Vejledning i it-risikostyring og -vurdering. Februar 2015

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "Vejledning i it-risikostyring og -vurdering. Februar 2015"

Transkript

1 Vejledning i it-risikostyring og -vurdering Februar 2015

2 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til: Digitaliseringsstyrelsen Landgreven København K Tlf Publikationen kan hentes på Digitaliseringsstyrelsens hjemmeside Foto Colourbox Elektronisk publikation ISBN

3 Indhold 1. Formålet med risikostyring Risikostyringsprocessen Risikovurdering

4 1. Formålet med risikostyring Nyt kapitel I alle organisationer er brugen af systemer, informationer og data i det hele taget forbundet med risici i større eller mindre omfang. Alle risici kan ikke fjernes helt, men det er muligt at styre dem ved hjælp af en systematisk tilgang til styringen. Formålet med risikostyring er, at organisationens ledelse kan prioritere ressourcerne i forhold til, hvor de gør mest gavn. Risikovurderingen gør ledelsen bekendt med de aktuelle risici, så organisationen ikke udsætter sig for større risici, end hvad der er acceptabelt. Hvad er risiko? I ISO27000:2013 betegnes risiko som noget neutralt - effect of uncertainty on objectives eller på dansk som effekten af usikkerhed på målsætninger. En risiko kan således både være en god eller negativ ting - alt efter hvad målsætningen er. Den almindelige forståelse af begrebet på dansk er dog, at risiko er negativt ladet, altså at noget uønsket sker. Risikoen måles ved at bedømme, hvor stor sandsynlighed der er for, at en trussel vil kunne påvirke en sårbarhed og skabe en risiko, og hvor store konsekvenser det kan have. Konsekvenserne er de forretningsmæssige konsekvenser, dvs. hvilken betydning det vil have for organisationen og dens målsætninger. Sandsynligheden tager udgangspunkt i de trusler og sårbarheder, som findes. De fleste organisationer benytter i forvejen risikostyring som et værktøj til at styre organisationen i den rigtige retning. For eksempel vil der typisk være en strategisk risikostyring, hvor de forretningsmæssige mål tilpasses. Risici i relation til brud på fortrolighed, integritet og tilgængelighed af data og systemer skal styres som en del af organisationens ledelsessystem for informationssikkerhed (ISMS). Dokumentationen og styringen af dette arbejde klarer nogen organisationer fint i Excel, mens andre har købt målrettede systemer. Det mest hensigtsmæssige vil i mange tilfælde være at integrere informationssikkerhedsstyringen med den øvrige risikostyring. En samlet risikostyringsproces og rapportering vil give et mere overskueligt og fyldestgørende risikobillede. 2

5 2. Risikostyringsprocessen Nyt kapitel I ISO27005 beskrives forslag til arbejdet med it-risikovurderinger. Standarden tager udgangspunkt i en generisk tilgang til risikostyring, som bygger på ISO Denne tilgang kan anvendes, uanset hvilken type af risici der er tale om. Processen for risikovurdering, som beskrives i ISO27005, er i overensstemmelse med kravene til risikostyring i ISO27001 og er udgangspunktet for denne vejledning. Risikostyringsprocessen, som illustreret i figuren nedenfor, består af seks hovedaktiviteter, hvoraf de tre omhandler risikovurderingen. De seks aktiviteter beskrives kort i det efterfølgende. For en mere detaljeret beskrivelse henvises til ISO Illustration af risikostyringsprocessen Risikovurdering Etablering af kontekst Risiko kommunikation og konsultation Risikovurdering tilfredsstillende? Ja Risikoidentifikation Risikoanalyse Risikoevaluering Nej Risikohåndtering Risiko overvågning og review Risikohåndtering tilfredsstillende? Ja Nej Risikoaccept Kilde: ISO

6 Etablering af kontekst Med etablering af kontekst fastsættes rammerne for risikostyringen. Der foretages organisatorisk, fysisk og teknisk afgrænsning af risikostyringens omfang, der udpeges roller og ressourcer, defineres kriterier for risikotolerance og beskrives en metode for risikovurderingen. Risikovurdering Risikovurderingen er omdrejningspunktet i risikostyringen. Her identificeres, analyseres og evalueres risici med udgangspunkt i den definerede kontekst. Resultatet af risikovurderingen er en liste over risici, som er prioriteret i forhold til de foruddefinerede kriterier. Risikovurderingen er yderligere beskrevet i sidste halvdel af denne vejledning. Organisationens risici kan med fordel præsenteres grafisk i en illustration som i den nedenstående matrix, hvor risici placeres efter konsekvens og sandsynlighed. Risikobilledet i forhold til konsekvens og sandsynlighed Den mest almindelige fremgangsmåde er at tage udgangspunkt i aktiverne og vurdere dem ud fra den vurderede sandsynlighed og konsekvens. Alternativt kan risikobilledet fx udarbejdes ved at tage udgangspunkt i de forretningsprocesser, som aktiverne understøtter, eller som risiciene primært vil have indflydelse på. 4

