhængighed af it It proces-modenhed It procesmodenhed er det omfang, der er fastlagt procedurer for en række væsentlige processer i itafviklingen. Respondenterne blev bedt om at karakterisere omfanget af, hvorvidt der var indført faste procedurer for hhv. support, drift og udvikling. s. 12 af 36

13 Set i forhold til en mulig bedst score på 100 % er den gennemsnitlige itmodenhed 62, hvor gruppen med færrest ansatte placerer sig 3 % point under og gruppen med over 500 ansatte 5 % point over gennemsnittet It-modenhed Industrigrupper Alle emner ansatte ansatte ansatte +500 ansatte Betragtes it-modenheden i forhold til industrigrupper fremstår der et meget ensartet billede for alle grupper, hvor dog industrivirksomhederne ligger under gennemsnittet It-modenhed Industrigrupper Alle emner Industri Vand og energi Handel Transport Finans og erhvervsservice Offentlig servicevirksomh. s. 13 af 36

14 3. It-sikkerhedsområdets opmærksomhed For at kunne vurdere, i hvilket omfang it-sikkerhedsområdet har opmærksomhed i de undersøgte organisationer, blev respondenterne bedt om at karakterisere it-sikkerhed i forhold til hvilke årsager organisationerne har til at beskæftige sig med it-sikkerhed reference-forholdet for den it-sikkerhedsansvarlige den formelle organisering af it-sikkerhedsområdet ressourceallokering til it-sikkerhedsområdet 3.1. Organisationens begrundelse for at arbejde med it-sikkerhed Respondenterne blev bedt om at tage stilling til 6 forskellige årsager til hvorfor it-sikkerhed er et tema i den pågældende organisation. I nedenstående tabel vises angivelserne i forhold til hvor ofte den enkelte faktor er angivet. Det fremgår, at organisationerne oftest arbejder med it-sikkerhed grundet ønske om at beskytte deres it-anvendelse. Derefter følger hensynet til organisationens vækstplaner og pålæg fra revisionen. Efterfølgende kommer hensynet til kunder og leverandører. Det eksterne hensyn vækstplaner og krav fra samarbejdspartnere udgør tilsammen 33 % af årsagerne. Dårlige erfaringer ses kun at spille en minimal rolle i arbejdet med it-sikkerhed. Billedet er imidlertid ikke entydigt set i forhold til organisationernes størrelse: Revisionens rolle er vigtigere desto større organisationen er. Til gengæld udgør hensynet til vækstplaner en lidt større rolle i de mindre organisationer end i de største. Hensynet til kunder, leverandører eller andre partnere ses kun at spille en begrænset rolle for respondenterne. Størrelses Gruppe Baggrund for fokus på itsikkerhed Gns.org Organisationen ønsker at beskytte anvendelse af data, udstyr og andet it 35 % 34 % 35 % 35 % 35 % It-sikkerhed er vigtig for gennemførsel af organisationens vækstplaner 21 % 22 % 22 % 18 % 21 % Der har været store problemer med itsikkerheden (virus el.lign.) 5 % 4 % 4 % 0 % 4 % Det er pålagt af revisionen 19 % 23 % 22 % 27 % 21 % Det er et krav fra kunder, leverandøren el. anden kontakt 12 % 12 % 13 % 14 % 12 % Andre grunde 7 % 6 % 5 % 6 % 6 % 99 % 101 % 101 % 100 % 99 % s. 14 af 36

15 Der er en række forskelle mellem de forskellige industrigrupper i forhold til hvorfor organisationer beskæftiger sig med it-sikkerhed: Baggrund for fokus på itsikkerhed Industri (2) Danmarks Statistik Gruppe Energi & vand forsyning Handel (3) (5) Transport (6) Finansiel & Offentlig erhvervsservice virksomhed service (7) (8) Gns.org. Organisationen ønsker at beskytte anvendelse af data, udstyr og andet it 37 % 44 % 33 % 37 % 32 % 33 % 35 % It-sikkerhed er vigtig for gennemførsel af organisationens vækstplaner 22 % 14 % 25 % 19 % 21 % 19 % 21 % Der har været store problemer med itsikkerheden (virus el.lign.) 4 % 3 % 6 % 4 % 5 % 3 % 4 % Det er pålagt af revisionen 21 % 27 % 18 % 23 % 18 % 24 % 21 % Det er et krav fra kunder, leverandøren el. anden kontakt 9 % 8 % 10 % 15 % 15 % 17 % 12 % Andre grunde 7 % 3 % 7 % 3 % 9 % 4 % 6 % 100 % 99 % 99 % 101 % 100 % 100 % 99 % Industrivirksomheder vurderer hensynet til vækstplaner meget højt, men er til gengæld ikke underlagt større krav fra samarbejdspartnere. Energisektoren fremhæver tydeligt hensynet til beskyttelse af data og it-udstyr samt pålægget fra revisionen. Vækstplaner ses derimod at ikke at spille en større rolle. For offentlige servicevirksomheder er krav fra kunder, leverandører eller andre meget tydelig formentlig et udtryk for det statslige mål om indførelse af DS 484 i alle statslige organisationer. Handel og service fremhæver i større omfang end de øvrige grupper hensynet til organisationens vækstplaner måske et udtryk om forøget anvendelse af e-handel. s. 15 af 36

