IT- og Telestyrelsen It risk management i private og offentlige organisationer i Danmark. 2006

Størrelse: px
Starte visningen fra side:

Download "IT- og Telestyrelsen It risk management i private og offentlige organisationer i Danmark. 2006"

Transkript

1 It risk management i private og offentlige organisationer i Danmark s. 1 af 36

2 Indholdsfortegnelse 1. Indledning Undersøgelsens formål og rammer Konklusioner og anbefalinger Undersøgelsens opbygning og rapportens struktur Undersøgelsens grundlag Deltagende organisationer Undersøgelsens forløb Karakteristik af it-anvendelsen Organisationernes kritiske anvendelse af it Udveksling af data med leverandører og kunder Forretningsprocessers afhængighed af it It proces-modenhed It-sikkerhedsområdets opmærksomhed Organisationens begrundelse for at arbejde med it-sikkerhed Organisatorisk placering Konsekvensvurderinger Samlet vurdering Ejerskab i forhold til trusler Konsekvensvurdering - tilgængelighed, fortrolighed, integritet It-sikkerhedsindsatser It risk Management Organisering af sikkerhedsarbejde Formalisering Medarbejdernes sikkerhedsadfærd It-sikkerhedsindsats ift. it-modenhed Brug af ekstern ekspertise Kontrol og evaluering af it-sikkerhed Viden om it-sikkerhed Outsourcing af sikkerhed s. 2 af 36

3 1. Indledning 1.1. Undersøgelsens formål og rammer Undersøgelsen over danske organisationers praksis indenfor styring af risici knyttet til itanvendelsen er udarbejdet for It & Telestyrelsen af Parkegaard & Kristensen Sikkerhed. Undersøgelsesperioden var september oktober Undersøgelsen har haft to overordnede formål: at få overblik over danske private og offentlige organisationers opmærksomhed og indsats på it-sikkerhed som en væsentlig del af en organisations risk management, og derved at fastlægge metoder, der gør det muligt at monitorere organisationernes indsats indenfor itsikkerhed i forhold til organisationernes størrelse, industritilhør m.v. Resultatet af undersøgelsen dokumenteres med indeværende rapport. Som følge af undersøgelsens perspektiv med fokus på at opsamle erfaring indenfor de to overordnede formål, har mængden af deltagende været indsnævret. Undersøgelsens talmateriale baseres således på 534 deltagende organisationer; hvilket er for snævert til at foretage analyser på delmængder af materialet. Undersøgelsesmaterialet er udarbejdet i et samarbejde mellem It & Telestyrelsen, et udvalg nedsat af Dansk Industris sikkerhedsforum ITEK, samt Parkegaard & Kristensen Sikkerhed. Undersøgelsen omfatter såvel private organisationer som offentligt ejede institutioner og organisationer, der i det følgende omfattes af fælles termen organisation Konklusioner og anbefalinger Afhængighed af it De deltagende organisationer i undersøgelsen udtrykker entydigt, at anvendelsen af informationsteknologi har afgørende betydning for såvel kommunikation med omverdenen, de administrative funktioner såvel som de væsentlige forretningsprocesser.. Stort set alle organisationer vurderer, at de administrative funktioner i afgørende grad er afhængige af it. I forhold til kommunikation med kunder og leverandører anses for at have en væsentlig større betydning end andre former for it-understøttet kommunikation. De processer, som organisationerne i størst omfang er afhængige af forretnings- eller kerneprocesserne, har en afhængighed af it, der stiger med organisationens størrelse. Afhængigheden er meget markant for de fleste organisationstypers vedkommende. Forsyningssektoren er den sektor, der angiver den mindste følsomhed for kerneprocesserne. s. 3 af 36

4 Organisationernes begrundelse for at adressere it-sikkerhed hænger i høj grad sammen med ønsket om at beskytte it-anvendelsen; således markerer over halvdelen af respondenterne, at det er den primære årsag til it-sikkerhedsinitiativer. Hensynet til vækstplaner og hensynet til kunder udgør i en tredjedel af organisationerne bevæggrunden for it-sikkerhedsinitiativer. Kommentar Undersøgelsen viser, at afhængigheden af it er så stor, at it udgør en kritisk forudsætning for organisationernes evne til at gennemføre deres daglige processer og dermed opfylde deres mål. Styring af it-området Betragtes organisationernes praksis for regulering af de processer, der omhandler it-anvendelsen viser undersøgelsen at jo større organisationen er, i desto større grad er der fastlagt og formaliseret styringsprocesser for it-anvendelsen. Set i forhold til de enkelte industrigrupper er det mest markante udsving industrivirksomheders lave interesse for området. Sammenlagt har 62 % af organisationerne indført en praksis for styring af it-området. Kommentar Organisationernes praksis for styring af it-området er væsentlig for evnen til at indføre og fastholde sikkerhedsinitiativer. Undersøgelsen viser, at der er taget en række initiativer for at styre it-området, men også at der er markante forskelle mellem organisationerne afhængig af størrelse og industrigruppe. For de grupper, der markerer sig svagt i undersøgelsen, bør der ydes en indsats for at gøre opmærksom på betydningen af at styre processerne i it-området. It risk management I undersøgelsen konstateres det, at alene omkring halvdelen af de deltagende organisationer har gennemført en egentlig styring af it-sikkerhedsområdet og at under 10 % har indført styring af såvel it-processer som it-sikkerhed. Der er forskellig praksis afhængig af organisationens størrelse og tilhør til industrigruppe: De større organisationer har flere processer på plads end de mindre. Specielt forsyningssektoren markerer sig med høj grad af styring. Respondenterne i undersøgelsen udtrykker tydeligt, at ledelsens interesse for området ikke er stor: Den indsats, der gøres for at dokumentere kravene til sikkerhed i form af sikkerhedspolitikker etc. fører ikke nødvendigvis til, at man får kravene omsat i praksis. Kommentar Det lave ledelsesengagement for it-sikkerhed er problematisk i forhold til den store betydning som it-anvendelsen spiller for organisationerne. Det er et ledelsesansvar, at sikre organisationernes værdier og evne til at opfylde de primære mål. s. 4 af 36

5 Formalisering og organisering Et af de undersøgte forhold er, i hvilket omfang der er indført sikkerhedsstyring og sikkerhedsregler: Der kan iagttages en klar tendens til at organisationerne er bedre til at beskrive krav og regler end til at udmønte det i egentlige implementeringer af sikkerhedsforanstaltninger. Specielt blandt de største organisationer er der en klar tendens til, at jo større organisationen er, desto større er forskellen med beskrivelsesgrad og implementering i praksis. Kun knap halvdelen af de deltagende organisationer har indført en formaliseret styring af deres itsikkerhed i form af sikkerhedspolitikker, retningslinier, udvalg m.v. Sammenlagt viser undersøgelsen at ledelsens opmærksomhed på og opbakning bag gennemførelse af sikkerhedspolitikkerne i praksis er meget lav. Næsten ¾ af de deltagende organisationer har ikke etableret et it-sikkerhedsudvalg, der skal behandle og vurdere de sikkerhedsmæssige tiltag. Virksomheder i Energi og Vandforsyningssektoren er bedst til at gennemføre en formaliseret sikkerhedsstyring. Dernæst følger offentlige servicevirksomheder samt gruppen af erhvervs- og finansielle servicevirksomheder. Kommentar Indførelsen af de formelle rammer for sikkerhedsstyring i form af it-sikkerhedspolitkker m.m. er kun gennemført hos halvdelen af de deltagende organisationer. Ledelsens engagement og opmærksomhed på it-sikkerhedsområdet ses som en væsentlig forudsætning for og del af de initiativer, der skal medføre at intentioner omsættes i praksis. Der er dermed behov for at gøre opmærksom på ledelsens betydning for indsatsen for itsikkerhed både i forhold til at indføre styringsværktøjer og i forhold til at understøtte den praktiske indførelse. Ressourceindsats Næsten alle organisationer har ansat personale til at håndtere sikkerhedsområdet og der er etableret direkte bånd fra sikkerhedslederen til organisationens øverste ledelse. Men det må også konstateres at jo større organisationerne bliver, desto længere væk kommer den sikkerhedsansvarlige fra den direkte kontakt til direktionen. Kommentar Den it-sikkerhedsansvarliges mulighed for at gøre den øverste ledelse opmærksom på væsentlige problemer er vigtig for at sikre upartiskhed og indgriben. Det kan derfor synes problematisk, at jo større en organisation er, jo længere væk kommer den sikkerhedsansvarlige fra den øverste ledelse. Trusler og beskyttelse Et af de trusselsscenarier, der kan medføre store konsekvenser for organisationerne, og hvor respondenterne ikke finder at der ikke er tilstrækkelige sikringsmekanismer på plads, er forbundet med medarbejderne og den adfærd de udøver. Under halvdelen af de deltagende organisationer har præciseret kravene til hvorledes it-sikkerhed i forhold til medarbejdernes adfærd skal håndteres. Det fremgår af undersøgelsen, at det er et område med lav ledelsesopmærksomhed. s. 5 af 36