7 Risikohåndtering Der er fire muligheder for at håndtere risici: 1. Acceptér (risikoen accepteres, og der foretages ikke yderligere). 2. Flyt (risikoen overføres til en tredjepart, fx ved hjælp af forsikring, outsourcing eller lignende). 3. Undgå (risikoen undgås ved at stoppe eller ændre den aktivitet, som er årsag til risikoen). 4. Kontroller (risikoen kontrolleres ved at indføre foranstaltninger, som fjerner eller reducerer sandsynligheden eller konsekvenserne). Som en del af risikohåndteringen udarbejdes en plan for, hvordan de identificerede risici skal håndteres. Når der udvælges kontroller til reducering af risici, skal det ske ud fra en cost/benefit-vurdering, så kontrollernes effekt på risikoen vurderes i forhold til omkostningerne. I forlængelse af risikohåndteringsplanen bør organisationen opdatere SoA-dokumentet. SoAdokumentet skal bl.a. indeholde en beskrivelse af de kontroller, som organisationen har valgt at implementere. SoA-dokumentet bør derfor altid opdateres, når der er gennemført en risikovurdering og taget beslutning om at ændre på kontrollerne. I Vejledningen til SoA-dokumentet kan der findes mere information om, hvordan det udarbejdes og vedligeholdes. Kontroller Formålet med implementering af kontroller er at reducere risikoen. I ISO27000:2013 er en kontrol defineret som en foranstaltning, som ændrer risikoen. Kontroller omfatter enhver proces, politik, plan, praksis eller andre handlinger, som ændrer risikoen. Kontrollerne kan udføres manuelt eller automatisk. Risikoaccept Risikoaccepten bør altid foretages af den øverste ledelse. Risikohåndteringsplanen kan i praksis benyttes som en anbefaling/indstilling fra informationssikkerhedsudvalget til ledelsen. Her anføres det, hvilke tiltag, som bør indføres, og hvilke risici, som bør accepteres med udgangspunkt i de fastsatte kriterier for risikotolerance. Selvom risici kontrolleres ved at indføre yderligere kontroller, vil der i de fleste tilfælde altid være en restrisiko. Det er vigtigt, at der i risikohåndteringsplanen foretages en vurdering af de valgte kontrollers effekt på risikoen, og at den tilbageværende risiko vurderes og beskrives. 5

8 Opfølgning på risici Der bør løbende foretages opfølgning på risici. Dels bør det sikres, at de kontroller og tiltag, der indføres som en del af risikohåndteringen rent faktisk også bliver implementeret og fungerer efter hensigten. Dels bør der løbende følges op på de forudsætninger, som ligger til grund for risikovurderingen. Aktiver, trusler, sårbarheder og konsekvenser kan hurtigt ændres og medfører tilsvarende ændringer i risikobilledet. Organisationens risikostyring bør derfor sikre, at der på en struktureret måde foretages en løbende opfølgning på risici. Kommunikation om risici Risikostyring er en tværorganisatorisk proces, og der indgår mange interessenter med forskellige opgaver og ansvarsområder. Kommunikation er derfor en central del af risikostyringen. Typisk vil det være informationssikkerhedsudvalget og sikkerhedskoordinatoren, som har det praktiske ansvar for risikovurderingen, mens linjeledelsen har ansvaret for risici inden for eget område. For at sikre en fælles opfattelse og tilgang til risikovurderingen, bør kommunikationen planlægges, så der er en ensartet tilgang og fælles forståelse af processen. Risikostyring er en proces Styring af risici er en løbende proces. Når der foretages en risikovurdering, er der tale om et øjebliksbillede af situationen på det tidspunkt, hvor vurderingen udarbejdes. Men både organisationen, informationsaktiverne, trusler, sårbarheder mv. ændres konstant. Hvem har ansvaret for risikovurderingen? Organisationens øverste ledelse har ansvar for at være orienteret om risikobilledet og træffe de nødvendige beslutninger for at nedbringe risici til et acceptabelt niveau. Dette ansvar omfatter også de operationelle risici, som opstår ved brug af informationssystemer. Typisk vil ansvaret blive varetaget af informationssikkerhedsudvalget, som så foretager periodisk rapportering til den øverste ledelse. Følgende roller har ligeledes opgaver i relation til risikostyringen: Systemejer skal sikre styring af risici i relation til det enkelte it-system. Dataejer skal sikre styring af risici i relation til data. Ejere af fysiske aktiver skal sikre styring af risici relateret til disse. Der skal derfor gennemføres periodiske risikovurderinger, dels for at følge op på risici og de tiltag, som implementeres, og dels for at følge op på selve risikostyringsprocessen og de overordnede rammer og principper, som ligger til grund herfor. 6