16 3.2. Organisatorisk placering For at kunne bedømme omfang og styrke af indsatsen indenfor It risk management er organisationernes allokering af ressourcer til sikkerhedsområdet og den organisatoriske placering af samme inddraget i undersøgelsen. Referenceforhold Referencen for den ansvarlige for it-sikkerhed er væsentlig og retter sig såvel mod den øverste ledelse som it-området: Der skal være tilstrækkelig opmærksomhed i den øverste ledelse på itsikkerhed, og behandlingen af it-sikkerhed bør uafhængig af forhold, der knytter til daglig it-drift. Størstedelen af de sikkerhedsansvarlige 2/3 - er i direkte reference til direktion og enkelte (3 %) direkte til bestyrelsen. Dermed har sikkerhedsområdet en direkte adgang til den øverste ledelse. Men det ses også, at det er forhold, der er stærkt afhængige af organisationernes størrelse: Der ses en tydelig tendens til jo større organisationen bliver, desto længere væk kommer den it-sikkerhedsansvarlige fra den direkte adgang til direktionen. Den større afstand til beslutningstagerne kan udgøre et problem for prioritering af sikkerhedsområdet og for behandling af sager af tværgående karakter. Hvem refererer den Størrelsesgruppe ansvarlige for informations Gns. sikkerhed til org. Anden instans 5 % 7 % 10 % 11 % 7 % Bestyrelsen 1 % 4 % 5 % 2 % 3 % Direktionen 75 % 66 % 57 % 50 % 67 % It-ansvarlig chef 19 % 23 % 29 % 36 % 23 % Hovedtotal 100 % 100 % 100 % 100 % 100 % Denne problematik bliver specielt aktuel for de organisationer, hvor reference-forholdet er direkte til den it-ansvarlige chef. Blandt 36 % af de store organisationer mod 19 % af de mindre er dette tilfældet. Der ses en række forskelle mellem hvordan de forskellige industrigrupper griber organiseringen af it-sikkerhed an: Danmarks Statistik Gruppe Finansiel & erhvervsservice (7) Energi og vandforsyning Hvem refererer den Energi & er den sektor, der i størst ansvarlige for vand omfang har angivet, at den informations- Industri forsyning Handel Transport sikkerhed til (2) (3) (5) (6) it-sikkerhedsansvarlige har direkte adgang til direktionen. Den direkte reference til den it-ansvarlige chef er mest markant i grupperne 5 til 8, hvor specielt offentlige servicevirksomheder med 30 % adskiller sig. Offentlig service virksomhed Gns. (8) org. Anden instans 11 % 0 % 5 % 5 % 8 % 5 % 7 % Bestyrelsen 2 % 0 % 3 % 0 % 4 % 3 % 3 % Direktionen 68 % 89 % 69 % 68 % 62 % 63 % 67 % It-ansvarlig chef 19 % 11 % 24 % 27 % 26 % 30 % 23 % Hovedtotal 100 % 100 % 100 % 100 % 100 % 100 % 100 % Det skal bemærkes, at den direkte reference til anden instans end direktion eller bestyrelse ikke hindrer, at den it-sikkerhedsansvarlige i særlige tilfælde kan henvende sig til den øverste ledelse. s. 16 af 36

17 Organisering og ressource-allokerering Respondenterne blev bedt om at beskrive, i hvilket omfang man har afsat ressourcer til at forestå it-sikkerhed samt hvorledes området er organiseret. Det fremgår, at der en direkte sammenhæng mellem størrelse og tilstedeværelsen af en sikkerhedsenhed: Jo større organisation, desto hyppigere er ansvaret for opgaven formaliseret i en enhed. Og, desto større organisation, jo større er tendensen til at ansvaret deles mellem flere forskellige enheder. Materialet rummer ikke mulighed for at vurdere, hvorvidt denne tendens skyldes hensyn til funktionsadskillelse mellem f.eks. teknisk it-sikkerhed og normativ it-sikkerhed. Placering af ansvaret for informationssikkerhed hos en eller flere enheder? Størrelses Gruppe Der ses en række forskelle mellem industrigrupperne i forhold til, hvordan sikkerhedsarbejdet er organiseret, idet der dog skal tages hensyn til fraværet af store organisationer i grupperne 2 til 7: Gns. Nej, vi har ikke en eller flere enheder med direkte ansvar for informationssikkerhed. 19 % 10 % 13 % 6 % 14 % Vi har en enhed, der er ansvarlig for både at fastlægge niveau, gennemføre beskyttelse samt sikre opfølgning. 63 % 69 % 63 % 51 % 63 % Ansvaret er spredt mellem to eller flere enheder. 19 % 21 % 24 % 43 % 22 % 100 % 100 % 100 % 100 % 100 % Placering af ansvaret for informationssikkerhed hos en eller flere enheder? Industri (2) Danmarks Statistik Gruppe Finansiel & erhvervsservice Transport (6) (7) Energi & vand forsyning Handel (3) (5) Offentlig service virksomhed (8) Gns. Nej, vi har ikke en eller flere enheder med direkte ansvar for informationssikkerhed. 15 % 7 % 12 % 15 % 18 % 13 % 14 % Vi har en enhed, der er ansvarlig for både at fastlægge niveau, gennemføre beskyttelse samt sikre opfølgning. 67 % 38 % 68 % 65 % 74 % 52 % 63 % Ansvaret er spredt mellem to eller flere enheder. 17 % 55 % 20 % 21 % 8 % 35 % 22 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % Tilstedeværelsen af en sikkerhedsenhed, herunder også spredningen på flere enheder, ses mest markant i Energisektoren, hvor der er større spredning på flere enheder end i de øvrige industrigrupper. Herefter følger gruppen af offentlige servicevirksomheder, hvor 35 % har spredt s. 17 af 36

18 ansvaret på flere enheder. De øvrige industrigrupper tenderer hyppigere til at samle ansvaret i en sikkerhedsorganisation, hvor gruppen af finansielle og erhvervsservice virksomheder er mest markant med 74 %. Denne gruppe har også det højeste fravær af en sikkerhedsorganisation. I allokeringen af interne ressourcer til sikkerhedsområdet ses en tydelig og, ikke overraskende, tendens til, at jo større organisationen er, desto hyppigere har man allokeret egentlige stillinger til sikkerhedsområdet. s. 18 af 36

19 Det bemærkes, at næsten alle respondenter angiver at have allokeret ressourcer i form af fuldtidsstillinger til it-sikkerhedsområdet kun i gns. 5 % er dette ikke tilfældet. Der er stor grad af sammenfald mellem ressourceallokeringen i de tre mindste størrelsesgrupper. Der er en tydelig forskel mellem de næststørste organisationer og så gruppen af de største organisationer i forhold til, hvor mange stillinger, der allokeres til sikkerhedsarbejde. Gruppen af organisationer op til 499 ansatte udviser større grad af overensstemmelse med de mindre organisationer end de større. Størrelses Gruppe Antal itsik.medarb Gns org. 0 7 % 5 % 4 % 2 % 5 % % 56 % 56 % 43 % 53 % % 31 % 31 % 39 % 32 % % 5 % 5 % 7 % 5 % 11-4 % 4 % 5 % 9 % 4 % 100 % 100 % 100 % 100 % 100 % Ressourceallokeringen til sikkerhedsområdet på tværs af industrigrupperne viser i forhold til de gennemsnitlige værdier enkelte bemærkelsesværdige forskelle: Antal it-sik. medarb. Industri (2) Danmarks Statistik Gruppe Energi & vand forsyning Handel (3) (5) Transport (6) Finansiel & Offentlig erhvervsservice virksomhed service (7) (8) Gns.org. 0 5 % 0 % 7 % 7 % 8 % 3 % 5 % % 39 % 55 % 41 % 59 % 53 % 53 % % 46 % 31 % 39 % 26 % 35 % 32 % % 0 % 5 % 10 % 4 % 5 % 5 % 11-5 % 14 % 2 % 2 % 3 % 4 % 4 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % Organisationerne i Forsyningssektoren har alle allokeret personale til it-sikkerhed og i et større omfang end de øvrige grupper. Fremstillingsvirksomheder, handel, transport og specielt gruppen med erhvervs- og finansielservice er de grupper, hvor der i mindst omfang er ansat it-sikkerhedspersonale. s. 19 af 36