6 De øvrige trusselsområder personer udenfor organisationen, fejl ved hardware og software og hændelser, der stammer fra forhold udenfor organisationens rækkevidde ses alle at kunne medføre alvorlige konsekvenser men også, at organisationerne i stort omfang føler sig beskyttet mod disse trusler. Kommentar Opmærksomheden på den uheldige indflydelse medarbejdernes adfærd tilsigtet som utilsigtet kan få på it-anvendelsen ses at være meget lav og i stor grad uden tilstrækkelig beskyttelse. Det er et område, hvor organisationerne bør sætte ind i forhold til den kultur og forståelse medarbejderne har for anvendelse af it Undersøgelsens opbygning og rapportens struktur Undersøgelsen var fastsat til at omfatte organisationer indenfor følgende af Danmarks Statistiks industrigrupper: Gruppe 2: Industri Gruppe 3: Energi og vandforsyning Gruppe 5: Handel, hotel og restauration Gruppe 6: Transportvirksomhed, post og tele Gruppe 7: Finansiering og forretningsservice Gruppe 8: Offentlige og personlige tjenester Undersøgelsen omfatter følgende størrelsesgrupper: medarbejdere medarbejdere medarbejdere medarbejdere Det samlede antal respondenter blev 534. Rapporten gengiver i tabel og figurform observationer for de enkelte analyseområder med kommentarer på de specifikke og mere generelle forhold. Der er kun foretaget enkelte undersøgelse på tværs af industri- og størrelsesgrupperne, da en respondentgruppe på 500 ikke åbner mulighed herfor Undersøgelsens grundlag Deltagende organisationer Hensigten med den foretagne undersøgelse har ikke været at foretage en statistisk dækkende vurdering af alle virksomhedsgrupper i Danmark. Udover at fravælge enkelte industrigrupper er s. 6 af 36

7 der foretaget en række selektioner, som gør at materialet i forhold til størrelsesgrupper og industrigrupper ikke er fuld repræsentativ. De foretagne valg er, 1. Mindre organisationer under 50 indgår ikke, da undersøgelsens spørgeområder ikke forventes at dække de forhold, der gælder i disse organisationer 2. Organisationer mellem 50 og 199 er overrepræsenteret, for at få så dækkende en undersøgelse af denne gruppe som muligt 3. Energisektoren har fået særlig vægt, da den har afgørende betydning for det øvrige samfundslivs evne til at gennemføre de daglige processer Med et grundlag på 534 organisationer i respondentgruppen vurderes talmaterialet at være tilstrækkeligt til at give indtryk af sammenhænge indenfor størrelses- og industrigrupper, men ikke for yderligere opdelinger eller tværanalyser. Indenfor gruppen af offentlige servicevirksomheder er 79 af 105 deltagende organisationer helt eller delvist ejet af det offentlige. Øvrige organisationer i denne gruppe er privatejede skoler o. lign. Udvælgelsen af organisationer blev foretaget på baggrund af den statistiske fordeling ifølge Danmarks Statistik og de ovenfor angivne selektionskriterier. Størrelses Gruppe Statistik ref. 47,19 % 24,06 % 16,21 % 12,54 % Resultat 48,13 % 28,09 % 15,54 % 8,24 % Konsekvensen af opprioriteringen af grupperne indtil 199 medarbejdere medførte en underrepræsentation for specielt gruppen fra 500 medarbejdere og opefter. Repræsentativiteten for denne gruppe er således lav. Industri (2) Danmarks Statistik industrigruppering Energi & vand forsyning (3) Handel (5) Transport (6) Finansiel & erhvervsservice (7) Offentlig service virksomhed (8) Statistik ref. 26,03 % 0,48 % 20,92 % 6,90 % 19,47 % 26,19 % Resultat 31,46 % 5,24 % 19,10 % 7,68 % 16,85 % 19,66 % Fordelingen af organisationer indenfor industrigrupperne viser, at grupperne ved erhvervs- og finansiel service, offentlige service-virksomheder, samt til dels handel og serviceindustrien er underrepræsenteret. Der deltager hhv. 102, 90 og 105 fra de tre grupper. s. 7 af 36

8 Danmarks Statistik Gruppe Industri (2) Energi & vand forsyning (3) Handel (5) Transport (6) Finansiel & erhvervsservice (7) Offentlig service virksomhed (8) Total Størrelsesgrupper Total 14,61 % 11,24 % 5,24 % 0,37 % 31,46 % ,62 % 1,12 % 1,12 % 0,37 % 5,24 % ,05 % 5,43 % 1,69 % 0,94 % 19,10 % ,12 % 2,25 % 0,94 % 0,37 % 7,68 % ,36 % 3,56 % 2,81 % 1,12 % 16,85 % ,37 % 4,49 % 3,75 % 5,06 % 19,66 % ,13 % 28,09 % 15,54 % 8,24 % 100,00 % Sammenlagt giver materialet et udgangspunkt for vurderinger af de enkelte størrelsesgrupper og industrigrupper med de anførte forbehold. Til gengæld er antallet af deltagende organisationer for snævert til krydsvurderinger mellem delgrupperinger eller vurderinger af grupperinger indenfor f.eks. en størrelsesgruppe Undersøgelsens forløb Proces Undersøgelsen blev gennemført som telefoninterviews på baggrund af en selektion af organisationer som anført under 8.1. Henvendelsen til de udvalgte organisationer blev indledt med et brev til den it-ansvarlig chef, hvor It & Telestyrelsen præsenterede undersøgelsen og dens målsætninger og orienterede organisationen om, at den var udvalgt til deltagelse. Efterfølgende blev der taget telefonisk kontakt til de udvalgte organisationer. Der blev opnået kontakt til 1815 organisationer og gennemført i alt 540 interviews. Af de 1275 afslag blev den manglende deltagelse typisk begrundet et af følgende svar: Jeg kan ikke afsætte tid til deltagelse Det har ikke vores interesse at høre om, så vi ønsker derfor heller ikke at deltage Det er ikke oplysninger vi ønsker at give ud Det har ikke vi ikke interesse i Respondenterne Betegnelse respondenter er anvendt om de personer, der har besvaret undersøgelsens spørgsmål. s. 8 af 36

9 Det ses, at respondenterne typisk udgøres af den it-ansvarlige eller sikkerhedsansvarlige chef. Kun i meget begrænset omfang (6 %) har respondenterne plads i direktionen. Størrelses Gruppe Respondenternes rolle i organisationen Total Direktionsmedlem 10 % 2 % 4 % 0 % 6 % Ansvar for andre forhold end It 2 % 2 % 8 % 0 % 2 % Ansvarlig for It 71 % 69 % 60 % 50 % 67 % Ansvarlig for it-sikkerhed 12 % 21 % 26 % 48 % 20 % Øvrig 4 % 7 % 2 % 2 % 4 % Hovedtotal 100 % 100 % 100 % 100 % 100 % s. 9 af 36

10 2. Karakteristik af it-anvendelsen It risk management skal ses i forhold til, hvor kritisk it-anvendelsen er for de enkelte organisationer. I indeværende undersøgelse er det vurderet, hvilken betydning organisationernes it-anvendelse har for afviklingen af deres kerneprocesser såvel som for udførelsen af administrative rutiner. Endvidere er det undersøgt, hvor betydende de forskellige former for it-understøttet kommunikation med kunder og leverandører er. Undersøgelsen omfatter endvidere en karakteristik af organisationernes modenhed indenfor en række af kerneområderne i it-management Organisationernes kritiske anvendelse af it Respondenterne blev bedt om at karakterisere såvel den eksterne som den interne afhængighed af it. For den eksterne afhængighed indgik udvekslingen af data med hhv. leverandører og kunder. For den interne afhængighed blev der skelnet mellem anvendelsen af it til såvel generelle formål som til specifikke forhold for den enkelte organisations væsentlige forretningsprocesser Udveksling af data med leverandører og kunder Respondenterne blev for de IKT (informations kommunikations teknologi) understøttede kommunikationsformer mail, web, edi samt andre ikke-specificerede former bedt om at karakterisere afhængigheden af kommunikationen med såvel kunder som leverandører. Det er ikke muligt at definere nærmere hvad kundebegrebet omfatter det kan være forholdet mellem en organisation og andre organisationer (business to business) eller mellem en organisation og slutkunden (business to consumer). Mail vurderes af respondenter som den mest kritiske kommunikationsform for såvel leverandør- som kunderelationer med henholdsvis 56 og 61 %, der har vurderet det som meget kritisk (afhængighed 4-5). Web-baserede løsninger er den lavest vurderede kommunikationsform i kommunikationen med kunder: 80 % Kommunikation m. kunder Afhængighed Stigende skala mail web edi andet 1 7 % 65 % 50 % 31 % 2 12 % 15 % 16 % 13 % 3 25 % 11 % 14 % 24 % 4 29 % 6 % 10 % 20 % 5 27 % 4 % 10 % 13 % 100 % 100 % 100 % 100 % angiver det som laveste afhængighedstrin 1 til 2 og 10 % som trin 4-5. I kommunikationen med leverandører har web en lidt større rolle (64 % som afhængighed 1 til 2) og 14 % som trin s. 10 af 36