9 I figuren nedenfor er de forskellige aktiviteter i risikostyringsprocessen illustreret i plan-docheck-act-modellen. Risikovurdering sat ind i plan-do-check-act-modellen PLAN Risikovurdering Risikohåndteringsplan Risikoaccept ACT Vedligeholde og forbedre risikostyringsprocessen DO Implementere Risikohåndteringsplan CHECK Opfølgning på risici 7

10 3. Risikovurdering Nyt kapitel Vejledning i it-risikostyring og -vurdering Risikovurderingen er fundamentet for risikostyringsprocessen. Det er her, at risici skal identificeres og beskrives (risikoidentifikation) analyseres og måles (risikoanalyse) evalueres i forhold til risikotolerancen (risikoevaluering). Risikovurdering kræver proces Risikovurderingen bør altid foretages ud fra en fastlagt proces. De enkelte aktiviteter i risikovurderingen er uddybet nedenfor. Der er intet metodekrav i ISO27001 til, hvordan risikovurderingen gennemføres. Valg af metode kan bl.a. afhænge af organisationens størrelse og kompleksitet. Dog skal der altid gennemføres en vurdering af risikoen for tab af fortrolighed, integritet og tilgængelighed. Hvordan risikovurderingen i praksis udføres skal fremgå af en proces- og metodebeskrivelse, så risikovurderingen bliver systematisk og resultaterne sammenlignelige. Flere af aktiviteterne vil med fordel kunne udføres samtidigt. For eksempel vil mange risici både kunne identificeres og analyseres af de samme personer. Identifikationen af risici bør være så omfattende som muligt. Det er bedre at inkludere for meget end at afgrænse sig fra potentielle risici. Desuden bør alle risici inkluderes, uanset om organisationen har indflydelse på dem eller ej. Processer Når risici skal identificeres, kan der med fordel tages udgangspunkt i organisationens forretningsprocesser. Ved at gennemgå processerne opnås et overblik over, hvilke aktiver, der understøtter processerne og deres betydning herfor. Samtidig er det muligt at identificere sammenhæng og afhængigheder mellem aktiverne, som i sidste ende kan have stor betydning for risikoen. Et aktiv kan fx anvendes af flere forretningsprocesser til forskellige formål og med forskellige konsekvenser, hvis der sker en hændelse. Overblik og kendskab til processerne er en forudsætning for at vurdere konsekvenserne for organisationen ved potentielle sikkerhedshændelser. Hvis hændelser har forskellige konsekvenser for forretningsprocesserne, skal der altid tages udgangspunkt i den mest alvorlige. Aktiver Risikoidentifikationen bør tage udgangspunkt i de aktiver, som er omfattet af organisationens informationssikkerhedsarbejde. Aktiverne bør identificeres på et passende niveau i forhold til organisationens størrelse og det ønskede detaljeringsniveau af risikovurderingen. I mange tilfælde kan aktiverne grupperes på en måde, hvor antallet begrænses, mens det stadig er muligt at knytte specifikke trusler til dem. For eksempel kan routere, switche, firewalls mv. grupperes som netværksudstyr eller infrastruktur. 8

11 Risikovurderingen bør ikke kun omfatte it-systemer men alle de aktiver, som indgår i et informationssystem. Det inkluderer også fysiske aktiver som fx papirarkiver, medarbejdere, immaterielle aktiver mv. Aktiverne kan med fordel grupperes efter deres type for at lette identifikationen, eftersom der ofte vil være en sammenhæng med de relevante trusler. I ISO27001 er der intet krav om, at risikovurderingen skal tage sit afsæt i aktiverne, men hvis organisationen har god erfaring med det, er det naturligvis en god idé at fortsætte. Ellers kan risikovurderingen gå på tværs af organisationen og tage sit afsæt i forretningsprocesserne. Trusler Identifikationen af relevante trusler er afgørende for, at man ikke overser risici. Derfor bør trusselsvurderingen ske på en systematisk måde. Ved at tage udgangspunkt i et katalog over mulige trusler kan organisationen pejle sig ind på de trusler, der er relevante for de enkelte aktiver. Der findes meget omfattende trusselskataloger, som indeholder enhver tænkelig situation, men man kan også anvende mere generiske kataloger. ISO27005:2011 Risikoledelse Ifølge National strategi for cyber- og informationssikkerhed er det endvidere et krav, at cybertrusler indgår i myndighedernes risikovurderinger og risikoledelse fra I ISO27005 i anneks C beskrives et eksempel på mulige trusler. Disse trusler er opdelt i nogle hovedgrupper, som vist i figuren ovenfor. Der kan også ses på de trusselsvurderinger, som løbende udarbejdes af GovCERT 1 og øvrige myndigheder og organisationer på området. 1 GovCERT er i dag en del af netsikkerhedstjenesten, der forebygger og imødegår avancerede cyberangreb rettet mod tilsluttede myndigheder og virksomheder. Netsikkerhedstjenesten medvirker til, at der i staten er overblik over avancerede cyberangreb rettet mod brugerkredsen. GovCERT er placeret hos Center for Cybersikkerhed. 9