20 4. Konsekvensvurderinger Respondenterne blev anmodet om at vurdere, indenfor hvilke områder trusler ville kunne få størst betydning for hhv. informationsaktivernes tilgængelighed, fortrolighed og integritet. Samtidig blev man bedt om at vurdere i hvilket omfang, organisationerne havde etableret tilstrækkelig beskyttelse mod de pågældende trusselsområder. Endelig blev man bedt om at vurdere, hvorvidt der for de pågældende trusselsområder var fastlagt et ejerskab i organisationen. Trusselskategorierne omfatter: Internt personale/medarbejdere Eksterne personer Fejl v. informationsaktiver (hardware og softwarefejl) Makroforhold Respondenterne blev ikke bedt om at vurdere sandsynligheden af, hvorvidt en given trussel bliver til virkelighed eller i hvilket omfang organisationerne har oplevet problemer indenfor de pågældende trusselskategorier Samlet vurdering. Af nedenstående figur fremgår for hvert af de 4 trusselsområder, i hvilket omfang konsekvenserne af et sikkerhedsbrist kan få alvorlige konsekvenser i forhold til tilgængelighed, fortrolighed og integritet. Over 50 % af respondenterne vurderer, at det interne personales adfærd kan have alvorlige konsekvenser for fortroligheden og tilsvarende vurderer over 40 %, at det kan have alvorlige konsekvenser for integriteten. 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Internt personale Konsekvensvurdering - samlet Eksterne personer Fejl v. informationsaktiver Makroforhold Tilgængelighed Fortrolighed Integritet Over 50 % af respondenterne vurderer, at eksterne personers adfærd kan få alvorlige problemer for tilgængeligheden af informationsaktiver, medens konsekvenserne for hhv. fortrolighed og integritet vurderes lidt lavere. s. 20 af 36

21 For fejl ved informationsaktiverne vurderes konsekvenserne at være størst for tilgængeligheden, medens fortrolighed og integritet vurderes noget lavere. Noget tilsvarende gør sig gældende for makroforhold, hvor tilgængeligheden markant vurderes som det område, hvor uheld kan få størst konsekvens Ejerskab i forhold til trusler For hver af de angivne trusselskategorier blev respondenterne anmodet om at karakterisere ejerskabet: Det fremgår, at der er betydelig forskel mellem forholdet til trusler afhængig af organisationens størrelse; desto større organisation desto højere grad af organisatorisk opmærksomhed. Det fremgår af tabellen, at det specielt er de tre mindste organisationskategorier, hvor der ikke er taget stilling til hvem der er ansvarlig for at adressere risici; omkring 50 % af de mindre organisationer har ikke taget aktiv stilling til trusler. Til gengæld bemærkes også, at blandt de største organisationer har 76 % taget stilling til truslerne med efterfølgende placering af ansvar. Det efterlader dog 24 %, hvor det ikke har fundet sted og sammen med de øvrige størrelsesgrupper er der i alt 50 % af organisationerne, hvor en organisatorisk forankring ikke finder sted. Endelig bør forskellen mellem de næststørste og største organisationer i forhold til behandling af trusler mod it-afviklingen bemærkes; organisationerne i den næststørste gruppe ligner på dette område mere de mindre organisationer end organisationerne i den største gruppe. Vurderes organisationernes stillingtagen til trusler, der kan forbindes med det interne personales adfærd (medarbejdere) fremgår det, at de tre mindste organisationsstørrelser kun i begrænset omfang har taget Størrelseskategori Ejerskab i forhold til det samlede trusselsbillede Gns. org. Truslen er ikke drøftet 24 % 17 % 14 % 13 % 20 % Truslen er drøftet 28 % 39 % 34 % 11 % 30 % Truslen er drøftet og ansvaret er organisatorisk placeret 49 % 44 % 52 % 76 % 50 % 100 % 100 % 100 % 100 % 100 % Størrelses Gruppe Trusler stammende fra internt personale Gns. org. Truslen er ikke drøftet 31 % 21 % 20 % 16 % 25 % Truslen er drøftet 30 % 39 % 39 % 16 % 33 % Truslen er drøftet og ansvaret er organisatorisk placeret 39 % 40 % 40 % 68 % 42 % Hovedtotal 100 % 100 % 100 % 100 % 100 % stilling til og allokeret ansvar. Hos organisationerne i den største kategori har 68 % placeret et ejerskab. s. 21 af 36

22 Et tilsvarende billede som for eksterne personer ses ved trusler, der stammer fra fejl ved it-aktiver. Men der må dog konstateres en mindre forankring for truslen hos de store organisationer (75 % mod 82 %). For trusler, der stammer fra forhold udenfor organisationernes kontrol, er de gns. værdier på samme niveau som de foregående trusselstyper. For de to mindste størrelsesgrupper bemærkes det, at i under 50 % af tilfældene har man allokeret ansvar for makrotrusler. De mindre organisationer er i Størrelses Gruppe højere grad opmærksomme på Trusler stammende fra Gns. trusler, der kan forbindes med eksterne personer end trusler der har forbindelse med eksterne personer Truslen er ikke drøftet Truslen er drøftet % 26 % % 39 % % 36 % % 5 % org. 18 % 29 % medarbejderes adfærd. Der er Truslen er drøftet og ansvaret er organisatorisk placeret 53 % 45 % 51 % 82 % 53 % en meget markant forskel Hovedtotal 100 % 100 % 100 % 100 % 100 % mellem organisationerne i den største gruppe hvor 82 % har placeret et ansvar og så de øvrige grupper. Trusler if. fejl i Størrelses Gruppe informationsaktiver (hardware/software) Gns. org. Truslen er ikke drøftet 21 % 14 % 12 % 11 % 17 % Truslen er drøftet 26 % 36 % 32 % 14 % 29 % Truslen er drøftet og ansvaret er organisatorisk placeret 53 % 50 % 56 % 75 % 54 % Hovedtotal 100 % 100 % 100 % 100 % 100 % Trusler udenfor organisationens kontrol (makroforhold) Størrelses Gruppe Internt ejerskab: Gns. org. Truslen er ikke drøftet 23 % 18 % 12 % 11 % 19 % Truslen er drøftet 29 % 40 % 29 % 9 % 30 % Truslen er drøftet og ansvaret er organisatorisk placeret 49 % 42 % 60 % 80 % 51 % Hovedtotal 100 % 100 % 100 % 100 % 100 % For de 4 trusselskategorier bemærkes det, at trusler stammende fra medarbejderne i væsentlig mindre omfang har fundet en organisatorisk opmærksomhed end de 3 øvrige kategorier. Det gælder både om der er taget stilling til truslen, og hvorvidt man har fastlagt et organisatorisk ansvar for at behandle denne. s. 22 af 36