11 Edi-løsninger spiller forsat en rolle for organisationerne: således vurderer knap 20 % den som meget vigtig for relationen til såvel kunder som leverandører. Under andet gemmer sig diverse typer af udveksling af data, der ikke omfattes af mail, web eller edi. For kunde-relationer vurderes det af 20 % det som væsentligt og for leverandør-relationer af 18 %. Kommunikation m. leverandører Afhængighed Stigende skala mail web edi andet 1 5 % 44 % 56 % 45 % 2 11 % 20 % 14 % 16 % 3 23 % 22 % 13 % 22 % 4 37 % 11 % 8 % 10 % 5 24 % 3 % 10 % 8 % 100 % 100 % 100 % 100 % Set i forhold til andelen af markeringer indenfor afhængighedsskalaen har den it-understøttede kommunikation med andre organisationer højere betydning end i relationer med kunder Forretningsprocessers afhængighed af it Respondenterne blev bedt om at vurdere deres administrative rutiner, dvs. almene processer som skrive, regne og kommunikere, i forhold til it-anvendelsen. Sammenlagt karakteriserer 95 % af deltagerne anvendelsen som værende meget afhængig af it (afhængighed 4 eller 5). Gruppen af de største organisationer udtrykker at deres administrative rutiner er helt afhængige af it. Administrative rutiners afhængig af it Afhængighed Størrelses Gruppe Stigende Gns. skala org. 1 0 % 1 % 0 % 0 % 0 % 2 0 % 1 % 1 % 0 % 1 % 3 4 % 5 % 5 % 0 % 4 % 4 30 % 26 % 17 % 30 % 27 % 5 65 % 68 % 77 % 70 % 68 % 100 % 100 % 100 % 100 % 100 % Vurderes administrative rutiners afhængighed af it indenfor de enkelte industrigrupper, fremkommer et billede, hvor afhængigheden entydig er meget stor: Grupperne af offentlig serviceorganisation, energi samt transport-sektoren har angivet den højeste grad af afhængighed, mens de øvrige sektorer ligger omkring % i afhængighedsniveau 4 til 5. Afhængighed Stigende skala Administrative rutiners afhængighed af IT Danmarks Statistik Gruppe Finansiel Energi & & vand erhvervsservice forsyning Handel Transport (3) (5) (6) (7) Industri (2) Offentlig service virksomhed Gns. (8) org. 1 0 % 0 % 0 % 0 % 1 % 0 % 0 % 2 1 % 0 % 0 % 0 % 1 % 1 % 1 % 3 7 % 0 % 6 % 2 % 4 % 0 % 4 % 4 25 % 36 % 25 % 34 % 22 % 30 % 27 % 5 68 % 64 % 69 % 63 % 71 % 69 % 68 % total 100 % 100 % 100 % 100 % 100 % 100 % 100 % s. 11 af 36

12 Respondenterne blev endvidere bedt om at vurdere kerneprocesser i forhold til afhængigheden af it. Kerneprocesser er forretningsprocesser, der er afgørende betydning for en organisations virke og dermed dens evne til at opfylde de forretningsmæssige mål. Der ses en kraftig afhængighed af it i forhold til organisationens størrelse; jo større organisation er, desto mere markant fremstår det, at organisationens kerneprocesser er afhængige af it: Det kan være et udtryk for manglende bevidsthed om dette forhold blandt de mindre organisationer, samt at jo større en organisation er, desto mere udbredt og funderet er dens anvendelse og afhængighed af it. Kerneprocessers afhængighed af it Størrelses Gruppe Afhængighed Stigende skala Gns. org. 1 1 % 1 % 2 % 0 % 1 % 2 4 % 4 % 2 % 2 % 3 % 3 22 % 24 % 21 % 7 % 21 % 4 36 % 36 % 20 % 27 % 33 % 5 37 % 34 % 54 % 64 % 41 % 100 % 100 % 100 % 100 % 100 % Betragtes afhængigheden af de organisationsspecifikke it-systemer i forhold til industrigrupper er der visse forskelle med betydning for kerneprocesserne: I gruppen af industrivirksomheder samt hos de offentlige servicevirksomheder har 6-8 % angivet, at it ikke spiller nogen betydende rolle. Organisationerne i forsyningssektoren angiver alle at it har en fra middel til væsentlig betydning. Afhængighed Stigende skala Industri (2) Kerneprocessers afhængighed af it Danmarks Statistik Gruppe Finansiel Energi & & vand erhvervsservice forsyning Handel Transport (3) (5) (6) (7) Offentlig service virksomhed Gns. (8) org. 1 2 % 0 % 1 % 0 % 1 % 1 % 1 % 2 6 % 0 % 2 % 0 % 1 % 5 % 3 % 3 23 % 36 % 20 % 20 % 14 % 23 % 21 % 4 38 % 46 % 40 % 34 % 22 % 23 % 33 % 5 32 % 18 % 37 % 46 % 61 % 49 % 41 % I alt 100 % 100 % 100 % 100 % 100 % 100 % 100 % Gruppen af organisationer indenfor finansiel og erhvervsservice samt offentlige servicevirksomheder har markeret den højeste afhængighed af it It proces-modenhed It procesmodenhed er det omfang, der er fastlagt procedurer for en række væsentlige processer i itafviklingen. Respondenterne blev bedt om at karakterisere omfanget af, hvorvidt der var indført faste procedurer for hhv. support, drift og udvikling. s. 12 af 36

13 Set i forhold til en mulig bedst score på 100 % er den gennemsnitlige itmodenhed 62, hvor gruppen med færrest ansatte placerer sig 3 % point under og gruppen med over 500 ansatte 5 % point over gennemsnittet It-modenhed Industrigrupper Alle emner ansatte ansatte ansatte +500 ansatte Betragtes it-modenheden i forhold til industrigrupper fremstår der et meget ensartet billede for alle grupper, hvor dog industrivirksomhederne ligger under gennemsnittet It-modenhed Industrigrupper Alle emner Industri Vand og energi Handel Transport Finans og erhvervsservice Offentlig servicevirksomh. s. 13 af 36

14 3. It-sikkerhedsområdets opmærksomhed For at kunne vurdere, i hvilket omfang it-sikkerhedsområdet har opmærksomhed i de undersøgte organisationer, blev respondenterne bedt om at karakterisere it-sikkerhed i forhold til hvilke årsager organisationerne har til at beskæftige sig med it-sikkerhed reference-forholdet for den it-sikkerhedsansvarlige den formelle organisering af it-sikkerhedsområdet ressourceallokering til it-sikkerhedsområdet 3.1. Organisationens begrundelse for at arbejde med it-sikkerhed Respondenterne blev bedt om at tage stilling til 6 forskellige årsager til hvorfor it-sikkerhed er et tema i den pågældende organisation. I nedenstående tabel vises angivelserne i forhold til hvor ofte den enkelte faktor er angivet. Det fremgår, at organisationerne oftest arbejder med it-sikkerhed grundet ønske om at beskytte deres it-anvendelse. Derefter følger hensynet til organisationens vækstplaner og pålæg fra revisionen. Efterfølgende kommer hensynet til kunder og leverandører. Det eksterne hensyn vækstplaner og krav fra samarbejdspartnere udgør tilsammen 33 % af årsagerne. Dårlige erfaringer ses kun at spille en minimal rolle i arbejdet med it-sikkerhed. Billedet er imidlertid ikke entydigt set i forhold til organisationernes størrelse: Revisionens rolle er vigtigere desto større organisationen er. Til gengæld udgør hensynet til vækstplaner en lidt større rolle i de mindre organisationer end i de største. Hensynet til kunder, leverandører eller andre partnere ses kun at spille en begrænset rolle for respondenterne. Størrelses Gruppe Baggrund for fokus på itsikkerhed Gns.org Organisationen ønsker at beskytte anvendelse af data, udstyr og andet it 35 % 34 % 35 % 35 % 35 % It-sikkerhed er vigtig for gennemførsel af organisationens vækstplaner 21 % 22 % 22 % 18 % 21 % Der har været store problemer med itsikkerheden (virus el.lign.) 5 % 4 % 4 % 0 % 4 % Det er pålagt af revisionen 19 % 23 % 22 % 27 % 21 % Det er et krav fra kunder, leverandøren el. anden kontakt 12 % 12 % 13 % 14 % 12 % Andre grunde 7 % 6 % 5 % 6 % 6 % 99 % 101 % 101 % 100 % 99 % s. 14 af 36

15 Der er en række forskelle mellem de forskellige industrigrupper i forhold til hvorfor organisationer beskæftiger sig med it-sikkerhed: Baggrund for fokus på itsikkerhed Industri (2) Danmarks Statistik Gruppe Energi & vand forsyning Handel (3) (5) Transport (6) Finansiel & Offentlig erhvervsservice virksomhed service (7) (8) Gns.org. Organisationen ønsker at beskytte anvendelse af data, udstyr og andet it 37 % 44 % 33 % 37 % 32 % 33 % 35 % It-sikkerhed er vigtig for gennemførsel af organisationens vækstplaner 22 % 14 % 25 % 19 % 21 % 19 % 21 % Der har været store problemer med itsikkerheden (virus el.lign.) 4 % 3 % 6 % 4 % 5 % 3 % 4 % Det er pålagt af revisionen 21 % 27 % 18 % 23 % 18 % 24 % 21 % Det er et krav fra kunder, leverandøren el. anden kontakt 9 % 8 % 10 % 15 % 15 % 17 % 12 % Andre grunde 7 % 3 % 7 % 3 % 9 % 4 % 6 % 100 % 99 % 99 % 101 % 100 % 100 % 99 % Industrivirksomheder vurderer hensynet til vækstplaner meget højt, men er til gengæld ikke underlagt større krav fra samarbejdspartnere. Energisektoren fremhæver tydeligt hensynet til beskyttelse af data og it-udstyr samt pålægget fra revisionen. Vækstplaner ses derimod at ikke at spille en større rolle. For offentlige servicevirksomheder er krav fra kunder, leverandører eller andre meget tydelig formentlig et udtryk for det statslige mål om indførelse af DS 484 i alle statslige organisationer. Handel og service fremhæver i større omfang end de øvrige grupper hensynet til organisationens vækstplaner måske et udtryk om forøget anvendelse af e-handel. s. 15 af 36

