Det vil sige at IS skal beskytte forskningsdata, medarbejderdata og administrative data. Disse data (informationer) findes på KU i form af:
|
|
- Ejnar Lauritzen
- 6 år siden
- Visninger:
Transkript
1 KØBENHAVNS UNIVERSITET Bestyrelsesmøde nr. 87 d. 31 januar 2017 Punkt 8. Bilag 1. Københavns Universitets bestyrelse SAGSNOTAT 6. JANUAR 2017 Vedr. Status på informationssikkerhed på KU Sagsbehandler Poul Halkjær Nielsen NØRREGADE 10 POSTBOKS 2177 Hvad er informationssikkerhed? På KU arbejder vi ud fra begrebet informationssikkerhed. I dagligdagen forkortet IS. IS styres ud fra et management system, hvorfor dette ofte forkortes ISMS. Informationssikkerhed dækker alle de typer informationer vi har på KU og i alle de former de findes. Det vil sige at IS skal beskytte forskningsdata, medarbejderdata og administrative data. Disse data (informationer) findes på KU i form af: Fysiske genstande som museumsgenstande, biobanker, jordprøver, isborekerner og planter herunder genetisk modificerede samt f.eks. myrekolonier Lydoptagelser af tale og talefejl, dialekter, samtaler og dyrelyde Billeder i form af fotografier, røntgen, af dyr, planter, mennesker og ting Papir med informationer af enhver karakter fra fortid og nutid Digitaliserede og behandlede data 1017 KØBENHAVN K TLF DIR MOB pohn@adm.ku.dk REF: PHN Det er KU s fortid, nutid og fremtid, der ligger i disse informationer. Informationerne skal beskyttes mod at de: Stjæles, tabes eller ødelægges Forringes bevidst eller ubevidst Kommer til uberettigedes kendskab
2 Nogle af informationerne er decideret underlagt krav om beskyttelse via lovgivning som Persondataloven. Der kan også være tale om kontraktlige forpligtelser med ubegrænset økonomisk erstatningspligt indgået decentralt med samarbejdspartnere. SIDE 2 AF 7 Formålet med informationssikkerhed Formålet med et ISMS er at sikre, at det er ledelsen, der udstikker retningslinjerne for KU s sikkerhed, og at der på KU er fokus på IS. For at ledelsen kan styre et ISMS, har de brug for, at der også sker et tilbageløb af informationer vedrørende hændelser, trusler og behov på KU og at ISpolitikken vedligeholdes tidssvarende. For at forstå IS-arbejdet er det vigtigt at kende til de trusler, der er helt virkelige mod KU s viden forskning og undervisning. Truslerne Truslerne mod KU s informationer kommer både indefra og udefra. Det ligger i den meget frie og selvbestemmende KU-kultur at skader, der i mere stramt drevne organisationer ville være usete eller havde kunnet forhindres, vil forekomme oftere. Sammenholdt med Center for Cybersikkerheds nye rapport om truslerne mod vores sektor, tegner der sig et billede af at risikoen for, at KU bliver ramt af spionage eller angreb, der forstyrrer vores ITinfrastruktur og informationer, er stor. Rapporten fra Center for Cybersikkerhed og Informationssikkerhedschefens vurdering af den er vedlagt i bilag 2 og 3. Her er givet nogle eksempler på de hændelser vi er udsat for: Kryptering af fællesdrev med forskningsdokumenter fordi en forskers udstyr ikke var opdateret. Der er mærkeligt nok ingen betalingsmulighed/krav og data må blot genetableres med en uges arbejdstab I en falsk mail, såkaldt CEO fraud, beder Rektor om at få lynoverført et stort beløb. Grundet årvågne sekretærer stoppes det og var det gået videre ville de administrative procedurer have fanget det. På et søsteruniversitet lykkes det næsten En mailkonto spreder mail med en mærkelig overskrift. Inde i mailen ligger en zip-fil som vedhæftning. Mailen skal åbnes, zip-filen pakkes ud og indholdet, et MS Office dokument, skal åbnes for at udløse ondsindet kode der igen sender en ny udgave af mailen videre til andre brugere. Mailen åbnes af flere brugere og den muterer til fire forskellige udgaver på KU på kort tid