23 4.3. Konsekvensvurdering - tilgængelighed, fortrolighed, integritet Vurderes de tre konsekvensområder tilgængelighed, fortrolighed og integritet i forhold til hvorvidt der er etableret beskyttelse på de fire trusselsområder hvor konsekvenserne er størst, fremkommer nedenstående billede: Truslerne mod it-aktivers tilgængelighed vurderes af respondenterne til at være størst fra eksterne personer og fra makroforhold; respondenterne angiver også at have indført beskyttelse mod disse forhold. Til gengæld udtrykker lidt under en femtedel af organisationerne, at der for fejl ved informationsaktiver ikke er tilstrækkelige beskyttelse. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Tilgængelighed respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold For trusler med betydning for fortroligheden, vurderer mange af organisationerne, at specielt internt personale og eksterne personer kunne forårsage problemer med store konsekvenser. De fleste vurderer, at der er tilstrækkelig beskyttelse mod trusler fra eksterne personer. Omkring en tredjedel vurderer, at man ikke er beskyttet mod det interne personales adfærd. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Fortrolighed respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold Respondenterne vurderer ikke, at fejl fra de 4 trusselstyper kan få så store konsekvenser for integritet som for fortroligheden eller tilgængelighed. I stort omfang mener organisationerne at være beskyttet mod disse trusler. De største trusler mod integriteten vurderes at komme fra internt personale eller eksterne personer. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Integritet respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold s. 23 af 36

24 5. It-sikkerhedsindsatser I undersøgelsen er det valgt at karakterisere graden af risikostyring eller It risk management i forhold til henholdsvis den praksis der er for opmærksomhed på risici, dels i forhold til i hvilket omfang man har struktureret indsatsen mod risici. Endelig er det valgt at medtage et af indsatsområderne, sikkerhedskulturen, i vurderingen af organisationernes It risk management. De tre områder er således: 1. It risk management praksis 2. Struktureringen af it-sikkerhed 3. Sikkerhedskulturen i organisationen For hvert af områderne opstilles der en niveau-vurdering for det samlede område med udgangspunkt i en skala RIF -, der viser omfanget af henholdsvis formaliserede krav (R), implementering (I) og ledelsesmæssig forankring (F) Hvor punkterne 1 og 2 er af mere generel karakter for sikkerhedsindsatsen er sikkerhedskulturen medtaget, da den i stadigt stigende omfang udgør et særligt fokusområde indenfor it-sikkerhed It risk Management It risk management praksis blandt de deltagende organisationer er vurderet i forhold til hvorvidt respondenterne har en formaliseret og kontinuerlig proces for følgende områder: Formelle procedurer for behandling af risici knyttet til it-anvendelsen Vurdering af risici når der indføres it Identifikation og dokumentation af kritiske forretningsprocesser Identifikation og dokumentation af kritiske informationsaktiver Opfølgning på hændelser, der har hindret eller forsinket IT-processer Revurdering af risikobilledet ved større ændringer i organisering, it-anvendelse el. lign. I forhold til en maksimal score på 100 viser det samlede resultat for respondenternes praksis for It risk management en formaliseringsgrad af krav på 66. Implementeringsgraden er noget lavere på 47 og forankringen omkring It- risk management Retningslinie Implementering Forankring s. 24 af 36

25 Noget tyder på, at it rísk management ikke har tilstrækkelig opmærksomhed i ledelsen til, at de ønskede tiltag kan gennemføres Det samlede resultat indikerer, at ledelsens engagement er afgørende for indførelse af allerede fastlagte procedurer. Betragtes it risk management praksis i forhold til organisationernes størrelse fremgår det, at der er en tydelig sammenhæng mellem RIF Risk Management størrelsesgrupper organisationens størrelse og dens RIF tal; jo større organisationen jo højere tal. Men RIF tallene indikerer en anden tendens, idet 80 afstanden mellem R, dvs. de formaliserede krav og IF dvs. implementering og forankring øges med organisationens størrelse. Dette 30 indikerer, at de større organisationer har vanskeligt ved at fastholde fokus og ledelsens 0 engagement indenfor området It risk management ansatte ansatte ansatte +500 ansatte R I F Det skal bemærkes, at niveauet generelt er højt blandt de største organisationer. Set i forhold til industrigrupper (med forbehold for repræsentativitet) udviser fremstillingsvirksomhederne det markant laveste fokus på risikostyring af itanvendelsen. Den bedst placerede industrigruppe er forsyningsvirksomhed, der til gengæld har en forskel på ca. 30 procentpoints mellem krav og forankring. Indenfor såvel transportgruppen som gruppen af offentlige virksomheder er der store forskelle mellem krav og forankring. Gruppen med Finansiel og erhvervsservice har den mindste forskel mellem krav, implementeringsniveau og understøttelse fra ledelsen Industri RIF Risk management industrigrupper Energi og vandforsyning Handel og service Transport Finansiel og erhv. Off. Servicevirksomhed R I F Det fremgår endvidere, at når formaliseringen af krav når et niveau over 60, har man tilsyneladende svært ved at fastholde implementering og understøttelse fra ledelsen. Effekten af sikkerhedsarbejdet ser således ikke ud til at øges med graden af beskrivelse. s. 25 af 36

26 5.2. Organisering af sikkerhedsarbejde Der er generel enighed om, at indførelse af effektive og konsistente sikkerhedsforanstaltninger i en organisation forudsætter en organisering af sikkerhedsarbejdet, der rækker udover it-afdelingen eller it-sikkerhedsorganisationen. Ansvar, roller og opgaver i sikkerhedsarbejdet bør defineres og dokumenteres, så det kan fastholde et samarbejde mellem alle dele af organisationen. I undersøgelsen af de responderende organisationers formelle sikkerhedsstyring er der lagt vægt på følgende områder: Organisering af it-sikkerhed i et system, der beskriver roller, ansvar og opgaver Nedsættelsen af et udvalg i organisationen til behandling af it-sikkerhedsmæssige spørgsmål Sammenfatning og formalisering af krav til it-sikkerhed i en it-sikkerhedspolitik Den systematiske revision af it-sikkerhedspolitikken for at sikre relevans og effektivitet Konkretisering af sikkerhedspolitikkens bestemmelser i retningslinier el.lign. Den systematiske opfølgning på retningsliniernes overholdelse Den samlede RIF vurdering for sikkerhedsstyring viser et formaliseringsniveau på 50, en indførelse på 48 og en forankring i ledelsen på 45. Det viser en lav grad af såvel formalisering, indførelse og opmærksomhed på de formelle processer for styring af sikkerhed. Den manglende ledelsesmæssige opbakning har tilsyneladende betydning for indførelsen af det nødvendige formelle styringsgrundlag Sikkerhedsstyring i praksis Retningslinie Implementering Forankring De samlede tal viser, at omkring halvdelen af de adspurgte organisationer har formelle krav og processer for styring af it-sikkerhed og har indført disse foranstaltninger i praksis. Spørgsmålet er, hvorvidt der er tale om en generel lav opmærksomhed på området eller den stammer fra specifikke organisationstyper og grupper. s. 26 af 36