16 3.2. Organisatorisk placering For at kunne bedømme omfang og styrke af indsatsen indenfor It risk management er organisationernes allokering af ressourcer til sikkerhedsområdet og den organisatoriske placering af samme inddraget i undersøgelsen. Referenceforhold Referencen for den ansvarlige for it-sikkerhed er væsentlig og retter sig såvel mod den øverste ledelse som it-området: Der skal være tilstrækkelig opmærksomhed i den øverste ledelse på itsikkerhed, og behandlingen af it-sikkerhed bør uafhængig af forhold, der knytter til daglig it-drift. Størstedelen af de sikkerhedsansvarlige 2/3 - er i direkte reference til direktion og enkelte (3 %) direkte til bestyrelsen. Dermed har sikkerhedsområdet en direkte adgang til den øverste ledelse. Men det ses også, at det er forhold, der er stærkt afhængige af organisationernes størrelse: Der ses en tydelig tendens til jo større organisationen bliver, desto længere væk kommer den it-sikkerhedsansvarlige fra den direkte adgang til direktionen. Den større afstand til beslutningstagerne kan udgøre et problem for prioritering af sikkerhedsområdet og for behandling af sager af tværgående karakter. Hvem refererer den Størrelsesgruppe ansvarlige for informations Gns. sikkerhed til org. Anden instans 5 % 7 % 10 % 11 % 7 % Bestyrelsen 1 % 4 % 5 % 2 % 3 % Direktionen 75 % 66 % 57 % 50 % 67 % It-ansvarlig chef 19 % 23 % 29 % 36 % 23 % Hovedtotal 100 % 100 % 100 % 100 % 100 % Denne problematik bliver specielt aktuel for de organisationer, hvor reference-forholdet er direkte til den it-ansvarlige chef. Blandt 36 % af de store organisationer mod 19 % af de mindre er dette tilfældet. Der ses en række forskelle mellem hvordan de forskellige industrigrupper griber organiseringen af it-sikkerhed an: Danmarks Statistik Gruppe Finansiel & erhvervsservice (7) Energi og vandforsyning Hvem refererer den Energi & er den sektor, der i størst ansvarlige for vand omfang har angivet, at den informations- Industri forsyning Handel Transport sikkerhed til (2) (3) (5) (6) it-sikkerhedsansvarlige har direkte adgang til direktionen. Den direkte reference til den it-ansvarlige chef er mest markant i grupperne 5 til 8, hvor specielt offentlige servicevirksomheder med 30 % adskiller sig. Offentlig service virksomhed Gns. (8) org. Anden instans 11 % 0 % 5 % 5 % 8 % 5 % 7 % Bestyrelsen 2 % 0 % 3 % 0 % 4 % 3 % 3 % Direktionen 68 % 89 % 69 % 68 % 62 % 63 % 67 % It-ansvarlig chef 19 % 11 % 24 % 27 % 26 % 30 % 23 % Hovedtotal 100 % 100 % 100 % 100 % 100 % 100 % 100 % Det skal bemærkes, at den direkte reference til anden instans end direktion eller bestyrelse ikke hindrer, at den it-sikkerhedsansvarlige i særlige tilfælde kan henvende sig til den øverste ledelse. s. 16 af 36

17 Organisering og ressource-allokerering Respondenterne blev bedt om at beskrive, i hvilket omfang man har afsat ressourcer til at forestå it-sikkerhed samt hvorledes området er organiseret. Det fremgår, at der en direkte sammenhæng mellem størrelse og tilstedeværelsen af en sikkerhedsenhed: Jo større organisation, desto hyppigere er ansvaret for opgaven formaliseret i en enhed. Og, desto større organisation, jo større er tendensen til at ansvaret deles mellem flere forskellige enheder. Materialet rummer ikke mulighed for at vurdere, hvorvidt denne tendens skyldes hensyn til funktionsadskillelse mellem f.eks. teknisk it-sikkerhed og normativ it-sikkerhed. Placering af ansvaret for informationssikkerhed hos en eller flere enheder? Størrelses Gruppe Der ses en række forskelle mellem industrigrupperne i forhold til, hvordan sikkerhedsarbejdet er organiseret, idet der dog skal tages hensyn til fraværet af store organisationer i grupperne 2 til 7: Gns. Nej, vi har ikke en eller flere enheder med direkte ansvar for informationssikkerhed. 19 % 10 % 13 % 6 % 14 % Vi har en enhed, der er ansvarlig for både at fastlægge niveau, gennemføre beskyttelse samt sikre opfølgning. 63 % 69 % 63 % 51 % 63 % Ansvaret er spredt mellem to eller flere enheder. 19 % 21 % 24 % 43 % 22 % 100 % 100 % 100 % 100 % 100 % Placering af ansvaret for informationssikkerhed hos en eller flere enheder? Industri (2) Danmarks Statistik Gruppe Finansiel & erhvervsservice Transport (6) (7) Energi & vand forsyning Handel (3) (5) Offentlig service virksomhed (8) Gns. Nej, vi har ikke en eller flere enheder med direkte ansvar for informationssikkerhed. 15 % 7 % 12 % 15 % 18 % 13 % 14 % Vi har en enhed, der er ansvarlig for både at fastlægge niveau, gennemføre beskyttelse samt sikre opfølgning. 67 % 38 % 68 % 65 % 74 % 52 % 63 % Ansvaret er spredt mellem to eller flere enheder. 17 % 55 % 20 % 21 % 8 % 35 % 22 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % Tilstedeværelsen af en sikkerhedsenhed, herunder også spredningen på flere enheder, ses mest markant i Energisektoren, hvor der er større spredning på flere enheder end i de øvrige industrigrupper. Herefter følger gruppen af offentlige servicevirksomheder, hvor 35 % har spredt s. 17 af 36

18 ansvaret på flere enheder. De øvrige industrigrupper tenderer hyppigere til at samle ansvaret i en sikkerhedsorganisation, hvor gruppen af finansielle og erhvervsservice virksomheder er mest markant med 74 %. Denne gruppe har også det højeste fravær af en sikkerhedsorganisation. I allokeringen af interne ressourcer til sikkerhedsområdet ses en tydelig og, ikke overraskende, tendens til, at jo større organisationen er, desto hyppigere har man allokeret egentlige stillinger til sikkerhedsområdet. s. 18 af 36

19 Det bemærkes, at næsten alle respondenter angiver at have allokeret ressourcer i form af fuldtidsstillinger til it-sikkerhedsområdet kun i gns. 5 % er dette ikke tilfældet. Der er stor grad af sammenfald mellem ressourceallokeringen i de tre mindste størrelsesgrupper. Der er en tydelig forskel mellem de næststørste organisationer og så gruppen af de største organisationer i forhold til, hvor mange stillinger, der allokeres til sikkerhedsarbejde. Gruppen af organisationer op til 499 ansatte udviser større grad af overensstemmelse med de mindre organisationer end de større. Størrelses Gruppe Antal itsik.medarb Gns org. 0 7 % 5 % 4 % 2 % 5 % % 56 % 56 % 43 % 53 % % 31 % 31 % 39 % 32 % % 5 % 5 % 7 % 5 % 11-4 % 4 % 5 % 9 % 4 % 100 % 100 % 100 % 100 % 100 % Ressourceallokeringen til sikkerhedsområdet på tværs af industrigrupperne viser i forhold til de gennemsnitlige værdier enkelte bemærkelsesværdige forskelle: Antal it-sik. medarb. Industri (2) Danmarks Statistik Gruppe Energi & vand forsyning Handel (3) (5) Transport (6) Finansiel & Offentlig erhvervsservice virksomhed service (7) (8) Gns.org. 0 5 % 0 % 7 % 7 % 8 % 3 % 5 % % 39 % 55 % 41 % 59 % 53 % 53 % % 46 % 31 % 39 % 26 % 35 % 32 % % 0 % 5 % 10 % 4 % 5 % 5 % 11-5 % 14 % 2 % 2 % 3 % 4 % 4 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % Organisationerne i Forsyningssektoren har alle allokeret personale til it-sikkerhed og i et større omfang end de øvrige grupper. Fremstillingsvirksomheder, handel, transport og specielt gruppen med erhvervs- og finansielservice er de grupper, hvor der i mindst omfang er ansat it-sikkerhedspersonale. s. 19 af 36

20 4. Konsekvensvurderinger Respondenterne blev anmodet om at vurdere, indenfor hvilke områder trusler ville kunne få størst betydning for hhv. informationsaktivernes tilgængelighed, fortrolighed og integritet. Samtidig blev man bedt om at vurdere i hvilket omfang, organisationerne havde etableret tilstrækkelig beskyttelse mod de pågældende trusselsområder. Endelig blev man bedt om at vurdere, hvorvidt der for de pågældende trusselsområder var fastlagt et ejerskab i organisationen. Trusselskategorierne omfatter: Internt personale/medarbejdere Eksterne personer Fejl v. informationsaktiver (hardware og softwarefejl) Makroforhold Respondenterne blev ikke bedt om at vurdere sandsynligheden af, hvorvidt en given trussel bliver til virkelighed eller i hvilket omfang organisationerne har oplevet problemer indenfor de pågældende trusselskategorier Samlet vurdering. Af nedenstående figur fremgår for hvert af de 4 trusselsområder, i hvilket omfang konsekvenserne af et sikkerhedsbrist kan få alvorlige konsekvenser i forhold til tilgængelighed, fortrolighed og integritet. Over 50 % af respondenterne vurderer, at det interne personales adfærd kan have alvorlige konsekvenser for fortroligheden og tilsvarende vurderer over 40 %, at det kan have alvorlige konsekvenser for integriteten. 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Internt personale Konsekvensvurdering - samlet Eksterne personer Fejl v. informationsaktiver Makroforhold Tilgængelighed Fortrolighed Integritet Over 50 % af respondenterne vurderer, at eksterne personers adfærd kan få alvorlige problemer for tilgængeligheden af informationsaktiver, medens konsekvenserne for hhv. fortrolighed og integritet vurderes lidt lavere. s. 20 af 36