3 Data uegnet til deling deles i stor stil på interne delingsplatforme, hvor det er slutbrugeren, der står for at give adgang Data, der er lagret på en server aftalt uden backup og tydeligt markeret Ingen Backup, må genskabes fra ødelagte diske af et eksternt firma mod betaling Et serversetup installeres uden backup i et serverrum, der er udfaset af IT. Udstyret lider under en vandskade og udstyr og data tabes Data med personfølsomme og KU-vitale data overføres uden de lovpåkrævede aftaler for vurdering og sikkerhed for data til en ekstern tredjepart Der underskrives i gennemsnit en (1) databehandleraftale hver uge på et af fakulteterne, der forpligter KU til at leve op til en standard vi ikke ved, om vi lever op til og giver eksterne revisionsret til os. En revisionsret og indsigt i området vi ikke giver os selv internt SIDE 3 AF 7 Samlet set er KU s trusler indefra- og udefrakommende aktører, juridiske og økonomiske samt imagemæssige. ISO27001 standarden og arbejdet med denne For at beskytte KU mod alle disse trusler er vi ved at implementere ISO27001 standarden. Den forudsætter en aktiv stillingtagen fra ledelsen til, hvilke risici KU står overfor, hvordan de kan minimeres, og hvad der kendetegner en organisation som KU i forhold til minimering af risici. Der er tale om en såkaldt risikobaseret tilgang. For at beskrive vores risici skal der fremad derfor oftere udarbejdes og tages stilling til risikovurderinger og deres konsekvenser af økonomisk, juridisk, proceduremæssig og teknisk karaktér. For at beskrive forretningen KU er der udarbejdet en risikoprofil i et tværfakultært samarbejde med udpegede repræsentanter fra alle fakulteter. KU s risikoprofil er vedlagt i bilag 4. Risikoprofilen viser vores aktuelle bekymringer for, hvad der truer KU. Risikoprofilen er også vores prioriteringsvejledning, som skal hjælpe alle, når der skal prioriteres en indsats for at beskytte informationer. Alt kan ikke beskyttes på én gang og truslerne udvikler sig hele tiden, hvorfor der kræves løbende justeringer. KU s aktuelle sikkerhedsniveau KU s niveau er blevet vurderet af KPMG i forbindelse med opstarten af ISO27001 arbejdet, hvor man skal kortlægge, hvor modne vi er på de 114 standardkontroller, der ligger til grund for ISO standardens best practice
4 kontroller. KPMG fandt at KU ligger lavt modenhedsmæssigt. Uddannelsessektoren ligger generelt lavt. SIDE 4 AF 7 En analyse af netværkstrafikken lavet i samarbejde med KPMG og CISCO og hvor 18 danske organisationer deltog, herunder et søster universitet, viste, at KU havde over havdelen af alle suspekte trafikbevægelser ind- og udgående. I volumen taler vi enkeltstående aktiviteter ind og ud af KU s netværk på en måned. En analyse viser, at vores brugere har samme mønster som brugere i andre organisationer med i løbet af en arbejdsdag at besøge hjemmesider, der er kendte infektionssider. Det er sider, som man ved inficerer maskiner med ondsindet kode (malware) eller som er forbundet med anden kriminalitet. Fra vores tekniske mailsikringsfilter kan vi se, at vi modtager i gennemsnit en stykker god mail per døgn. På dårlige dage kan vi blokere for over 6 millioner stykker SPAM og omkring 1000 mail med decideret kendt malware (ondsindet kode) på samme døgn. Da vores brugere har ekstensive rettigheder til deres udstyr for ikke at hindre forskningen, kan en skade gribe meget om sig. Typisk tager vi et tab, laver en restore og gør så ikke mere. Ovenstående er nok kendetegnene for det miljø, der eksisterer på et universitet, og det viser, at der er en række trusler, som skal håndteres. Håndteringen af informationssikkerheden skal ske i balance med universitetets særkender og åbenhed og de værdier vi har, som skal beskyttes. Hvad ser revisionen på Revisionen ser alene på en lille del af KU s samlende systemer og informationer og forholder sig ikke til alle de systemer og samlinger som er grundlaget for KU s forskning, viden og eksistensgrundlag. Revisionen forholder sig til sikkerheden omkring de økonomisk bærende systemer og det på et ret ukomplet grundlag, da de kun taler med en lille del af brugerne og IT-ansvarlige. Trods dette finder revisionen alligevel punkter, som KU har svært ved eller ikke er organiseret til at lukke. Derfor indstilles det, at ledelsen accepterer, at den risiko er kendetegnene for KU og ad den vej lukker revisionspunkterne. Der er krav KU skal leve op til Gennem lovgivningen stilles der minimumskrav til KU s ageren. Det er aktuelt gennem regnskabs- og persondatalovgivningen. Persondataloven står over for udskiftning med indførelsen af EU s Dataforordning, der får fuld