27 Fordeles RIF tallene på organisationsstørrelser, fremstår gruppen af organisationer med mere end 500 ansatte som den markant bedst placerede. Tilsvarende RIF tallene for risk management, er der tydelig forskel på de formelle krav til styring og ledelsens opbakning af samme. De to grupper af mellemstore organisationer ligger meget ens; specielt for gruppen op til 500 ansatte indikerer RIF tallene at der på formalisering af kravene til sikkerhed er stor forskel til niveauet i større organisationer. For de mindste organisationer i respondentgruppen må der konstateres et ensartet og meget lavt niveau for sikkerhedsstyring på omkring 40. RIF tallene for sikkerhedsstyring i de enkelte industrigrupper udviser tydelige forskelle: Energi og forsyningssektoren ligger højt placeret i forhold til øvrige grupper og med en begrænset forskel mellem krav og implementering/forankring. Fremstillingsvirksomheder ligger lavest sammen med handel og service, samt transportsektoren. Gruppen af offentlige servicevirksomheder følger tættest på energisektoren, men udviser samtidigt en tydelig forskel på formalisering af krav og ledelsens opbakning. Gruppen med finansielle virksomheder og virksomheder, der yder erhvervsservice, adskiller sig sammen med handel og service ved, at forankringen i ledelsen samt implementeringen er på niveau med formalisering af krav og politikker RIF Sikkerhedsstyring ansatte ansatte ansatte +500 ansatte Industri RIF Sikkerhedsstyring industrigrupper Energi og vandforsyning Handel og service Transport Finansiel og erhv. Off. Servicevirksomhed R I F R I F Formalisering Bag de anførte RIF tal ligger en række spørgsmål til detail-områder. I det følgende vises de enkelte tal for hhv. nedsættelse af sikkerhedsudvalg, for indførelse af sikkerhedspolitikker og dennes uddybning i mere detaljerede retningslinier, samt for kontrol af politikker og retningsliniers overholdelse. Bag RIF tallene for sikkerhedsstyring gemmer sig følgende tal for de deltagende organisationer for, i hvilken grad der er indført og vedligeholdt en formel sikkerhedsstyring: s. 27 af 36

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

ANALYSE AF OPBAKNING TIL NY HÆRVEJSMOTORVEJ

ANALYSE AF OPBAKNING TIL NY HÆRVEJSMOTORVEJ ANALYSE AF OPBAKNING TIL NY HÆRVEJSMOTORVEJ Side 1 Udgivelsesdato : Februar 2015 Udarbejdet : René Fåborg Kristensen, Muhamed Jamil Eid Kontrolleret : Brian Gardner Mogensen Side 2 INDHOLDSFORTEGNELSE

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Undersøgelse af frivillighed på danske folkebiblioteker

Undersøgelse af frivillighed på danske folkebiblioteker Undersøgelse af frivillighed på danske folkebiblioteker Indholdsfortegnelse 1 FRIVILLIGHED PÅ DE DANSKE FOLKEBIBLIOTEKER... 3 1.1 SAMMENFATNING AF UNDERSØGELSENS RESULTATER... 3 1.2 HVOR MANGE FRIVILLIGE

Læs mere

E-mailens emnefelt: Hvordan udvikler I jeres arbejdsplads?

E-mailens emnefelt: Hvordan udvikler I jeres arbejdsplads? E-mailens emnefelt: Hvordan udvikler I jeres arbejdsplads? Kære «attnavn» Center for Offentlig Innovation er ved at udvikle verdens første statistik om offentlig innovation sammen med Danmarks Statistik

Læs mere

Fokus på forsyning Investeringer, takster og lån

Fokus på forsyning Investeringer, takster og lån Fokus på forsyning SPERA har tidligere set på spildevandsselskabernes investeringer og låntagning. Gennemgang af de seneste data viser stigende tendenser: Det gennemsnitlige selskab har investeret for

Læs mere

Derfor mister danske virksomheder penge på deres ERP-opgradering

Derfor mister danske virksomheder penge på deres ERP-opgradering Derfor mister danske virksomheder penge på deres ERP-opgradering Værdien når ikke længere end til IT-afdelingen ANALYSE RP OVERBLIK Analysens konklusioner... side 3 Baggrund for analysen... side 4 5 nøglefaktorer

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen

Læs mere

enige i, at de samarbejder godt med kollegerne, men samtidig

enige i, at de samarbejder godt med kollegerne, men samtidig 5. SAMARBEJDE, INDFLYDELSE OG ORGANISERING I dette afsnit beskrives, hvordan samarbejdet om arbejdsmiljøarbejdet mellem sikkerhedsrepræsentanten på den ene side og arbejdsleder, tillidsrepræsentant og

Læs mere

Efteråret 2014. Undersøgelse af borgertilfredsheden på Jobcenter Rebild

Efteråret 2014. Undersøgelse af borgertilfredsheden på Jobcenter Rebild Efteråret 2014 Undersøgelse af borgertilfredsheden på Jobcenter Rebild Indholdsfortegnelse 1. Rapport Borgertilfredshedsundersøgelse Jobcenter Rebild... 3 1.1 - Kort om undersøgelsen... 3 1.2 - Formål...

Læs mere

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur?

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur? Sikkerhedskultur Hvordan går det med sikkerheden? Virksomheder er i stigende grad udsatte og sårbare over for såvel eksterne som interne sikkerhedstrusler. Truslerne kan være rettet mod mennesker, it-systemer,

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Lederudvikling betaler sig i Region Midtjylland

Lederudvikling betaler sig i Region Midtjylland 31. maj 2008 Lederudvikling betaler sig i Region Midtjylland Ledelsesudvikling. Lidt under halvdelen af de små og mellemstore virksomheder i Region Midtjylland arbejder bevidst med ledelsesudvikling. 8

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Notat vedr. virksomhedernes brug af fleksjob mv.