21 For fejl ved informationsaktiverne vurderes konsekvenserne at være størst for tilgængeligheden, medens fortrolighed og integritet vurderes noget lavere. Noget tilsvarende gør sig gældende for makroforhold, hvor tilgængeligheden markant vurderes som det område, hvor uheld kan få størst konsekvens Ejerskab i forhold til trusler For hver af de angivne trusselskategorier blev respondenterne anmodet om at karakterisere ejerskabet: Det fremgår, at der er betydelig forskel mellem forholdet til trusler afhængig af organisationens størrelse; desto større organisation desto højere grad af organisatorisk opmærksomhed. Det fremgår af tabellen, at det specielt er de tre mindste organisationskategorier, hvor der ikke er taget stilling til hvem der er ansvarlig for at adressere risici; omkring 50 % af de mindre organisationer har ikke taget aktiv stilling til trusler. Til gengæld bemærkes også, at blandt de største organisationer har 76 % taget stilling til truslerne med efterfølgende placering af ansvar. Det efterlader dog 24 %, hvor det ikke har fundet sted og sammen med de øvrige størrelsesgrupper er der i alt 50 % af organisationerne, hvor en organisatorisk forankring ikke finder sted. Endelig bør forskellen mellem de næststørste og største organisationer i forhold til behandling af trusler mod it-afviklingen bemærkes; organisationerne i den næststørste gruppe ligner på dette område mere de mindre organisationer end organisationerne i den største gruppe. Vurderes organisationernes stillingtagen til trusler, der kan forbindes med det interne personales adfærd (medarbejdere) fremgår det, at de tre mindste organisationsstørrelser kun i begrænset omfang har taget Størrelseskategori Ejerskab i forhold til det samlede trusselsbillede Gns. org. Truslen er ikke drøftet 24 % 17 % 14 % 13 % 20 % Truslen er drøftet 28 % 39 % 34 % 11 % 30 % Truslen er drøftet og ansvaret er organisatorisk placeret 49 % 44 % 52 % 76 % 50 % 100 % 100 % 100 % 100 % 100 % Størrelses Gruppe Trusler stammende fra internt personale Gns. org. Truslen er ikke drøftet 31 % 21 % 20 % 16 % 25 % Truslen er drøftet 30 % 39 % 39 % 16 % 33 % Truslen er drøftet og ansvaret er organisatorisk placeret 39 % 40 % 40 % 68 % 42 % Hovedtotal 100 % 100 % 100 % 100 % 100 % stilling til og allokeret ansvar. Hos organisationerne i den største kategori har 68 % placeret et ejerskab. s. 21 af 36

22 Et tilsvarende billede som for eksterne personer ses ved trusler, der stammer fra fejl ved it-aktiver. Men der må dog konstateres en mindre forankring for truslen hos de store organisationer (75 % mod 82 %). For trusler, der stammer fra forhold udenfor organisationernes kontrol, er de gns. værdier på samme niveau som de foregående trusselstyper. For de to mindste størrelsesgrupper bemærkes det, at i under 50 % af tilfældene har man allokeret ansvar for makrotrusler. De mindre organisationer er i Størrelses Gruppe højere grad opmærksomme på Trusler stammende fra Gns. trusler, der kan forbindes med eksterne personer end trusler der har forbindelse med eksterne personer Truslen er ikke drøftet Truslen er drøftet % 26 % % 39 % % 36 % % 5 % org. 18 % 29 % medarbejderes adfærd. Der er Truslen er drøftet og ansvaret er organisatorisk placeret 53 % 45 % 51 % 82 % 53 % en meget markant forskel Hovedtotal 100 % 100 % 100 % 100 % 100 % mellem organisationerne i den største gruppe hvor 82 % har placeret et ansvar og så de øvrige grupper. Trusler if. fejl i Størrelses Gruppe informationsaktiver (hardware/software) Gns. org. Truslen er ikke drøftet 21 % 14 % 12 % 11 % 17 % Truslen er drøftet 26 % 36 % 32 % 14 % 29 % Truslen er drøftet og ansvaret er organisatorisk placeret 53 % 50 % 56 % 75 % 54 % Hovedtotal 100 % 100 % 100 % 100 % 100 % Trusler udenfor organisationens kontrol (makroforhold) Størrelses Gruppe Internt ejerskab: Gns. org. Truslen er ikke drøftet 23 % 18 % 12 % 11 % 19 % Truslen er drøftet 29 % 40 % 29 % 9 % 30 % Truslen er drøftet og ansvaret er organisatorisk placeret 49 % 42 % 60 % 80 % 51 % Hovedtotal 100 % 100 % 100 % 100 % 100 % For de 4 trusselskategorier bemærkes det, at trusler stammende fra medarbejderne i væsentlig mindre omfang har fundet en organisatorisk opmærksomhed end de 3 øvrige kategorier. Det gælder både om der er taget stilling til truslen, og hvorvidt man har fastlagt et organisatorisk ansvar for at behandle denne. s. 22 af 36

23 4.3. Konsekvensvurdering - tilgængelighed, fortrolighed, integritet Vurderes de tre konsekvensområder tilgængelighed, fortrolighed og integritet i forhold til hvorvidt der er etableret beskyttelse på de fire trusselsområder hvor konsekvenserne er størst, fremkommer nedenstående billede: Truslerne mod it-aktivers tilgængelighed vurderes af respondenterne til at være størst fra eksterne personer og fra makroforhold; respondenterne angiver også at have indført beskyttelse mod disse forhold. Til gengæld udtrykker lidt under en femtedel af organisationerne, at der for fejl ved informationsaktiver ikke er tilstrækkelige beskyttelse. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Tilgængelighed respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold For trusler med betydning for fortroligheden, vurderer mange af organisationerne, at specielt internt personale og eksterne personer kunne forårsage problemer med store konsekvenser. De fleste vurderer, at der er tilstrækkelig beskyttelse mod trusler fra eksterne personer. Omkring en tredjedel vurderer, at man ikke er beskyttet mod det interne personales adfærd. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Fortrolighed respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold Respondenterne vurderer ikke, at fejl fra de 4 trusselstyper kan få så store konsekvenser for integritet som for fortroligheden eller tilgængelighed. I stort omfang mener organisationerne at være beskyttet mod disse trusler. De største trusler mod integriteten vurderes at komme fra internt personale eller eksterne personer. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Integritet respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold s. 23 af 36

24 5. It-sikkerhedsindsatser I undersøgelsen er det valgt at karakterisere graden af risikostyring eller It risk management i forhold til henholdsvis den praksis der er for opmærksomhed på risici, dels i forhold til i hvilket omfang man har struktureret indsatsen mod risici. Endelig er det valgt at medtage et af indsatsområderne, sikkerhedskulturen, i vurderingen af organisationernes It risk management. De tre områder er således: 1. It risk management praksis 2. Struktureringen af it-sikkerhed 3. Sikkerhedskulturen i organisationen For hvert af områderne opstilles der en niveau-vurdering for det samlede område med udgangspunkt i en skala RIF -, der viser omfanget af henholdsvis formaliserede krav (R), implementering (I) og ledelsesmæssig forankring (F) Hvor punkterne 1 og 2 er af mere generel karakter for sikkerhedsindsatsen er sikkerhedskulturen medtaget, da den i stadigt stigende omfang udgør et særligt fokusområde indenfor it-sikkerhed It risk Management It risk management praksis blandt de deltagende organisationer er vurderet i forhold til hvorvidt respondenterne har en formaliseret og kontinuerlig proces for følgende områder: Formelle procedurer for behandling af risici knyttet til it-anvendelsen Vurdering af risici når der indføres it Identifikation og dokumentation af kritiske forretningsprocesser Identifikation og dokumentation af kritiske informationsaktiver Opfølgning på hændelser, der har hindret eller forsinket IT-processer Revurdering af risikobilledet ved større ændringer i organisering, it-anvendelse el. lign. I forhold til en maksimal score på 100 viser det samlede resultat for respondenternes praksis for It risk management en formaliseringsgrad af krav på 66. Implementeringsgraden er noget lavere på 47 og forankringen omkring It- risk management Retningslinie Implementering Forankring s. 24 af 36

25 Noget tyder på, at it rísk management ikke har tilstrækkelig opmærksomhed i ledelsen til, at de ønskede tiltag kan gennemføres Det samlede resultat indikerer, at ledelsens engagement er afgørende for indførelse af allerede fastlagte procedurer. Betragtes it risk management praksis i forhold til organisationernes størrelse fremgår det, at der er en tydelig sammenhæng mellem RIF Risk Management størrelsesgrupper organisationens størrelse og dens RIF tal; jo større organisationen jo højere tal. Men RIF tallene indikerer en anden tendens, idet 80 afstanden mellem R, dvs. de formaliserede krav og IF dvs. implementering og forankring øges med organisationens størrelse. Dette 30 indikerer, at de større organisationer har vanskeligt ved at fastholde fokus og ledelsens 0 engagement indenfor området It risk management ansatte ansatte ansatte +500 ansatte R I F Det skal bemærkes, at niveauet generelt er højt blandt de største organisationer. Set i forhold til industrigrupper (med forbehold for repræsentativitet) udviser fremstillingsvirksomhederne det markant laveste fokus på risikostyring af itanvendelsen. Den bedst placerede industrigruppe er forsyningsvirksomhed, der til gengæld har en forskel på ca. 30 procentpoints mellem krav og forankring. Indenfor såvel transportgruppen som gruppen af offentlige virksomheder er der store forskelle mellem krav og forankring. Gruppen med Finansiel og erhvervsservice har den mindste forskel mellem krav, implementeringsniveau og understøttelse fra ledelsen Industri RIF Risk management industrigrupper Energi og vandforsyning Handel og service Transport Finansiel og erhv. Off. Servicevirksomhed R I F Det fremgår endvidere, at når formaliseringen af krav når et niveau over 60, har man tilsyneladende svært ved at fastholde implementering og understøttelse fra ledelsen. Effekten af sikkerhedsarbejdet ser således ikke ud til at øges med graden af beskrivelse. s. 25 af 36