12 Sårbarheder En trussel kræver en sårbarhed for at kunne resultere i en risiko og omvendt. Sårbarheder kan opstå i mange forskellige sammenhæng. Det kan for eksempel være en procedure eller arbejdsgang, som ikke fungerer efter hensigten eller en teknisk opsætning, som gør itsystemerne åbne for angreb. En god måde at få afdækket sårbarhederne på er ved at gennemgå de implementerede kontroller og vurdere deres effektivitet. Her kan igen tages udgangspunkt i SoA-dokumentet, hvis det er udarbejdet. Risikoanalyse Den sidste del af risikoidentifikationen er en identifikation af de konsekvenser, som et tab af fortrolighed, integritet eller tilgængelighed for aktiverne vil medføre. Det er vigtigt at tage udgangspunkt i de forretningsmæssige konsekvenser, dvs. hvilken betydning det vil have for organisationen som helhed og ikke kun for et afgrænset område. Konsekvenserne kan opdeles i forskellige typer. Det kan være direkte økonomiske tab, ressourceforbrug, tid/forsinkelser, tab af omdømme, politiske konsekvenser mv. Begreberne sandsynlighed, konsekvens og eksempler på maksimalt acceptabel nedetid er beskrevet i skemaerne på de næste sider. Disse termer anvendes til beskrivelse af sandsynlighed og konsekvens for risici samt klassifikation af systemer under vurderingen. Tabel med beskrivelse af sandsynlighed Sandsynlighed Usandsynligt Mindre sandsynligt Sandsynligt Forventet Eksempelbeskrivelse Det anses for næsten udelukket, at hændelsen nogensinde kan forekomme - Ingen erfaring med hændelsen - Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark Hændelsen forventes ikke at komme - Ingen erfaring med hændelsen - Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark Det er sandsynligt at hændelsen vil forekomme - Man har erfaring med hændelsen, men ikke inden for de sidste 12 måneder - Kendes fra andre offentlige og private virksomheder i Danmark (omtales årligt i pressen) Det ventes at hændelsen vil forekomme - Man har erfaring med hændelsen inden for de sidste 12 måneder - Hænder jævnligt i andre offentlige og private virksomheder (omtales ofte i pressen) 10

13 Tabel med konsekvensskala og konsekvenstyper Konsekvenstype og konsekvensbeskrivelse Strategisk Medfører indskrænkninger i evnen til at handle i en periode Økonomisk Medfører meromkostninger eller tab Administrativ/ procesmæssig Medfører administrative belastninger Omdømme Påvirker omdømme i uønsket retning Politisk/strategisk Medfører indskrænkninger i evnen til at handle i en periode Forhold til interessenter Påvirker forholdet til interessenter Menneskelige Medfører konsekvenser for det enkelte individ Privacy Medfører brud på privatlivets red (privacy) Brud på lovgivningen Medfører brud på lovgivning, f.eks. forvaltningslov og straffelov Ubetydelig (uvæsentlig) Ingen særlig påvirkning Ingen særlig påvirkning Håndteres uden særligt ressourcetræk i de administrative funktioner Ingen særlig påvirkning Ingen særlig påvirkning Ingen særlig påvirkning Ingen særlig påvirkning Ingen særlig påvirkning Ingen særlig påvirkning Mindre alvorlig (generende) Planlagte aktiviteter kan gennemføres med mindre justeringer Meromkostninger og tab i begrænset niveau, som kan kræve mindre budgetændringer Håndteres inden for rimeligt ekstra administrativt ressourcetræk Forbigående opmærksomhed fra enkelte grupper Planlagte aktiviteter kan gennemføres med mindre justeringer Forringet samarbejde med interessenter i enkeltsager Den enkelte udsættes for gener, men ikke noget alvorligt Der er formelle mangler i de oplysninger, der gives den enkelte, men ikke i graverende grad Manglende overholdelse af administrative procedurer og regler, som ikke er af kritisk karakter Konsekvensskala Meget alvorlig (kritisk) Medfører revurdering af vigtige aktiviteter på kort sigt Store økonomiske tab med risiko for at blive sat under administration Der må trækkes væsentligt på eksisterende og nye administrative ressourcer Offentligheden fatter generel negativ interesse, som kan medføre begrænset tab af kunder Medfører revurdering af vigtige aktiviteter på kort sigt Generelt forringet samarbejde med interessenter Alvorlig personskade Den enkelte fratages råderetten over egne data. Ikke-følsomme data videregives uretmæssigt Lovbrud, der er kritiske og kan stille ministeriet i miskredit Graverende/ ødelæggende (uacceptabelt) Bliver ude af stand til at gennemføre vigtige aktiviteter, som er planlagt i en periode fremover Væsentlige økonomiske tab. Bliver sat under administration Administrative ressourcer må udvides urealistisk Væsentlig skade på omdømme. Ministeren må gå af Ledelsen må gå af. Bliver ude af stand til at gennemføre vigtige aktiviteter, som er planlagt i en periode fremover Væsentligt nedbrud i det generelle samarbejde med interessenter Menneskeliv står på spil Den enkelte udsættes for uacceptable krænkelser af privatlivet. Der træffes bebyrdende afgørelser mod den enkelte på et forkert grundlag. Følsomme data videregives uretmæssigt Kritisk lovgivning, f.eks. straffeloven brydes. Ministeren må gå af 11