Notat vedr. virksomhedernes brug af fleksjob mv. SOCIALFORSKNINGSINSTITUTTET august 18, 1999 Notat vedr. virksomhedernes brug af fleksjob mv. Hanne Weise 1. Indledning I dette notat vil det blive belyst, hvad der kendetegner virksomheder, som ansætter

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Region Midtjylland i en international verden

Region Midtjylland i en international verden 20. februar 2008 Region Midtjylland i en international verden Engelsk som hovedsprog i virksomhederne, industrier, der flytter til Asien, virksomheder, der vinder markeder i udlandet. Små og mellemstore

Læs mere

Væksthus Midtjylland Profilanalyse 2015

Væksthus Midtjylland Profilanalyse 2015 Væksthus Midtjylland Profilanalyse 2015 Analyse af brugerne af den lokale og specialiserede erhvervsvejledning i Region Midtjylland Indholdsfortegnelse Forord... 3 Kapitel 1: Hovedresultater fra Profilanalyse

Læs mere

Ansøgningsskema til DDV s vedligeholdspris 2015

Ansøgningsskema til DDV s vedligeholdspris 2015 Nedenstående skema bedes udfyldt med flest mulige oplysninger, således at en bedømmelse vil kunne træffes efter de mest optimale forudsætninger for bedømmelseskomiteen. Skemaet består af 8 kriterier. Ved

Læs mere

Kodeks for god offentlig topledelse Survey blandt kommunaldirektørerne,

Kodeks for god offentlig topledelse Survey blandt kommunaldirektørerne, Kodeks for god offentlig topledelse Survey blandt kommunaldirektørerne, januar 2007 København, januar 2007 KL s Konsulentvirksomhed Center for Ledelse og Organisation www.kl.dk/kodekssurvey07 Survey blandt

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

I denne rapport kan du se, hvordan du har vurderet dig selv i forhold til de tre kategoriserede hovedområder:

I denne rapport kan du se, hvordan du har vurderet dig selv i forhold til de tre kategoriserede hovedområder: - Mannaz Ledertest Dette er din individuelle rapport, som er baseret på dine svar i ledertesten. I rapporten får du svar på, hvilke ledelsesmæssige udfordringer der er de største for dig. Og du får tilmed

Læs mere

Til kamp for øget produktivitet

Til kamp for øget produktivitet 14. marts 2012 Til kamp for øget produktivitet Produktivitet. 83 procent af de små og mellemstore virksomheder i Region Midtjylland har fokus på, at forbedret produktivitet kan øge deres indtjening. I

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Faktaark: Studiejob. De væsentligste resultater fra undersøgelsen er:

Faktaark: Studiejob. De væsentligste resultater fra undersøgelsen er: Faktaark: Studiejob Dette faktaark omhandler studiejobs blandt Djøf Studerendes medlemmer, herunder tidsforbrug, faglig relevans og forskelle mellem bachelor og kandidatstuderende. Resultaterne stammer

Læs mere

Bloknavn Beskrivelse af blok/modul Variabelnavn Spørgsmålstekst Svarkategorier Spm1=1 { Filter } Bemærkning

Bloknavn Beskrivelse af blok/modul Variabelnavn Spørgsmålstekst Svarkategorier Spm1=1 { Filter } Bemærkning Offentlig Innovation Der oprettes én tabel for hvert emne i spørgeskemaet. Hver tabel indeholder 6 kolonner: Variabelnavn Spørgsmålstekst Svarkategorier Filter-instruktion Evt. bemærkninger til spørgsmålet.

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

It-sikkerhed i danske virksomheder

It-sikkerhed i danske virksomheder It-sikkerhed i danske virksomheder Rundspørge blandt it-chefer, it-sikkerhedsansvarlige og ledere DANSK IT har gennemført en rundspørge blandt danske it-chefer, it-sikkerhedschefer og ledere for at finde

Læs mere

Hver femte virksomhed i Region Midtjylland bruger vikarbureau

Hver femte virksomhed i Region Midtjylland bruger vikarbureau 10. juni 2008 Hver femte virksomhed i Region Midtjylland bruger vikarbureau Vikarbureauer. Hver femte virksomhed i Region Midtjylland anvendte vikarbureauer til kortvarige og afgrænsede opgaver i 2007.

Læs mere

Kundeanalyse. blandt 1000 grønlandske husstande

Kundeanalyse. blandt 1000 grønlandske husstande Kundeanalyse 2012 blandt 1000 grønlandske husstande Udarbejdet af Tele-Mark A/S Carl Blochs Gade 37 8000 Århus C Partner: Allan Falch November 2012 1 Indholdsfortegnelse 1. Indledning... 3 1.1 Formålet

Læs mere

Skoleevaluering af 20 skoler

Skoleevaluering af 20 skoler Skoleevaluering af 20 skoler Epinion A/S 30. oktober 2006 Indholdsfortegnelse 1 Indledning og metode...3 1.1 Formål med skoleevalueringen...3 1.2 Metoden...3 1.3 Svarprocent...4 1.4 Opbygning...4 2 Sammenfatning...5

Læs mere

Værktøj til selvanalyse af visitationsproce s- sen på det specialiserede socialområde for børn og for voksne

Værktøj til selvanalyse af visitationsproce s- sen på det specialiserede socialområde for børn og for voksne Januar 2011 Værktøj til selvanalyse af visitationsproce s- sen på det specialiserede socialområde for børn og for voksne KL har udviklet et værktøj til selvanalyse af visitationsprocessen på børnefamilieområdet

Læs mere

Tabel 2.1. Sikkerhedsrepræsentanter og beskæftigede på organisation

Tabel 2.1. Sikkerhedsrepræsentanter og beskæftigede på organisation 2. HVEM ER SIKKERHEDSREPRÆSENTAN- TERNE I dette afsnit gives en kort beskrivelse af de sikkerhedsrepræsentanter, der har deltaget i FTF s undersøgelse af sikkerhedsorganisationen. Der beskrives en række

Læs mere

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Sundhedsstyrelsen Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Konklusion og anbefalinger September 2009 Sundhedsstyrelsen Evaluering af

Læs mere

Vejledning til resultatrapportering

Vejledning til resultatrapportering Vejledning til resultatrapportering Rammeorganisationernes resultatberetning skal opfylde minimumskravene som beskrevet i de administrative retningslinjers afsnit 6.II. Vejledningen er en kvalificering

Læs mere

3. Notat om elevstøtte og skoleøkonomi Indledning. 2. Prisudvikling på efterskoler NOTAT. Bilagsnr Specialkonsulent Mette Hjort-Madsen

3. Notat om elevstøtte og skoleøkonomi Indledning. 2. Prisudvikling på efterskoler NOTAT. Bilagsnr Specialkonsulent Mette Hjort-Madsen 3. Notat om elevstøtte og skoleøkonomi 2016 NOTAT 23. marts 2017 Bilagsnr Forfatter Specialkonsulent Mette Hjort-Madsen 1. Indledning Efterskoleforeningen undersøger hvert år udviklingen i efterskolernes