26 5.2. Organisering af sikkerhedsarbejde Der er generel enighed om, at indførelse af effektive og konsistente sikkerhedsforanstaltninger i en organisation forudsætter en organisering af sikkerhedsarbejdet, der rækker udover it-afdelingen eller it-sikkerhedsorganisationen. Ansvar, roller og opgaver i sikkerhedsarbejdet bør defineres og dokumenteres, så det kan fastholde et samarbejde mellem alle dele af organisationen. I undersøgelsen af de responderende organisationers formelle sikkerhedsstyring er der lagt vægt på følgende områder: Organisering af it-sikkerhed i et system, der beskriver roller, ansvar og opgaver Nedsættelsen af et udvalg i organisationen til behandling af it-sikkerhedsmæssige spørgsmål Sammenfatning og formalisering af krav til it-sikkerhed i en it-sikkerhedspolitik Den systematiske revision af it-sikkerhedspolitikken for at sikre relevans og effektivitet Konkretisering af sikkerhedspolitikkens bestemmelser i retningslinier el.lign. Den systematiske opfølgning på retningsliniernes overholdelse Den samlede RIF vurdering for sikkerhedsstyring viser et formaliseringsniveau på 50, en indførelse på 48 og en forankring i ledelsen på 45. Det viser en lav grad af såvel formalisering, indførelse og opmærksomhed på de formelle processer for styring af sikkerhed. Den manglende ledelsesmæssige opbakning har tilsyneladende betydning for indførelsen af det nødvendige formelle styringsgrundlag Sikkerhedsstyring i praksis Retningslinie Implementering Forankring De samlede tal viser, at omkring halvdelen af de adspurgte organisationer har formelle krav og processer for styring af it-sikkerhed og har indført disse foranstaltninger i praksis. Spørgsmålet er, hvorvidt der er tale om en generel lav opmærksomhed på området eller den stammer fra specifikke organisationstyper og grupper. s. 26 af 36

27 Fordeles RIF tallene på organisationsstørrelser, fremstår gruppen af organisationer med mere end 500 ansatte som den markant bedst placerede. Tilsvarende RIF tallene for risk management, er der tydelig forskel på de formelle krav til styring og ledelsens opbakning af samme. De to grupper af mellemstore organisationer ligger meget ens; specielt for gruppen op til 500 ansatte indikerer RIF tallene at der på formalisering af kravene til sikkerhed er stor forskel til niveauet i større organisationer. For de mindste organisationer i respondentgruppen må der konstateres et ensartet og meget lavt niveau for sikkerhedsstyring på omkring 40. RIF tallene for sikkerhedsstyring i de enkelte industrigrupper udviser tydelige forskelle: Energi og forsyningssektoren ligger højt placeret i forhold til øvrige grupper og med en begrænset forskel mellem krav og implementering/forankring. Fremstillingsvirksomheder ligger lavest sammen med handel og service, samt transportsektoren. Gruppen af offentlige servicevirksomheder følger tættest på energisektoren, men udviser samtidigt en tydelig forskel på formalisering af krav og ledelsens opbakning. Gruppen med finansielle virksomheder og virksomheder, der yder erhvervsservice, adskiller sig sammen med handel og service ved, at forankringen i ledelsen samt implementeringen er på niveau med formalisering af krav og politikker RIF Sikkerhedsstyring ansatte ansatte ansatte +500 ansatte Industri RIF Sikkerhedsstyring industrigrupper Energi og vandforsyning Handel og service Transport Finansiel og erhv. Off. Servicevirksomhed R I F R I F Formalisering Bag de anførte RIF tal ligger en række spørgsmål til detail-områder. I det følgende vises de enkelte tal for hhv. nedsættelse af sikkerhedsudvalg, for indførelse af sikkerhedspolitikker og dennes uddybning i mere detaljerede retningslinier, samt for kontrol af politikker og retningsliniers overholdelse. Bag RIF tallene for sikkerhedsstyring gemmer sig følgende tal for de deltagende organisationer for, i hvilken grad der er indført og vedligeholdt en formel sikkerhedsstyring: s. 27 af 36

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Derfor mister danske virksomheder penge på deres ERP-opgradering

Derfor mister danske virksomheder penge på deres ERP-opgradering Derfor mister danske virksomheder penge på deres ERP-opgradering Værdien når ikke længere end til IT-afdelingen ANALYSE RP OVERBLIK Analysens konklusioner... side 3 Baggrund for analysen... side 4 5 nøglefaktorer

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Undersøgelse af frivillighed på danske folkebiblioteker

Undersøgelse af frivillighed på danske folkebiblioteker Undersøgelse af frivillighed på danske folkebiblioteker Indholdsfortegnelse 1 FRIVILLIGHED PÅ DE DANSKE FOLKEBIBLIOTEKER... 3 1.1 SAMMENFATNING AF UNDERSØGELSENS RESULTATER... 3 1.2 HVOR MANGE FRIVILLIGE

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

E-mailens emnefelt: Hvordan udvikler I jeres arbejdsplads?

E-mailens emnefelt: Hvordan udvikler I jeres arbejdsplads? E-mailens emnefelt: Hvordan udvikler I jeres arbejdsplads? Kære «attnavn» Center for Offentlig Innovation er ved at udvikle verdens første statistik om offentlig innovation sammen med Danmarks Statistik

Læs mere

ANALYSE AF OPBAKNING TIL NY HÆRVEJSMOTORVEJ

ANALYSE AF OPBAKNING TIL NY HÆRVEJSMOTORVEJ ANALYSE AF OPBAKNING TIL NY HÆRVEJSMOTORVEJ Side 1 Udgivelsesdato : Februar 2015 Udarbejdet : René Fåborg Kristensen, Muhamed Jamil Eid Kontrolleret : Brian Gardner Mogensen Side 2 INDHOLDSFORTEGNELSE

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Fokus på forsyning Investeringer, takster og lån

Fokus på forsyning Investeringer, takster og lån Fokus på forsyning SPERA har tidligere set på spildevandsselskabernes investeringer og låntagning. Gennemgang af de seneste data viser stigende tendenser: Det gennemsnitlige selskab har investeret for

Læs mere

Personaleledelse. Resume

Personaleledelse. Resume juni 2010 Personaleledelse Resume Kort afstand mellem top og bund, mindre formel ledelsesstil og højere grad af tillid præger oftere danske virksomheder end andre europæiske virksomheder, viser ny undersøgelse

Læs mere

Efteråret 2014. Undersøgelse af borgertilfredsheden på Jobcenter Rebild

Efteråret 2014. Undersøgelse af borgertilfredsheden på Jobcenter Rebild Efteråret 2014 Undersøgelse af borgertilfredsheden på Jobcenter Rebild Indholdsfortegnelse 1. Rapport Borgertilfredshedsundersøgelse Jobcenter Rebild... 3 1.1 - Kort om undersøgelsen... 3 1.2 - Formål...

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

4. Hvordan er du primært involveret i projekter? Er det som:

4. Hvordan er du primært involveret i projekter? Er det som: Mannaz undersøgelse 2011 Rapporten er udarbejdet på baggrund af undersøgelsen gennemført i juni 2011 med svar fra 672 respondenter. Formålet med rapporten er at tage temperaturen på ProjektDanmark og afdække

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

DANSKE VIRKSOMHEDERS VÆKST OG INVESTERINGER

DANSKE VIRKSOMHEDERS VÆKST OG INVESTERINGER Januar 2013 Rapport #03 DANSKE VIRKSOMHEDERS VÆKST OG INVESTERINGER Rapport udarbejdet af Copenhagen Economics for Axcelfuture Forfattere: Partner Martin H. Thelle Partner Sigurd Næss-Schmidt Economist

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Stillings- og personprofil. Administrerende direktør FDC A/S

Stillings- og personprofil. Administrerende direktør FDC A/S Stillings- og personprofil Administrerende direktør FDC A/S Maj 2014 Opdragsgiver FDC A/S Adresse Lautrupvang 3A 2750 Ballerup Tlf.: 44 65 45 00 www.fdc.dk Stilling Administrerende direktør Refererer til

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Region Midtjylland i en international verden

Region Midtjylland i en international verden 20. februar 2008 Region Midtjylland i en international verden Engelsk som hovedsprog i virksomhederne, industrier, der flytter til Asien, virksomheder, der vinder markeder i udlandet. Små og mellemstore

Læs mere

Administration. Når selskaber varetager de rigtige opgaver rigtigt og derigennem udvikler hele selskabet.

Administration. Når selskaber varetager de rigtige opgaver rigtigt og derigennem udvikler hele selskabet. Administration Når selskaber varetager de rigtige opgaver rigtigt og derigennem udvikler hele selskabet. Fra strategi til resultater i forsyningssektoren 2 Når selskaber varetager de rigtige opgaver rigtigt

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

RAPPORT. Frederikssund Kommunes hjemmepleje. Brugertilfredshedsundersøgelse 2015

RAPPORT. Frederikssund Kommunes hjemmepleje. Brugertilfredshedsundersøgelse 2015 RAPPORT Frederikssund Kommunes hjemmepleje Brugertilfredshedsundersøgelse 2015 Foto: Kenneth Jensen 2/22 Indholdsfortegnelse Indledning... 4 Sammenfatning... 5 Metode... 6 Spørgeskemaet... 7 Svarprocenter

Læs mere

Væksthus Midtjylland Profilanalyse 2015

Væksthus Midtjylland Profilanalyse 2015 Væksthus Midtjylland Profilanalyse 2015 Analyse af brugerne af den lokale og specialiserede erhvervsvejledning i Region Midtjylland Indholdsfortegnelse Forord... 3 Kapitel 1: Hovedresultater fra Profilanalyse

Læs mere

Go Morgenmøde Onboarding

Go Morgenmøde Onboarding Go Morgenmøde Onboarding Dagens program Velkommen hvorfor disse morgenmøder Tanker om dagens tema Fra nyansat til kompetent bidragyder Pause Inspiration til det videre arbejde i egen organisation Opsamling

Læs mere

Principper for organisering af it-området i Koncernservice

Principper for organisering af it-området i Koncernservice Bilag 5 til rapport om Koncernservice Principper for organisering af it-området i Koncernservice Projektet har i sit arbejde diskuteret en række principielle forhold vedr. organiseringen af it-området

Læs mere

Corporate Governance Anbefalinger og Finansrådets anbefalinger om god selskabsledelse og ekstern revision.

Corporate Governance Anbefalinger og Finansrådets anbefalinger om god selskabsledelse og ekstern revision. Sparekassen skal i forbindelse med indkaldelsen til repræsentantskabet forholde sig til Finansrådets anbefalinger om god selskabsledelse og ekstern revision, der knytter sig til dele af Corporate Governance

Læs mere

God selskabsledelse. Anbefalingerne i Rapport om god og effektiv selskabsledelse for arbejdsmarkedspensioner.

God selskabsledelse. Anbefalingerne i Rapport om god og effektiv selskabsledelse for arbejdsmarkedspensioner. God selskabsledelse Industriens Pensions har arbejdet systematisk med anbefalingerne og har redegjort herfor i årsrapporterne. Vi har neden for i skematisk form oplyst, om vi følger anbefalingen, om vi

Læs mere

INNOVATION SKABER VÆRDI I FORM AF...

INNOVATION SKABER VÆRDI I FORM AF... INNOVATION SKABER VÆRDI I FORM AF... 70% Højere kvalitet af innovationerne i den offentlige sektor 50% Tilfredse medarbejdere af innovationerne i den offentlige sektor 46% Effektivitet af innovationerne i

Læs mere

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Sundhedsstyrelsen Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Konklusion og anbefalinger September 2009 Sundhedsstyrelsen Evaluering af

Læs mere

Mobility-strategi Hvordan kommer du i gang?

Mobility-strategi Hvordan kommer du i gang? Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz 13. marts 2013 kro@dubex.dk Agenda Kort opsummering Hvad bør en Mobility Strategi indeholde? Virksomhedens modenhed Hvordan kommer du i gang?

Læs mere

Sikre gevinstrealisering

Sikre gevinstrealisering White Paper v1.0-2013 PORTEFØLJELEDELSE OG EFFEKT Topledere, mellemledere og programledere har ansvar for virksomhedens samlede udviklingsplaner samt den indbyrdes prioritering heraf. Med udgangspunkt

Læs mere

Virksomhedens salgspipeline. Business Danmark november 2009 BD272

Virksomhedens salgspipeline. Business Danmark november 2009 BD272 Virksomhedens salgspipeline Business Danmark november 2009 BD272 Indholdsfortegnelse Indledning... 2 Rapportens opbygning... 2 Hovedkonklusioner... 3 Metode og validitet... 3 Salgs- og marketingafdelingernes

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

ADM - P.2.3.130 - Analyserapport og ledelsens evaluering - 2013, ver. 1.3C

ADM - P.2.3.130 - Analyserapport og ledelsens evaluering - 2013, ver. 1.3C Side 1 af 6 Udskrevet er dokumentet ikke dokumentstyret. Analyserapport og ledelsens evaluering - 2013 Niveau: Niveau 2 Dokumentbrugere: KS-chef, Led, SysAns Øvrige: Redaktør: jba Fagansvarlig SysAns Dokumentnummer:

Læs mere

Bloknavn Beskrivelse af blok/modul Variabelnavn Spørgsmålstekst Svarkategorier Spm1=1 { Filter } Bemærkning

Bloknavn Beskrivelse af blok/modul Variabelnavn Spørgsmålstekst Svarkategorier Spm1=1 { Filter } Bemærkning Offentlig Innovation Der oprettes én tabel for hvert emne i spørgeskemaet. Hver tabel indeholder 6 kolonner: Variabelnavn Spørgsmålstekst Svarkategorier Filter-instruktion Evt. bemærkninger til spørgsmålet.

Læs mere

QUARTERLY ANALYTICS 3 2014. Hentet af admin - September 15, 2014. contract management. del 2

QUARTERLY ANALYTICS 3 2014. Hentet af admin - September 15, 2014. contract management. del 2 6 QUARTERLY ANALYTICS 3 2014 contract management del 2 QUARTERLY ANALYTICS 3 2014 7 Er du helt sikker på, at du har Contract Management? Del 2: Forankring og overblik Contract Management kan være et centralt

Læs mere

It-chefernes dagsorden 2007

It-chefernes dagsorden 2007 Marts 2007 - nr. 1 It-chefernes dagsorden 2007 Baggrund: Resume: Hvert år i begyndelsen af året, gennemfører DANSK IT en undersøgelse af, hvad der står på it-chefernes dagsorden for det kommende år. Således

Læs mere

Kommunikationsstrategi 2008-2012. Professionshøjskolen UCC

Kommunikationsstrategi 2008-2012. Professionshøjskolen UCC Kommunikationsstrategi 2008-2012 Professionshøjskolen UCC Indledning Kommunikationsstrategien beskriver, hvordan vi kommunikerer ud fra hvilke principper og med hvilke mål. Kommunikationsstrategien er

Læs mere

KUNDETILFREDSHEDSMÅLING 2013

KUNDETILFREDSHEDSMÅLING 2013 KUNDETILFREDSHEDSMÅLING 2013 KALUNDBORG FORSYNING Totalrapport December 2013 INDHOLD 3 HOVEDRESULTATER OPSUMMERET 4 OM DENNE RAPPORT 4 EFFEKTANALYSE 5 OPBYGNING AF RAPPORTEN 6 DEL 1: OVERORDNEDE RESULTATER

Læs mere

Sagstal i kommunale forvaltninger. Undersøgelse af socialrådgivernes sagstal i kommunale forvaltninger 2009

Sagstal i kommunale forvaltninger. Undersøgelse af socialrådgivernes sagstal i kommunale forvaltninger 2009 Sagstal i kommunale forvaltninger Undersøgelse af socialrådgivernes sagstal i kommunale forvaltninger 2009 November 2009 Undersøgelse af socialrådgivernes sagstal i kommunale forvaltninger, november 2009

Læs mere

Ansøgningsskema til DDV s vedligeholdspris 2015

Ansøgningsskema til DDV s vedligeholdspris 2015 Nedenstående skema bedes udfyldt med flest mulige oplysninger, således at en bedømmelse vil kunne træffes efter de mest optimale forudsætninger for bedømmelseskomiteen. Skemaet består af 8 kriterier. Ved

Læs mere

Balancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder.

Balancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder. It-strategi 1.0 Indledning Flere og flere forretningsprocesser i kommunerne stiller krav til it-understøttelse, og der er store forventninger til at den offentlige sektor hænger sammen inden for it-området.

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013 Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2013 Agenda Mobility Politik og procedure Virksomhedens modenhed Hvad bør

Læs mere

Kundeanalyse. blandt 1000 grønlandske husstande

Kundeanalyse. blandt 1000 grønlandske husstande Kundeanalyse 2012 blandt 1000 grønlandske husstande Udarbejdet af Tele-Mark A/S Carl Blochs Gade 37 8000 Århus C Partner: Allan Falch November 2012 1 Indholdsfortegnelse 1. Indledning... 3 1.1 Formålet

Læs mere

Digitaliseringsstrategi 2011-2015

Digitaliseringsstrategi 2011-2015 Digitaliseringsstrategi 2011-2015 Dokumentnr.: 727-2011-34784 side 1 Dokumentnr.: 727-2011-34784 side 2 Resume: Digitaliseringsstrategien for Odder Kommune 2011-2015 er en revidering af Odder Kommunes

Læs mere

Politik for Fortsat Drift Silkeborg Kommune

Politik for Fortsat Drift Silkeborg Kommune Politik for Fortsat Drift Silkeborg Kommune 2014-2017 Direktionen Indledning Silkeborg Kommune har ansvaret for at drive en række kritiske funktioner med direkte påvirkning af borgere og virksomheder.

Læs mere

Læreres erfaringer med it i undervisningen

Læreres erfaringer med it i undervisningen Læreres erfaringer med it i undervisningen Formål Denne rapport er baseret på spørgsmål til læserpanelet om deres erfaringer med brugen af it i undervisningen. Undersøgelsen har desuden indeholdt spørgsmål

Læs mere

Strategiplan 2010 2013

Strategiplan 2010 2013 Strategiplan 2010 1. Kunden i centrum Fredensborg Forsyning A/S har som primær opgave at forsyne kunderne inden for vores tre områder: Vandforsyning Spildevand Affald Det gør vi gennem en teknisk kvalificeret

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

Forum for Offentlig Topledelse: e-survey

Forum for Offentlig Topledelse: e-survey 1 Forum for Offentlig Topledelse: e-survey Den offentlige topleder - et billede af profil, karriere, arbejdsområder og ledelsesudfordringer E-survey en blev sendt ud til i alt 392 topledere, hvoraf 158

Læs mere

Projekt medlemsservice Survey 2015

Projekt medlemsservice Survey 2015 2015 Projekt medlemsservice Survey 2015 Afrapportering af kvantitativ medlemsundersøgelse gennemført i perioden 10.02.2015-03.03.2015 i forbindelse med Projekt Medlemsservice i Dansk Psykolog Forening

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Lederudvikling betaler sig i Region Midtjylland

Lederudvikling betaler sig i Region Midtjylland 31. maj 2008 Lederudvikling betaler sig i Region Midtjylland Ledelsesudvikling. Lidt under halvdelen af de små og mellemstore virksomheder i Region Midtjylland arbejder bevidst med ledelsesudvikling. 8

Læs mere

Økonomistyring i staten

Økonomistyring i staten Økonomistyring i staten Del 1 Målbillede Version 1.0 Januar 2014 Indhold 1 Indledning 3 1.1 Formål med vejledningen 3 1.2 Opdatering 3 1.3 Behovet for god økonomistyring i staten 3 1.4 Økonomistyring i

Læs mere

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter.

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. 1. Indledning og resume: Til bestyrelsen i Fælleskassen Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. Formålet med denne rapportering er

Læs mere

Vejledning til Lederudviklingssamtalen (LUS)

Vejledning til Lederudviklingssamtalen (LUS) Vejledning til Lederudviklingssamtalen (LUS) I denne vejledning er proceduren for LUS i UCL beskrevet. Vejledningen suppleres af en brugervejledning til systemet Medarbejderplan 1, samt et afsnit i IT-politikken

Læs mere

Beskæftigelsesundersøgelse for PBA i international handel og markedsføring. Årgang 2009-2011 pr. 1. februar 2012

Beskæftigelsesundersøgelse for PBA i international handel og markedsføring. Årgang 2009-2011 pr. 1. februar 2012 Beskæftigelsesundersøgelse for PBA i international handel og markedsføring Årgang 2009-2011 pr. 1. februar 2012 Udarbejdet af Gitte Damgaard, Erhvervsakademi Aarhus, April 2012 Indholdsfortegnelse 1. Indledning...

Læs mere

Globalisering og outsourcing fra erhvervene

Globalisering og outsourcing fra erhvervene Globalisering og outsourcing fra erhvervene Rapport til Skov- og Naturstyrelsen, Landsplanområdet Peter Maskell, DRUID, IVS, CBS i samarbejde med Danmarks Statistik, 11. januar 2006 Indholdsfortegnelse

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Nuværende mål for kapitalstrukturen er en egenkapitalandel på 30% excl. værdi af goodwill.

Nuværende mål for kapitalstrukturen er en egenkapitalandel på 30% excl. værdi af goodwill. Anbefalinger for god selskabsledelse Land & Leisure A/S følger i al væsentlighed Nasdaq OMX Copenhagen A/S s anbefalinger for god selskabsledelse. Land & Leisure A/S ledelse forholder sig således løbende

Læs mere

Notat om forslag fremsat i Borgerrepræsentationen

Notat om forslag fremsat i Borgerrepræsentationen Sag nr. 21563 Notat om forslag fremsat i Borgerrepræsentationen Københavns Kommune har anmodet Bender von Haller Dragsted om en juridisk vurdering af nedenstående forslag set i forhold til Kommunens muligheder

Læs mere

Forventninger til forandringer i det offentlige

Forventninger til forandringer i det offentlige Forventninger til forandringer i det offentlige Survey Implement Consulting Group og Mandag Morgen September 2013 Om undersøgelsen I forbindelse med konferencen om fremtidens offentlige sektor har Implement

Læs mere

S A G S N O T A T 20. AUGUST 2013

S A G S N O T A T 20. AUGUST 2013 K Ø B E N H A V N S U N I V E R S I T ET HSU S A G S N O T A T 20. AUGUST 2013 Vedr.: Status for større indsatser på it-området, august 2013 KONCERN-IT Sagsbehandler: Thomas Arnbak-Hartzberg, Souschef,

Læs mere

Nye overordnede principper for frekvensadministrationen i Danmark

Nye overordnede principper for frekvensadministrationen i Danmark Nye overordnede principper for frekvensadministrationen i Danmark 1 De telepolitiske aftaler Den 8. september 1999 blev der med udgangspunkt i markedssituationen indgået en politisk aftale, der fastlagde

Læs mere

Bilag 1: Overblik over interviews og surveys

Bilag 1: Overblik over interviews og surveys Marts 2015 Bilag 1: Overblik over interviews og surveys Energistyrelsen Indholdsfortegnelse 1. Interview 3 2. Survey 4 Survey af energiselskaber 5 Survey af eksterne aktører 7 Survey af slutbrugere 9 2.3.1.

Læs mere

Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer

Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer v/ Betina Nørgaard, Manager Deloitte Consulting Holmegaard, 15. marts 2012 Agenda Opstart af samarbejdet Afgivelse af

Læs mere

Mandag: HVAD ER ET PROJEKT?

Mandag: HVAD ER ET PROJEKT? Mandag: HVAD ER ET PROJEKT? Hvorforhar vi projekter? Resultater! Fokus på en opgave der ikke er mulig i linjeorganisationen Arbejde på tværs af en organisation Afgrænsning af styringsområde Bedre styring

Læs mere

Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner

Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner Kvalitetsenheden December 2013 Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner December 2013 Side 1 af 7 KVALITETSPOLITIK... 3 VISION OG MISSION...

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Indholdsfortegnelse. Overordnede resultater Side 4. Metode Side 29. Sammenfatning Side 3

Indholdsfortegnelse. Overordnede resultater Side 4. Metode Side 29. Sammenfatning Side 3 Indholdsfortegnelse Sammenfatning Side 3 Overordnede resultater Side 4 Prioritering af indsatsområderne Side 8 Internt benchmark Side 21 Eksternt benchmark: Offentligt ansatte Side 23 Metode Side 29 2

Læs mere

FM2010 Survey: Aktiviteter og forventninger

FM2010 Survey: Aktiviteter og forventninger FM2010 Survey: Aktiviteter og forventninger Facilities Management går op i gear i 2010 Flere aktiviteter med færre ressourcer Endnu mere service til kernevirksomheden fra FM FM bliver yderligere professionaliseret

Læs mere

Vores st yringsredskab

Vores st yringsredskab It strategi 2014 Vores st yringsredskab Når Råbjerg Mile bevæger sig hen over toppen af Nordjylland med 15-30 meter om året ændres udviklingen på vejen. Vi kan ikke stoppe milen, ligesom vi ikke kan stoppe

Læs mere

It-delstrategi for administrativ it-anvendelse

It-delstrategi for administrativ it-anvendelse Administrativ DELSTRATEGI 2011-2015 NOTAT It-delstrategi for administrativ it-anvendelse 9. september 2011 Indholdsfortegnelse 1. Formål...2 2. Baggrund...2 3. Vision...3 4. Strategisk retning...3 4.1.

Læs mere

QUARTERLY ANALYTICS 4 2014. contract management del 3

QUARTERLY ANALYTICS 4 2014. contract management del 3 6 contract management del 3 7 Er du helt sikker på, at du har Contract Management? Del 3: Opbygning af Contract Management-funktion Contract Management kan være et centralt redskab i arbejdet med at nedbringe

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Driftsoptimering. Når selskaber tilrettelægger driften med fokus på de mest udsatte områder.

Driftsoptimering. Når selskaber tilrettelægger driften med fokus på de mest udsatte områder. Driftsoptimering Når selskaber tilrettelægger driften med fokus på de mest udsatte områder. Fra strategi til resultater i forsyningssektoren 2 Når selskaber tilrettelægger driften med fokus på de mest

Læs mere

Samarbejde og udvikling

Samarbejde og udvikling Samarbejde og udvikling Benchmarking Læring Udvikling Effektivitet Februar 205 Indhold. Baggrund og formål 2. erne 3. BLUE modellen Benchmarking Læring Udvikling Effektivisering 4. Forløb 5. Spørgsmål

Læs mere

Fokus på forsyning. Investeringer I: Behov og afkast

Fokus på forsyning. Investeringer I: Behov og afkast Fokus på forsyning SPERA har undersøgt spildevandsselskabernes investeringer. For det første er selskabernes investeringsniveau samt sammenhængen mellem alder og effekten af foretagne investeringer undersøgt.

Læs mere

Fra ERP strategi til succesfuld ERP implementering. Torben Storgaard HerbertNathan & Co

Fra ERP strategi til succesfuld ERP implementering. Torben Storgaard HerbertNathan & Co Fra ERP strategi til succesfuld ERP implementering Torben Storgaard HerbertNathan & Co ERP - realisér morgendagens gevinster + Leveringstid Omkostninger Kundeservice + + Hvem er brugere af ERP i dag? @

Læs mere

Analyse. Bilag til strategi for kommunikation 2015-17

Analyse. Bilag til strategi for kommunikation 2015-17 Analyse Bilag til strategi for kommunikation 2015-17 Om analysen For at kunne udvikle kommunikation fra Nordfyns Kommune, er det nødvendigt at have indblik i kommunikationen, som den praktiseres i dag.

Læs mere

Maj 2014 Udarbejdet af Liselotte Mammen Kruse Kvalitetssikret af Helle Dueholm

Maj 2014 Udarbejdet af Liselotte Mammen Kruse Kvalitetssikret af Helle Dueholm 1/8 Maj 2014 Udarbejdet af Liselotte Mammen Kruse Kvalitetssikret af Helle Dueholm 2/8 Analyserapport Denne analyserapport er den systemansvarliges analyse af kvalitetsledelsessystemet i Teknik og Miljø

Læs mere

JUNI 2014 KØBENHAVN DK HOSTMASTER BRUGERUNDERSØGELSE 2014 AF DK HOSTMASTER. DK HOSTMASTER A/S Kalvebod Brygge 45, 3. sal. DK-1560 København V

JUNI 2014 KØBENHAVN DK HOSTMASTER BRUGERUNDERSØGELSE 2014 AF DK HOSTMASTER. DK HOSTMASTER A/S Kalvebod Brygge 45, 3. sal. DK-1560 København V JUNI 2014 KØBENHAVN DK HOSTMASTER BRUGERUNDERSØGELSE 2014 AF DK HOSTMASTER DK HOSTMASTER A/S Kalvebod Brygge 45, 3. sal. DK-1560 København V Juni 2014 Analyse af brugerundersøgelse af DK Hostmaster DK

Læs mere