5 effekt den 25.maj 2018, om vi er klar eller ej. Og den stiller krav til skriftlighed og dokumenterbar ledelse ud fra en risikobaseret tilgang. SIDE 5 AF 7 Fra samarbejdspartnere møder KU krav om at leve op til ISO27001 og krav om revision. Det forudsætter, at vi har procedurer på plads på skrift og kan eftervise, at vi lever op til dem, så revisionen kan gennemføres efter forskrifterne. KU modtager finansiering fra eksterne kilder som EU, der i Horizon2020 programmet stiller krav om datamanagementplaner, og at der er styr på sikkerheden. Det er blevet et konkurrenceparameter at have dokumenteret styr på sine data og leve op til loven og anerkendte standarder. Det er en forudsætning for at kunne: indgå aftaler med f.eks. Regionerne om sundhedsdata til forskning vise at vi lever op til fonde og andre samarbejdspartneres krav så de føler sig trygge og juridisk sikre ved at indgå aftaler og overlade deres data i vores varetægt leve op til EU s Dataforordning Hvad gør vi på KU For de mest afgørende krav sker følgende på KU. ISO27001 baseret revision af IS-politikken: Der er et projekt i gang under Informationssikkerhed, hvorfra der snart bliver publiceret en ny IS-politik på dansk og engelsk samtidig. Politikken tager udgangspunkt i den risikoprofil, der blev udarbejdet til formålet, og at der skal tages stilling til samtlige 114 standardkontroller i ISO- standarden. KU s Direktion har godkendt projektet og herefter forestår på taktisk niveau, at den administrative ledelse (AL) fortolker, hvordan og hvad der skal til for at KU kan leve op til de krav, der stilles. Projektet tager højde for at understøtte EU s Dataforordning samt Datamanagement kravene til forskningen. Projektet vil bidrage til, at KU mere proaktivt kan beskytte sig og sit. EU s Dataforordning: Forordningen stiller krav til dokumenterbarhed i skriftlig form. Forordningen flytter byrden over på KU for at bevise, at vi er modne nok til at behandle data, og dette bevis skal ske gennem dokumentation af: Dataejerskab Dataflow Procedurer
6 Risikoanalyser, herunder vurdering af systemer og lokalers egnethed Eftervisbar uddannelse og instruktion af medarbejderne SIDE 6 AF 7 Og oprettelse af en Databeskyttelsesrådgiver funktion. Dokumentation skal foreligge på forhånd. Der er mulighed for politianmeldelser, bøder og personlig ansvarliggørelse af ledelsen gennem retssager. Der er derfor igangsat et projekt, der skal sikre, at KU kan være så forberedt som muligt til denne kultur- og organisationsudviklende forandring som EU s Dataforordning vil medføre. Projektet koordinerer tæt med informationssikkerhedsfunktionen og har sit udspring derfra. Forsknings Datamanagement: På forsknings datamanagement området arbejdes der tvær-universitært med at udvikle et værktøj en guide til at hjælpe forskerne med at klassificere deres data og forskning på rette måde, så de kan udvikle den passende datamanagementplan, som vores sponsorer og samarbejdspartnere forudsætter. Også i dette projekt koordineres der med fra informationssikkerhedsfunktionen, så den kommende politik og fortolkning understøtter forskningsdatamanagement så vidt muligt. Revisionsbemærkningerne: Der arbejdes intenst med at følge anbefalingerne så de kan lukkes. For visse bemærkninger lægges der dog op til, at ledelsen accepterer ikke at kunne følge revisionens anbefalinger og i stedet accepterer, at der er en driftsrisiko ved at drive et universitet under de rammer og traditioner KU eksisterer under. Konkluderende bemærkning KU er fra omverdenen udsat for lovgivningsmæssige krav, som universitetet skal yde en ekstra stor indsats for at leve op til. Standarderne for samarbejde omkring data, der tydeliggøres og kræves af vores samarbejdspartnere, skal hæves til et højere niveau. KU skal yde en indsats for at nå op på det højere niveau, og det kan kræve ændringer i den daglige arbejdsform for alle ansatte og arbejdsområder på KU. Teknologisk er verden blevet mere sofistikeret, og det er muligt at høste fordele af dette, men der er risiko for at blive ramt af ulemperne også. Teknologisk og metodemæssigt vil KU fremad skulle investere i en ændret
7 arbejdsmåde for at kunne få et tidssvarende sikringsniveau og mulighed for at agere rettidigt og forsvarligt. SIDE 7 AF 7