14 Tabel med beskrivelse af acceptabel nedetid Acceptabel nedetid Under 4 timer 4 8 timer Beskrivelse Manglende tilgængelighed vil være tidskritisk næsten med det samme. Manglende tilgængelighed må helst ikke vare mere end en enkelt arbejdsdag. 2 dage Et par dages utilgængelighed er det maksimalt tilladelige. Under en uge Mere end en uge Manglende tilgængelighed må vare mere end et par dage men helst ikke en hel arbejdsuge. Manglende tilgængelighed må vare mere end en uge. Der findes flere hjælpeværktøjer, som kan bruges til at lette arbejdet med at registrere og beskrive risici. Nedenfor er vist et eksempel på et ark til opsamling af risici og dokumentation af vurderingen af konsekvens og sandsynlighed. Eksempel på Excel-ark til registrering af risici Eksempel på Excel-ark til registrering af risici Aktiv navn Aktiv kategori Trusler Sårbarheder Sandsynlighed Konsekvens Konsekvenstype Vægtning Forklaring Risiko Scenarie 1: Tekniske fejl - Software: System A It-systemer Softwarefejl Utilstrækkelig test Sandsynligt (3) Generende (2) Administrativ 1.. Middel Krydsfelt It-infrastruktur Scenarie 5: fysisk skade - ødelæggelse Hardware: Udsat placering Sandsynligt (3) Kritisk (3) Administrativ 1,5.. Høj I forlængelse af vurderingen af konsekvenserne kan man med fordel samtidig opdatere informationsaktivets klassifikation og kritikalitet. Disse oplysninger anvendes i flere sammenhænge til at bestemme, hvilke kontroller, beredskabsniveau mv., som aktivet skal have. Klassifikationen er en vurdering af, hvor følsomme informationerne er, og hvilke krav der er til fortroligheden. Der anvendes ofte 3-5 forskellige niveauer, fx offentligt, internt, fortroligt mv. 12

15 Kritikaliteten bruges oftest som betegnelse for, hvor vigtig tilgængeligheden (og eventuelt integriteten) er for aktivet. Det er vigtigt, at systemerne kategoriseres korrekt i forhold til behovet for tilgængelighed. Kategorisering af systemkritikalitet A. Korte systemafbrud (timer) vil medføre katastrofale følgevirkninger for forretningen som følge af væsentlige og uoprettelige svigt i målopfyldelse eller brud på love eller aftaler. B. Langvarige afbrud (dage) vil medføre katastrofale følgevirkninger for forretningen som følge af væsentlige og uoprettelige svigt i målopfyldelse eller brud på love og aftaler. C. Afbrud vil medføre væsentlig ulempe, men vil ikke i væsentlig grad hindre målopfyldelse eller føre til brud på love eller aftaler. D. Afbrud medfører mindre ulemper og begrænsede tab eller omkostninger. Formålet med risikoanalysen er at måle størrelsen af de identificerede risici i form af sandsynligheden og konsekvensen. Overordnet set kan dette gøres på to forskellige måder, kvantitativt eller kvalitativt. Med en kvantitativ fremgangsmåde anvendes numeriske værdier som for eksempel procenter eller kroner og øre. Det kan være meget omfattende at udføre en kvantitativ analyse, og det vil ofte være svært at sætte tal på de indirekte konsekvenser såsom tab af omdømme. En måde at gribe det an på kan være ved at spørge, hvor meget man er villig til at betale for at undgå en bestemt hændelse. De kvalitative metoder definerer skalaer med et vist antal trin. Herefter rangordner og indplacerer man hændelser inden for disse trin. En sådan metode er relativ hurtig at anvende, om end det vil være svært at placere en konkret indeksering på en skala. Brug af kvalitative vurderinger til at indplacere hændelser er i sagens natur ikke præcise. Erfaringen viser imidlertid, at denne metode ofte giver et kvalificeret bidrag til at afdække de nødvendige indsatsområder. I praksis kan organisationen med fordel benytte en kombination af kvalitative og kvantitative metoder i risikovurderingsprocessen. Eksempelvis kan der indledes med en kvalitativ vurdering af konsekvenser. Denne kan efterfølgende underbygges kvantitativt for at beslutte, om der i konkrete tilfælde skal indføres skærpede kontroller. Risikoevaluering Det sidste skridt i risikovurderingen er evalueringen af de fundne risici i forhold til de kriterier, som er fastlagt af ledelsen. Der foretages en prioritering af risici, fx ved indplacering i en skala eller risikobillede, som illustreret på side 4. Et risikobillede er et simpelt og effektivt værktøj til at formidle risici i organisationen. Kontroller De eksisterende kontroller bør gennemgås og vurderes i forhold til deres effektivitet. Dette er nødvendigt for at kunne identificere eventuelle sårbarheder, der skal håndteres. Gennem- 13

16 gangen af kontrollerne er også en forudsætning, hvis man ønsker at dokumentere effekten heraf, ved at vurdere risikoen både før og efter en kontrol er implementeret. Hvis der er udarbejdet et SoA-dokument, som beskriver de indførte kontroller, kan der med fordel tages udgangspunkt heri. Ledelsesforankring Risikovurderingen er den aktivitet, som ved involvering af ledelsen kan skabe grundlaget for ledelsesforankring. Ved at initiere en debat og vurdering af organisationens risikobillede og -profil vil det samlede sikkerhedsarbejde og indsatserne blive synlige for ledelsen. Samtidig kan det knyttes til en prioritering af de nødvendige, fremtidige indsatser. Leverandørstyring Den gennemførte it-risikovurdering vil give et samlet risikobillede, og der vil være taget stilling til eventuelle handlinger med henblik på at mindske risici gennem implementering af yderligere kontroller. Anvendes ekstern leverandør til drift af systemer og data, er det vigtigt, at leverandøren informeres om resultatet af risikovurderingen, så systemer og data beskyttes i overensstemmelse med den accepterede restrisiko. Informationen til leverandøren kan derfor indeholde følgende: Samlet oversigt over risikobilledet for systemer, der er driftet hos leverandøren. Krav til tilgængelighed for de enkelte systemer, herunder til oppetider og maksimal acceptabel nedetid. Krav til fortrolighed vurdering af korrekt beskyttelse af data både i forhold til fortrolighed generelt og i forhold til karakteren af personoplysninger som fx adgangsstyring og kryptering. Krav i forbindelse med tab af data. Krav til særlige kontroller som fx fysisk sikkerhed, adgangsstyring, driftsprocedurer, udvikling og vedligeholdelse, logning, rapportering, backup og restore. Leverancer fra eksterne leverandører skal sikres gennem kundeaftaler. Ved særlige sikkerhedskrav, herunder håndtering af personoplysninger, skal der indgås en databehandleraftale. 14

17

18

19

20

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Digitaliseringsstyrelsen Risikovurdering Marts 2018

Digitaliseringsstyrelsen Risikovurdering Marts 2018 www.pwc.dk Risikovurdering Revision. Skat. Rådgivning. www.pwc.dk Klaus Ravn Cyber security specialist Baggrund Akkreditering af systemer og apps Risikovurdering af systemer Facilitator af it-beredskabsøvelser

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017 Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

INFORMATIONS- SIKKERHEDS- AKTIVITETER

INFORMATIONS- SIKKERHEDS- AKTIVITETER ISO27001 PRINCIPPERNE SEPTEMBER 2017 INFORMATIONSSIKKERHED INFORMATIONS- SIKKERHEDS- AKTIVITETER KOMMUNALT ARBEJDE MED ØGET INFORMATIONSSIKKERHED Informationssikkerhedsaktiviteter Kommunalt arbejde med

Læs mere

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Guide til konsekvensvurdering af privatlivsbeskyttelsen

Guide til konsekvensvurdering af privatlivsbeskyttelsen Guide til konsekvensvurdering af privatlivsbeskyttelsen Maj 2013 Guide til konsekvensvurdering af privatlivsbeskyttelsen Udgivet maj 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Sikkerhed og Revision 2015

Sikkerhed og Revision 2015 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets

Læs mere

Forordningens sikkerhedskrav

Forordningens sikkerhedskrav Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering

Læs mere

Pixiguide til udarbejdelse af konsekvensvurdering

Pixiguide til udarbejdelse af konsekvensvurdering 28. januar 2013 Pixiguide til udarbejdelse af konsekvensvurdering for privatlivsbeskyttelsen Konsekvensvurderingen er en proces, der består af 6 trin, som illustreres nedenfor: 2. Konsekvensvurdering for

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Politik <dato> <J.nr.>

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

RISIKOVURDERING I PRAKSIS

RISIKOVURDERING I PRAKSIS RISIKOVURDERING I PRAKSIS AGENDA INTRODUKTION AF Jesper B. Hansen Siscon TRUSSELSBILLEDET RISIKOVURDERING Trusler -> konsekvenser Metode ISO 27005 Håndtering af risici OPSAMLING ControlManager by Siscon

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001) IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag

Læs mere

ISO Ledelsesværktøj til digital risikostyring

ISO Ledelsesværktøj til digital risikostyring ISO 27001 Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno 2016 3. Hvorfor ISO27001

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent, Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Guide til implementering af ISO27001

Guide til implementering af ISO27001 Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen

Læs mere

Vejledning om evaluering af beredskab. April 2015

Vejledning om evaluering af beredskab. April 2015 Vejledning om evaluering af beredskab April 2015 Vejledning om evaluering af beredskab Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Øget selvforvaltning via sikkerhedsledelsessystemet

Øget selvforvaltning via sikkerhedsledelsessystemet Øget selvforvaltning via sikkerhedsledelsessystemet 1 Risikostyringsprocessen og den uafhængige vurdering 2 CSM RA Siger: Jf. CSM RA. Bilag 1. pkt. 1.1.2. Denne iterative risikostyringsproces: Skal omfatte

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Velkommen Gruppe SJ-1

Velkommen Gruppe SJ-1 Velkommen Gruppe SJ-1 Lasse Ahm Consult Tirsdag, den 17. marts 2015 21:05 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05

Læs mere

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act) Agenda AGENDA & Siscon Indledning Konsekvensanalyse (Plan) Omfang Parametre Konsekvensanalyse (Do) Forberedelse Gennemførelse Konsekvensanalyse (Check) Fremlæggelse Konsekvensanalyse (Act) Iværksæt tiltag

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Guide til bedre beredskabsstyring. April 2015

Guide til bedre beredskabsstyring. April 2015 Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi? Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Rsikostyring - Vejledning til risikolog

Rsikostyring - Vejledning til risikolog Rsikostyring - Vejledning til risikolog Vedr.: Emne: Universitetssygehuset i Køge Vejledning til Riskologgen Åboulevarden 21 Postbox 510 DK-8100 Aarhus C T: [+5] 871 00 Fra: Per Christensen / pch@bascon.dk

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik

Læs mere

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki Risikovurdering og beredskab 26. April 2010 Præsenteret af Marianne Bo Krowicki Det kan gå så gruelig galt En medarbejder blev bortvist i fredags. Brikken blev deaktiveret, og bruger-log-on blokeret, men

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Vejledning - Udarbejdelse af gevinstdiagram

Vejledning - Udarbejdelse af gevinstdiagram Vejledning - Udarbejdelse af gevinstdiagram Maj 2015 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Vejledning - Udarbejdelse af gevinstdiagram

Vejledning - Udarbejdelse af gevinstdiagram Vejledning - Udarbejdelse af gevinstdiagram Januar 2014 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4

Læs mere

Velkommen Gruppe SJ-2

Velkommen Gruppe SJ-2 Velkommen Gruppe SJ-2 Lasse Ahm Consult Torsdag, den 19. marts 2015 23:23 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05

Læs mere

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur?

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur? Sikkerhedskultur Hvordan går det med sikkerheden? Virksomheder er i stigende grad udsatte og sårbare over for såvel eksterne som interne sikkerhedstrusler. Truslerne kan være rettet mod mennesker, it-systemer,

Læs mere

Vejledning i risikovurdering

Vejledning i risikovurdering Vejledning i risikovurdering Indledning Formålet med at identificere risici og trusler for en lokal enhed er, at øge muligheden for at forebygge kritiske situationer samt minimere konsekvenserne og sikre

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Security & Risk Management Summit 2016

Security & Risk Management Summit 2016 Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: Digital risikostyring bør sidestilles med finansiel risikostyring! Jørgen Bardenfleth, Bestyrelsesformand,

Læs mere

Revideret Miljøledelsesstandard

Revideret Miljøledelsesstandard Revideret Miljøledelsesstandard ISO 14001:2015 Ændringer ift. DS/EN ISO 14001:2004 Dokumentationskrav i ny ISO 14001 GREENET- Revideret ISO 14001 1 MiljøForum Fyn - Revideret ISO 14001 2 1 Termer og definitioner

Læs mere

Referat af bestyrelsesmøde i Hjørring Vandselskab A/S

Referat af bestyrelsesmøde i Hjørring Vandselskab A/S Referat af bestyrelsesmøde i Hjørring Vandselskab A/S Mødedato: d. 07-11-2014 Mødetid: 9:00 Mødested: Åstrupvej 9,. Afbud: Henrik Jørgensen. Fraværende: Referent: Ole Madsen. Punkt 1. Referat. Der er udarbejdet

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Identificering og imødegåelse af farer og risici

Identificering og imødegåelse af farer og risici dato 05.11.2012 Side 1 af 5 Identificering og imødegåelse af farer og risici Formål: At sikre, at risici bliver vurderet og at der tages passende forholdsregler til at imødegå ulykker og andre arbejdsmiljøbelastninger.

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen Modenhed og sikkerhed hos databehandlere Charlotte Pedersen 28. Januar 2014 Præsentation Charlotte Pedersen Director Cand.scient.pol. ISO27001:2013 Certified ISMS Lead Auditor (IBITG accredited) mv., CIIP,

Læs mere

Audit beskrivelser for PL

Audit beskrivelser for PL 3-4-1 V01 3-4-1 V02 3-4-1 V03 3-4-1 V04 3-4-1 V05 Er der etableret et system til regelmæssig kontrol af processerne? Punktet er opfyldt, hvis der er en synlig regelmæssig måling for processen med acceptgrænser.

Læs mere

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Overordnet Informationssikkerhedsstrategi. for Odder Kommune Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5

Læs mere

Parathedsmåling. Anden fase: udarbejdelse af parathedsmåling. Fælles dialog mellem udvalgte medarbejdere i egen organisation

Parathedsmåling. Anden fase: udarbejdelse af parathedsmåling. Fælles dialog mellem udvalgte medarbejdere i egen organisation Anden fase: udarbejdelse af parathedsmåling Parathedsmåling Anden fase: udarbejdelse af parathedsmåling Fælles dialog mellem udvalgte medarbejdere i egen organisation Parathedsmålingen er et redskab, der

Læs mere

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig: Velkommen til Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016 1 Lidt om mig: Jan Støttrup Andersen Force Technology; Audit og Forretningsudvikling Konsulent indenfor ledelsessystemer

Læs mere

Velkommen Gruppe SJ-1

Velkommen Gruppe SJ-1 Velkommen Gruppe SJ-1 Lasse Ahm Consult Torsdag, den 25. september 2014 15:35 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05

Læs mere

Kl Indledning v. Lone Strøm, Rigsrevisor

Kl Indledning v. Lone Strøm, Rigsrevisor Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,

Læs mere

Informationsforvaltning i det offentlige

Informationsforvaltning i det offentlige Informationsforvaltning i det offentlige 1 Baggrund Den omfattende digitalisering af den offentlige sektor i Danmark er årsag til, at det offentlige i dag skal håndtere større og større mængder digital

Læs mere

PROfessiOnel RisikOstyRing med RamRisk

PROfessiOnel RisikOstyRing med RamRisk 4 Professionel risikostyring med ramrisk www.ramrisk.dk Risikostyring med RamRisk Rettidig håndtering af risici og muligheder er afgørende for enhver organisation og for succesfuld gennemførelse af ethvert

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Informationssikkerhedspolitik. DokumentID / Dokumentnr /

Informationssikkerhedspolitik. DokumentID / Dokumentnr / Regionen - Tværregionale dokumenter - 1 Ledelse - 1.11 Informationssikkerhed Dokumentbrugere: Alle Læseadgang: Tværregionale dokumenter Udskrevet er dokumentet ikke dokumentstyret. Forfatter: Søren Lundgaard

Læs mere

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer 5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,

Læs mere

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0. Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Beredskabspolitik Kommunerne Hovedstadens Beredskab

Beredskabspolitik Kommunerne Hovedstadens Beredskab Godkendt af Hovedstadens Beredskabs Bestyrelse 13. januar 2016 Bilag 1 Beredskabspolitik Kommunerne i Hovedstadens Beredskab 1 Indhold Indledning... 2 Beredskabspolitikken... 3 Ledelse... 3 Planlægningsgrundlag...

Læs mere