Læs mere

enige i, at der er et godt psykisk arbejdsmiljø. For begge enige i, at arbejdsmiljøet er godt. Hovedparten af sikkerhedsrepræsentanterne

enige i, at der er et godt psykisk arbejdsmiljø. For begge enige i, at arbejdsmiljøet er godt. Hovedparten af sikkerhedsrepræsentanterne 3. ARBEJDSMILJØET OG ARBEJDSMILJØARBEJDET I dette afsnit beskrives arbejdsmiljøet og arbejdsmiljøarbejdet på de fem FTF-områder. Desuden beskrives resultaterne af arbejdsmiljøarbejdet, og det undersøges

Læs mere

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act) Agenda AGENDA & Siscon Indledning Konsekvensanalyse (Plan) Omfang Parametre Konsekvensanalyse (Do) Forberedelse Gennemførelse Konsekvensanalyse (Check) Fremlæggelse Konsekvensanalyse (Act) Iværksæt tiltag

Læs mere

it-lounge Udvalgte områder fra IT i praksis 2006 Januar 2007 Projektleder, konsulent Jacob Fink

it-lounge Udvalgte områder fra IT i praksis 2006 Januar 2007 Projektleder, konsulent Jacob Fink it-lounge Udvalgte områder fra IT i praksis 2006 Januar 2007 Projektleder, konsulent Jacob Fink IT i praksis -pilotpanelet Private virksomheder Agenda Resultater og best practices It i forretningsudvikling

Læs mere

UNDERSØGELSE OM CIRKULÆR ØKONOMI

UNDERSØGELSE OM CIRKULÆR ØKONOMI UNDERSØGELSE OM CIRKULÆR ØKONOMI Hill & Knowlton for Ekokem Rapport August 2016 SUMMARY Lavt kendskab, men stor interesse Det uhjulpede kendskab det vil sige andelen der kender til cirkulær økonomi uden

Læs mere

Virksomhedens salgspipeline. Business Danmark november 2009 BD272

Virksomhedens salgspipeline. Business Danmark november 2009 BD272 Virksomhedens salgspipeline Business Danmark november 2009 BD272 Indholdsfortegnelse Indledning... 2 Rapportens opbygning... 2 Hovedkonklusioner... 3 Metode og validitet... 3 Salgs- og marketingafdelingernes

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Beskæftigelsesundersøgelse for markedsføringsøkonomer. Årgang 2006-2008 pr. 1. august 2009

Beskæftigelsesundersøgelse for markedsføringsøkonomer. Årgang 2006-2008 pr. 1. august 2009 Beskæftigelsesundersøgelse for markedsføringsøkonomer Årgang 06-08 pr. 1. august 0 Udarbejdet af Gitte Damgaard, Erhvervsakademi Århus, Oktober 0 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning...

Læs mere

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi? Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret

Læs mere

Arbejdsskadestatistik 1. kvartal 2012. Personale / HR

Arbejdsskadestatistik 1. kvartal 2012. Personale / HR Arbejdsskadestatistik 1. kvartal 212 Personale / HR 14 12 1 8 6 4 2 29 21 211 212 Indledning Hermed foreligger arbejdsskadestatistikken efter første kvartal i 212. Statistikken indeholder kun arbejdspladser

Læs mere

INNOVATION SKABER VÆRDI I FORM AF...

INNOVATION SKABER VÆRDI I FORM AF... INNOVATION SKABER VÆRDI I FORM AF... 70% Højere kvalitet af innovationerne i den offentlige sektor 50% Tilfredse medarbejdere af innovationerne i den offentlige sektor 46% Effektivitet af innovationerne i

Læs mere

Vejledning til Lederudviklingssamtalen (LUS)

Vejledning til Lederudviklingssamtalen (LUS) Vejledning til Lederudviklingssamtalen (LUS) I denne vejledning er proceduren for LUS i UCL beskrevet. Vejledningen suppleres af en brugervejledning til systemet Medarbejderplan 1, samt et afsnit i IT-politikken

Læs mere

RAPPORT. Frederikssund Kommunes hjemmepleje. Brugertilfredshedsundersøgelse 2015

RAPPORT. Frederikssund Kommunes hjemmepleje. Brugertilfredshedsundersøgelse 2015 RAPPORT Frederikssund Kommunes hjemmepleje Brugertilfredshedsundersøgelse 2015 Foto: Kenneth Jensen 2/22 Indholdsfortegnelse Indledning... 4 Sammenfatning... 5 Metode... 6 Spørgeskemaet... 7 Svarprocenter

Læs mere

4 ud af 10 virksomheder mangler strategi for sikring af kompetencer

4 ud af 10 virksomheder mangler strategi for sikring af kompetencer 13. december 2010 4 ud af 10 virksomheder mangler strategi for sikring af kompetencer Strategisk kompetenceudvikling i virksomheden. 44 procent af de små og mellemstore virksomheder har ikke en strategi

Læs mere

Digitaliseringsstrategi 2011-2015

Digitaliseringsstrategi 2011-2015 Digitaliseringsstrategi 2011-2015 Dokumentnr.: 727-2011-34784 side 1 Dokumentnr.: 727-2011-34784 side 2 Resume: Digitaliseringsstrategien for Odder Kommune 2011-2015 er en revidering af Odder Kommunes

Læs mere

KANALSTRATEGI Fredensborg Kommune 2012-2015 1

KANALSTRATEGI Fredensborg Kommune 2012-2015 1 KANALSTRATEGI Fredensborg Kommune 2012-2015 1 1. Formål og baggrund Fredensborg Kommunes kanalstrategi er en tværgående strategi, der angiver målsætninger for, hvilke kanaler 1 vi benytter og hvordan vi

Læs mere

Go Morgenmøde Onboarding

Go Morgenmøde Onboarding Go Morgenmøde Onboarding Dagens program Velkommen hvorfor disse morgenmøder Tanker om dagens tema Fra nyansat til kompetent bidragyder Pause Inspiration til det videre arbejde i egen organisation Opsamling

Læs mere

Distanceledelse Lederne September 2015

Distanceledelse  Lederne September 2015 Distanceledelse Lederne September 15 ndledning Undersøgelsen belyser: Hvor mange ledere der har distanceledelsesansvar Overordnet karakteristik af ledere med distanceledelsesansvar De ledelsesmæssige udfordringer

Læs mere

Undersøgelse af tilrettelæggelsen, indholdet og kvaliteten i den vedligeholdende træning i kommunerne.