IT- og Informationssikkerhed
Bestyrelsesmøde nr. 89 d. 6. juni 2017 Punkt 10, bilag 1 IT- og Informationssikkerhed Orientering til Bestyrelsen Poul Halkjær Nielsen, Informationssikkerhedschef, 6.Juni 2017 30/05/2017 2 Indledende kommentar
Læs mereIT- og Informationssikkerhed
IT- og Informationssikkerhed Orientering til Bestyrelsen Poul Halkjær Nielsen, Informationssikkerhedschef, 11. December 2017 04/12/2017 2 Indledende kommentar IT- og informationssikkerhed er i den universitære
Læs mereIT- og Informationssikkerhed
IT- og Informationssikkerhed Bestyrelsesmøde nr. 95, d. 12. juni 2018 Pkt. 10. Bilag 1 Orientering til Bestyrelsen Poul Halkjær Nielsen, Informationssikkerhedschef, 12. Juni 2018 30/05/2018 2 Indledende
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereMaj Rigsrevisionens notat om beretning om. universiteternes beskyttelse af forskningsdata
Maj 2019 Rigsrevisionens notat om beretning om universiteternes beskyttelse af forskningsdata Notat til Statsrevisorerne, jf. rigsrevisorlovens 18, stk. 4 1 Vedrører: Statsrevisorernes beretning nr. 8/2018
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereDUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT
DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereKoncern-IT. KU Digital. Københavns Universitets digitaliseringsstrategi. Westergaard IT-strategi 4.11.2014 Dias 1
KU Digital Københavns Universitets digitaliseringsstrategi Dias 1 Universitetets formål Forskning Uddannelse Formidling og vidensudveksling Rådgivning Dias 2 KU er Skandinaviens største universitet Cirka
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereProgrambeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning
Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereEU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse
EU s persondataforordning Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse Disposition Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold
Læs mereResume Københavns Universitet efterlever nu ISO 27001, om end der udestår en del konsekvensrettelser i IS-håndbog, sikkerhedspolitik mv.
K Ø B E N H A V N S U N I V E R S I T E T Ledelsesteamet S A G S N O T A T 1. JUNI 2012 Vedr.: Statusrapport vedr. informationssikkerhed på KU for 2011 fra ISU til LT Sagsbehandler: Henrik Larsen Bilag:
Læs mereTrusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer
5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereDatatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration
Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereTjekliste til databehandleraftaler
Tjekliste til databehandleraftaler Bruun & Hjejle har i november 2017 udarbejdet denne tjekliste til brug for gennemgang af databehandleraftaler modtaget fra samarbejdspartnere. Tjeklistens pkt. 1 indeholder
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereKommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.
Baggrund Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484. Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs merePersondata på Københavns Universitet
Persondata på Københavns Universitet En data-generals arbejde Lisa Ibenfeldt Schultz Databeskyttelsesrådgiver 08/11/2018 2 Principper 1. Levedygtig forvaltning af reglerne 2. Ansvar følger ansvar for hovedopgaven
Læs mereREGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED
11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereSTATUS PÅ IT-SIKKERHED 2017
STATUS PÅ IT-SIKKERHED 2017 Økonomiudvalgsmøde den 13. marts 2018 IT & Digitaliseringschef Jørgen Brolykke Rasmussen BAGGRUND Odense Kommune havde i 2016 besøg af Datatilsynet, der udtalte kritik af dele
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereRigsrevisionstiltag rapportering til bestyrelsen
Bestyrelsesmøde nr. 100, d. 17. juni 2019 Pkt. 11. Bilag 1 Rigsrevisionstiltag rapportering til bestyrelsen Rapportering fra Styregruppen for KU s Informationssikkerhed Henrik Wegner, Rektor og formand
Læs mereTrusselsvurdering Cyberangreb mod leverandører
Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.
Læs merePersondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den 25.05.2018 Indholdsfortegnelse 1 Baggrund... 3 2 Formål... 3 3 Omfang... 3 4 Roller og ansvar...
Læs mereUdtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne
Til Sundheds- og Ældreministeriet Dato: 1. februar 2018 Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne Region Hovedstaden har kontinuerligt
Læs mereDe første 350 dage med den nye databeskyttelsesforordning
Baggrund Beskyttelse af data og informationssikkerhed er med EUs nye forordning om databeskyttelse blevet et væsentligt emne for mange virksomheder og organisationer. I forvejen har de statslige myndigheder
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs merePOST-AWARD: ERFARINGER OG BEST-PRACTICE
POST-AWARD: ERFARINGER OG BEST-PRACTICE En workshop baseret på erfaringer fra AAU v/ Lone Varn Johannsen Baggrund for workshop Med udgangspunkt i en behovsanalyse, som er gennemført blandt forskere på
Læs mereDATASIKKERHED PÅ IFS VERSION
DATASIKKERHED PÅ IFS VERSION 4.0 2018 Hvorfor datasikkerhed? På IFS arbejder vi med personhenførbare-/personfølsomme data På IFS arbejder vi ofte med registre med store befolkningsgruppers data På IFS
Læs mereBestyrelsesmøde nr. 97, d. 6. dec Pkt. 4b. Bilag 1. Københavns Universitets bestyrelse
KØBENHAVNS UNIVERSITET Bestyrelsesmøde nr. 97, d. 6. dec. 2018 Pkt. 4b. Bilag 1 Københavns Universitets bestyrelse SAGSNOTAT 23. NOVEMBER 2018 Vedr. Danske Universiteters og Danske Studerendes Fællesråds
Læs mereØkonomiudvalget om status på it-sikkerhedsarbejdet i kommunen, og herunder om it-sikkerhedshændelser og kompenserende tiltag.
KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncernservice NOTAT Til Økonomiudvalget Aflæggerbordet Orientering til Økonomiudvalget om status på itsikkerhedsarbejdet og it-sikkerhedshændelser i 2016 Baggrund
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereGenerel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS
Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS I forbindelse med de nationale databeskyttelsesregler for personoplysninger samt Europa- Parlamentets og Europarådets
Læs mereHenrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereUBVA s anbefalinger vedr. data management-politikkers regulering af forskerrettigheder
UBVA s anbefalinger vedr. data management-politikkers regulering af forskerrettigheder Den 25. januar 2016 Sagsnr. S-2015-850 UBVA Udvalget til Beskyttelse af Videnskabeligt Arbejde (UBVA) er et stående
Læs mereLarm Case Data Management Plan
Larm Case Data Management Plan 1 : Basisoplysninger om projektet 7. juni 2016 Projektnavn Projekt ID Bevillingsgiver Bevillingsnummer Projektbeskrivelse Varighed Primærforsker(e) Arkivering af brugerskabte
Læs mereRegionernes politiske linje for informationssikkerhed
Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske
Læs mereBilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Bilag 8 Retningslinje om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereSTATUS PÅ IT-SIKKERHED 2018
STATUS PÅ IT-SIKKERHED 2018 Økonomiudvalgsmøde den 03-04-2019 IT & Digitaliseringschef Jørgen Brolykke Rasmussen BAGGRUND Den 25. maj 2018 trådte EU-Persondataforordningen i kraft. Vedtagelsen af den nye
Læs merePersondataforordningen og ISO 27001
Persondataforordningen og ISO 27001 Hans Chr. Spies, spies@hcspies.dk, 5/3-2017 ISO 27001 beskriver en internationalt anerkendt metode til at implementere informationssikkerhed i en organisation. Det er
Læs mereRef. Ares(2014) /07/2014
Ref. Ares(2014)2338517-14/07/2014 EUROPA-KOMMISSIONEN GENERALDIREKTORATET FOR ERHVERV OG INDUSTRI Vejledning 1 Bruxelles, den 1. februar 2010 - Forholdet mellem direktiv 2001/95/EF og forordningen om gensidig
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereRetningslinjer om brud på persondatasikkerheden
Retningslinjer om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereKontraktbilag 8. It-sikkerhed og compliance
Kontraktbilag 8 It-sikkerhed og compliance LØNMODTAGERNES DYRTIDSFOND DIRCH PASSERS ALLÉ 27, 2. SAL 2000 FREDERIKSBERG TELEFON 33 36 89 00 FAX 33 36 89 01 INFO@LD.DK WWW.LD.DK CVR 61552812 2 INDHOLD INDHOLD
Læs merepage 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE
page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity page 2 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Erik Meldgaard Director IT page 3 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Vores brugere Vores kontorer
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereCYBERFORSIKRING OFFENTLIG KONFERENCE
CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering
Læs merePOLITIK FOR INFORMATIONSSIKKERHED
POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereFormål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde
ø Retningslinjer om brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereSikkerhed og Revision 2015
Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets
Læs mereDATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )
Skau Reipurth & Partnere Advokatpartnerselskab DATABEHANDLERAFTALE Indgået mellem [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet ) og [Databehandleren: F.eks. en lønbehandler] [Adresse]
Læs merePrivatlivspolitik for medarbejdere
UNIVERSITY COLLEGE LILLEBÆLT Privatlivspolitik for medarbejdere Retningslinjer for registrering, håndtering og anvendelse af data om medarbejdere hos UCL Vedtaget på HSU den 16. november 2015 Indhold 1.
Læs mereLov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter m.v. 1)
LOV nr 437 af 08/05/2018 (Gældende) Udskriftsdato: 28. februar 2019 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., j.nr. 2017/004548 Senere ændringer til forskriften Ingen Lov om sikkerhed
Læs mereK Ø B E N H A V N S U N I V E R S I T ET
K Ø B E N H A V N S U N I V E R S I T ET D E T S U N D H E D S V I D E N S K A B E L I G E F A K U L T E T REG L E R V E D R Ø R E N D E F O R S K N I N G S - B E V I L L I N G E R O G D E L E S T I L
Læs mereForsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt
Forsvarsudvalget 2013-14 L 192 endeligt svar på spørgsmål 3 Offentligt Folketingets Forsvarsudvalg Christiansborg FORSVARSMINISTEREN 23. maj 2014 Folketingets Forsvarsudvalg har den 13. maj 2014 stillet
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Ansvarsfordeling Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereBestyrelsesmøde nr. 99, d. 8. april 2019 Pkt. 5. Bilag 1. Københavns Universitets bestyrelse. Vedr. Revisionsprotokollat af 8.
KØBENHAVNS UNIVERSITET Bestyrelsesmøde nr. 99, d. 8. april 2019 Pkt. 5. Bilag 1 Københavns Universitets bestyrelse SAGSNOTAT 14. MARTS 2019 Vedr. Revisionsprotokollat af 8. april 2019 Sagsbehandler Koncern-økonomi
Læs mereSikkerhedsvurderinger
Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i
Læs mereTemadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors
Temadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors Cyber- og IT-sikkerhed DFF EDB Hvorfor Cyber- og IT-sikkerhed? Datamængderne stiger eksplosivt i alle kategorier og bliver
Læs mereBrud på datasikkerheden
Brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april
Læs merePolitik for adgang til de digitale samlinger
Politik for adgang til de digitale samlinger Indledning Det Kgl. Biblioteks politik for adgang til de digitale samlinger sætter rammerne og principperne for adgang for bibliotekets brugere til Det Kgl.
Læs mereDatabeskyttelsespolitik for Code of Care
Databeskyttelsespolitik for Code of Care 1. Indledende bemærkninger 1.1 Formål 1.1.1. Code of Care vil løbende komme til elektronisk og på anden systematisk måde at behandle forskellige persondata om dig
Læs mereDine personoplysninger vil blive indsamlet og håndteret af os med henblik på følgende formål:
Privatlivspolitik HumanizeR ApS forpligter sig til at beskytte og respektere dit privatliv. Denne Privatlivspolitik beskriver (sammen med andre dokumenter, som vi refererer til heri) hvilke personoplysninger,
Læs mereVejledning og tjekliste til indgåelse af databehandleraftaler
Vejledning og tjekliste til indgåelse af databehandleraftaler En virksomhed, som er arbejdsgiver, er dataansvarlig, når virksomheden behandler personoplysninger som led i personaleadministrationen. Virksomheden
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereNotat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014
Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning
Læs mereRef. Ares(2014) /07/2014
Ref. Ares(2014)2350522-15/07/2014 EUROPA-KOMMISSIONEN GENERALDIREKTORATET FOR ERHVERV OG INDUSTRI Vejledning 1 Bruxelles, den 1. februar 2010 - Anvendelse af forordningen om gensidig anerkendelse på procedurer
Læs mere