Undersøgelse af tilrettelæggelsen, indholdet og kvaliteten i den vedligeholdende træning i kommunerne. Undersøgelse af tilrettelæggelsen, indholdet og kvaliteten i den vedligeholdende træning i kommunerne. En undersøgelse foretaget af MEGAFON for Ergoterapeutforeningen, Danske Fysioterapeuter og Ældre Sagen

Læs mere

Sagstal i kommunale forvaltninger. Undersøgelse af socialrådgivernes sagstal i kommunale forvaltninger 2013

Sagstal i kommunale forvaltninger. Undersøgelse af socialrådgivernes sagstal i kommunale forvaltninger 2013 Sagstal i kommunale forvaltninger Undersøgelse af socialrådgivernes sagstal i kommunale forvaltninger 2013 November 2013 Undersøgelse af socialrådgivernes sagstal i kommunale forvaltninger, november 2013

Læs mere

Notat. Revideret notat om vurdering af institutionernes kvalitetssikringssystemer

Notat. Revideret notat om vurdering af institutionernes kvalitetssikringssystemer Notat Revideret notat om vurdering af institutionernes kvalitetssikringssystemer Det oprindelige notat blev udarbejdet på baggrund af Akkrediteringsrådets drøftelser på møderne 9. april 2014 og 20. juni

Læs mere

Forretningsplanen hjælper væksten i ambitiøse virksomheder

Forretningsplanen hjælper væksten i ambitiøse virksomheder 15. oktober 2011 Forretningsplanen hjælper væksten i ambitiøse virksomheder Forretningsplanen. Hver anden virksomhed i regionen har en nedskrevet forretningsplan, som beskriver alle aspekter af virksomheden.

Læs mere

Udviklingsmuligheder for små og mellemstore virksomheder i Region Midtjylland

Udviklingsmuligheder for små og mellemstore virksomheder i Region Midtjylland 25. marts 2008 Udviklingsmuligheder for små og mellemstore virksomheder i Region Midtjylland Næsten en ud af ti er utilfreds med udviklingsmulighederne hvor de bor Nogle virksomheder mangler arbejdskraft,

Læs mere

Stigning i virksomhedernes produktudvikling i Region Midtjylland

Stigning i virksomhedernes produktudvikling i Region Midtjylland 10. juni 2008 Stigning i virksomhedernes produktudvikling i Region Midtjylland Innovation og udvikling. Omkring to tredjedele af de små og mellemstore virksomheder i Region Midtjylland har de seneste 3

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

Bilag 1: Overblik over interviews og surveys

Bilag 1: Overblik over interviews og surveys Marts 2015 Bilag 1: Overblik over interviews og surveys Energistyrelsen Indholdsfortegnelse 1. Interview 3 2. Survey 4 Survey af energiselskaber 5 Survey af eksterne aktører 7 Survey af slutbrugere 9 2.3.1.

Læs mere

UDKAST til Beredskabspolitik for Frederiksberg Kommune

UDKAST til Beredskabspolitik for Frederiksberg Kommune Indledning Frederiksberg Kommune har ansvaret for at planlægge og drive en række samfundsvigtige opgaver både i hverdagen, og når uforudsete, større hændelser truer den fortsatte drift. Beredskabspolitikken

Læs mere

It-chefernes dagsorden 2007

It-chefernes dagsorden 2007 Marts 2007 - nr. 1 It-chefernes dagsorden 2007 Baggrund: Resume: Hvert år i begyndelsen af året, gennemfører DANSK IT en undersøgelse af, hvad der står på it-chefernes dagsorden for det kommende år. Således

Læs mere

Undersøgelse af arbejdstilrettelæggelse i dagtilbud

Undersøgelse af arbejdstilrettelæggelse i dagtilbud Emne Til Undersøgelse af arbejdstilrettelæggelse i ÅFO Side 1 af 10 Undersøgelse af arbejdstilrettelæggelse i Formålet med undersøgelsen har været at belyse bemandingen i to udvalgte : Mårslet Dagtilbud

Læs mere

Forum for Offentlig Topledelse: e-survey

Forum for Offentlig Topledelse: e-survey 1 Forum for Offentlig Topledelse: e-survey Den offentlige topleder - et billede af profil, karriere, arbejdsområder og ledelsesudfordringer E-survey en blev sendt ud til i alt 392 topledere, hvoraf 158

Læs mere

DJØF. Køn og karriere. En undersøgelse af DJØF-mænd og kvinders karriere med særligt fokus på ledelse

DJØF. Køn og karriere. En undersøgelse af DJØF-mænd og kvinders karriere med særligt fokus på ledelse DJØF Køn og karriere En undersøgelse af DJØF-mænd og kvinders karriere med særligt fokus på ledelse Indhold 1 Baggrund og resumé...3 1.1 Metode...5 1.2 Kort gennemgang af centrale variable...5 2 Ledere

Læs mere

Vejledning om risikovurdering af IT-projekter

Vejledning om risikovurdering af IT-projekter Vejledning om risikovurdering af IT-projekter 1. Indledning Gennemførelsen af IT-projekter er forbundet med risiko. Nogle risici har institutionerne selv indflydelse på. Andre risici er det ikke muligt

Læs mere

Strategiplan 2010 2013

Strategiplan 2010 2013 Strategiplan 2010 1. Kunden i centrum Fredensborg Forsyning A/S har som primær opgave at forsyne kunderne inden for vores tre områder: Vandforsyning Spildevand Affald Det gør vi gennem en teknisk kvalificeret

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Corporate Governance Anbefalinger og Finansrådets anbefalinger om god selskabsledelse og ekstern revision.

Corporate Governance Anbefalinger og Finansrådets anbefalinger om god selskabsledelse og ekstern revision. Sparekassen skal i forbindelse med indkaldelsen til repræsentantskabet forholde sig til Finansrådets anbefalinger om god selskabsledelse og ekstern revision, der knytter sig til dele af Corporate Governance

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Virksomhedernes brug af og tilfredshed med Jobnet

Virksomhedernes brug af og tilfredshed med Jobnet Virksomhedernes brug af og tilfredshed med Jobnet Capacent Epinion for Arbejdsmarkedsstyrelsen November 2008 INDHOLDSFORTEGNELSE 1 Indledning og formål... 4 1.1 Rapportens opbygning... 4 1.2 Respondentgrundlag...

Læs mere

ARBEJDSTID PÅ HOVEDERHVERV

ARBEJDSTID PÅ HOVEDERHVERV 14. december 2006 af Signe Hansen direkte tlf. 33557714 ARBEJDSTID PÅ HOVEDERHVERV 1995-2006 Der har været stigninger i arbejdstiden for lønmodtagere i samtlige erhverv fra 1995-2006. Det er erhvervene

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere