Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Størrelse: px
Starte visningen fra side:

Download "Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift"

Transkript

1 Retsudvalget REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014

2 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon og Center for Cybersikkerhed Kastellet København Ø Telefon: Elektronisk publikation: ISBN: Publikationen kan hentes på: Digitaliseringsstyrelsens hjemmeside og Center for Cybersikkerheds hjemmeside

3 Forord Indledning Denne rapport er den tredje rapport om CSC-sagen. Rapporten indeholder fremadrettede anbefalinger til statslige myndigheder vedrørende sikring af outsourcet it-drift. I 2013 kom det frem, at it-leverandøren CSC var blevet ramt af et omfattende hackerangreb, hvor en række statslige myndigheders følsomme data potentielt var blevet kompromitteret. Denne rapport er den tredje rapport om CSC-sagen. Rapporten oversendes til Folketinget og offentliggøres. Rapporten indeholder de fremadrettede anbefalinger på grundlag af konklusionerne på de undersøgelser i forbindelse med CSC-sagen, som beskrives i de to øvrige rapporter om sagen. En stor del af den statslige it-drift er outsourcet til eksterne leverandører. Outsourcing er en model, som har givet staten en række fordele gennem årene, både i forhold til økonomi, kvalitet og organisering. Den omfattende brug af outsourcing stiller dog en række krav til, hvordan den sikkerhedsmæssige styring af leverandørerne sker på tilfredsstillende vis. I de seneste år er der set flere konkrete eksempler på alvorlige sikkerhedshændelser hos statens eksterne itleverandører, og undersøgelserne i forbindelse med CSC-sagen har vist, at myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne, og følge løbende op på, at leverandørerne efterlever kravene. Denne rapport indeholder en række anbefalinger til styrkelse af sikkerhed i statens outsourcede it-drift med det formål at understøtte en styrkelse af såvel sikkerheden i de outsourcede statslige løsninger som myndighedernes kontrol hermed. Rapporten og dens anbefalinger skal danne baggrund for, at statslige myndigheder i højere grad kan agere kompetent, rettidigt og i passende omfang koordineret i forhold til itsikkerheden i nye og eksisterende outsourcede løsninger. Forsvarets Efterretningstjenestes Center for Cybersikkerhed og Digitaliseringsstyrelsen vurderer i dag, at myndighederne generelt set kun i mindre grad tager hensyn til det aktuelle trusselsbillede, dvs. hvilke trusler, it-løsningerne kan blive udsat for. I rapporten gennemgås på den baggrund det aktuelle trusselsbillede som baggrund for de konkrete anbefalinger til myndighederne om relevante sikkerhedstiltag i forbindelse med løsninger, som drives af eksterne leverandører samt om samarbejde med Center for Cybersikkerhed. Rapportens anbefalinger, som er rettet til den øverste ledelse i statslige myndigheder, er fremhævet i tekstbokse og mærket Anbefalinger til ledelsen. En samlet oversigt over anbefalingerne til ledelsen fremgår af bilaget i kapitel 7. Teksten indeholder i øvrigt anbefalinger, der er rettet mod myndighedernes systemansvarlige og informationssikkerhedsmedarbejdere med henblik på at understøtte det konkrete arbejde med at øge sikkerheden. Disse anbefalinger kan dog samtidig tjene som en tjekliste for den øverste ledelse i dennes dialog med organisationen om it-sikkerhed. Myndighederne kan endvidere med fordel videregive rapporten til deres eksterne leverandører, hvorefter den kan tjene som udgangspunkt for et tættere samarbejde om at sikre, at sikkerheden er på et tilstrækkeligt niveau og i øvrigt svarer til det aftalte. Det understreges, at sikkerheden i forbindelse med outsourcet it-drift skal ses som en del af den samlede indsats i forhold til cyber- og informationssikkerhed. Rapporten indeholder derfor også mere generelle betragtninger og anbefalinger til myndighedernes styring af informationssikkerhed. Anbefalingerne i rapporten ligger inden for rammerne af sikkerhedsstandarden ISO27001, som tager udgangspunkt i ledelsesforankret risikovurdering, og som statens institutioner er forpligtede til at efterleve. Anbefalingerne er et bidrag til myndighedernes arbejde med at etablere et passende sikkerhedsniveau og deres efterlevelse af standarden i forbindelse med brugen af eksterne leverandører. I kapitel 2 og 3 opsummeres konklusioner efter CSCsagen, og der gives som baggrund for sikkerhedsarbejdet en oversigt over trusselbilledet og risici ved sårbarheder samt muligheden for bistand fra Center for Cybersikkerhed, som er national it-sikkerhedsmyndighed. I kapitel 5 beskrives, hvorledes ISO27001-standarden anvendes som rammeværk for sikkerhedsarbejdet.

4 Indhold 1. Konklusioner efter CSC-sagen Hovedanbefalinger til ledelsen Trusler mod myndighedernes outsourcede it-drift Generelle trusler Specifikke trusler ved brug af eksterne leverandører Eksisterende anbefalinger vedrørende outsourcet it-drift Sikkerhedsstyring ved brug af eksterne leverandører Sikkerhedsmæssige krav til leverandøren (i kontrakten) Sikkerhedstest og kontrol Salg eller ophør af leverandørens virksomhed Styring af informationssikkerhed efter ISO27001-standarden Efterlevelse af sikkerhedsstandarden ISO27000-serien Risikovurdering Behandling af personoplysninger Evaluering af sikkerheden Koordinering og videndeling mellem statslige myndigheder Bilag Oversigt over anbefalinger til ledelsen... 18

5 Kapitel 1 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August

6 Kapitel 1 1. Konklusioner efter CSC-sagen Nyt kapitel Nedenfor gennemgås de overordnede konklusioner efter CSC-sagen. CSC-sagen viser først og fremmest, at der findes en reel trussel om cyberangreb imod danske myndigheders digitale systemer. Sagen viser også, at de angrebne systemer på angrebstidspunktet var sårbare i en sådan grad, at det lykkedes angriberne at kompromittere fortroligheden af følsomme oplysninger, og at angriberne havde etableret et fodfæste i systemerne, så de potentielt kunne have forårsaget tab eller forvanskning af uerstattelige data. På baggrund af sagen må det konkluderes, at det er af afgørende betydning for cyber- og informationssikkerheden, at en myndighed internt udvikler en moden itsikkerhedsorganisation, som kan forestå en tilstrækkelig leverandørstyring for så vidt angår it-sikkerheden. Herunder er det væsentligt, at der hos myndigheden er kompetencer, som (bl.a. i dialog med leverandøren) kan vurdere behov for tilkøb af sikkerhedsrelaterede ydelser (såsom opdeling af netværk, vedligehold af forbindelse til internettet, opdatering af systemer mv.). Det er i den forbindelse af betydning, at myndigheden løbende forebygger tilsanding af systemer, dvs. at myndigheden løbende opdaterer sin it-anvendelse og sine leverandørkontrakter i lyset af det aktuelle trusselbillede. Det er samtidig vigtigt, at tjenester og funktionalitet, som ikke anvendes, løbende tages ud af drift, ligesom etableringen af ny funktionalitet bør ledsages af konkrete og dokumenterede risikovurderinger. 1.1 Hovedanbefalinger til ledelsen 1. Ledelsen bør sikre, at myndighederne med udgangspunkt i de opnåede erfaringer fra CSC-sagen aktivt vurderer cyber- og informationssikkerheden, specielt i de løsninger, som drives af eksterne leverandører, og går i dialog med leverandøren herom med henblik på at sikre, at alle leverandører gennemfører relevante tiltag for at opnå den ønskede sikkerhed i de leverede ydelser. 2. Ledelsen bør sikre, at myndighedernes risikovurdering og risikoledelse tager udgangspunkt i et opdateret trusselbillede, jf. kapitel 2.1 og 5 nedenfor. Dette bør sikres både ved nyudvikling, drift og videreudvikling af it-løsninger. 3. Ledelsen bør indlede og løbende indgå i en aktiv dialog internt i myndigheden om efterlevelse af de øvrige anbefalinger i denne rapport. Erfaringerne fra CSC-sagen viser blandt andet, at et aktivt og kontinuerligt samarbejde mellem leverandøren og kunderne i tråd med den gældende sikkerhedsstandard ISO27001 kan danne grundlag for en væsentlig forbedring af sikkerheden i løsningerne. I den pågældende sag har leverandøren således på den baggrund gennemført en række tiltag for at øge sikkerheden i de leverede ydelser. Der er redegjort nærmere herfor i rapporten til regeringen om sikkerhedsbrud hos CSC. 6 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014

7 Kapitel 2 2. Trusler mod myndighedernes outsourcede it-drift Nyt kapitel Danske virksomheder, privatpersoner og offentlige myndigheder blev i 2013 dagligt udsat for forstyrrende eller skadelige aktiviteter via internettet. Der var i 2013 cyberangreb, som i en kortere periode forstyrrede eller hindrede anvendelsen af dansk digital infrastruktur, og der er i de seneste år konstateret cyberangreb mod væsentlige mål i Danmark, hvor informationssikkerheden er blevet kompromitteret. Center for Cybersikkerheds seneste trusselsvurdering viser, at denne tendens meget sandsynligt vil fortsætte. 2.1 Generelle trusler Forsvarets Efterretningstjenestes Efterretningsmæssig risikovurdering 2013 beskriver truslen imod danske myndigheder og virksomheder: Det fremgår af risikovurderingen, at de alvorligste cybertrusler mod Danmark kommer fra statslige aktører, der udnytter internettet til at spionere og stjæle dansk intellektuel ejendom og forretningshemmeligheder såsom forretningsplaner, forskningsresultater, teknisk knowhow, budgetter og aftaler. Denne trussel kommer i særdeleshed fra stater, der bruger informationerne til at understøtte deres egen økonomiske, militære og samfundsmæssige udvikling. Flere stater har midlerne til at gennemføre særdeles omfattende spionage mod danske myndigheder og virksomheder. Sårbarheder i systemer kan ved et angreb medføre, at driften af danske myndigheders digitale tjenester påvirkes på flere måder: Sårbarheder kan ved angreb medføre nedbrud, således at tjenester helt eller delvist ophører med at virke i et kortere eller længere tidsrum. Der er f.eks. set eksempler på såkaldte Denial of Service -angreb mod offentlige løsninger gennem de seneste år. Sårbarheder kan medføre, at offentlige data ved et angreb blotlægges og kan tilgås af uvedkommende. Der har været en række tilfælde, hvor personfølsomme data, f.eks. sundhedsoplysninger, er blevet blotlagt. Angrebet mod CSC, hvor der skete en kompromittering af visse data fra politiet, er et eksempel herpå. Sårbarheder kan medføre, at offentlige data ændres eller slettes af uvedkommende. Der kendes dog ikke til eksempler på, at dette har fundet sted i Danmark, men Center for Cybersikkerhed har set eksempler på, at sårbarheder har muliggjort så omfattende kompromitteringer af systemer, at angriberne havde reel mulighed for at ændre eller slette data. Data kan være vanskelige at erstatte i tilfælde, hvor det er meget svært eller umuligt at genskabe data elektronisk efter tab. Det gælder særligt store databaser med mange transaktioner, hvor det i dag ofte vil være umuligt at rulle tilbage, såfremt det konstateres, at data på et tidligere tidspunkt er ændret i betydelig grad. Hyppig sikkerhedskopiering af databasen, separat logning af transaktioner og løbende test af databasens integritet øger chancen for, at databasen kan rekonstrueres. Ledelsen bør sikre, at myndighedens risikovurderinger og risikoledelse, jf. kapitel 5, tager udgangspunkt i et opdateret trusselbillede. Ledelsen bør endvidere sikre, at organisationen vurderer risici ud fra karakteren og værdien af data og systemer, som myndigheden er ansvarlig for, herunder hvor kritiske de er for myndigheden. Center for Cybersikkerhed er national it-sikkerhedsmyndighed og udarbejder som led heri trusselvurderinger. Centeret kan bistå myndigheder med at udforme sektorspecifikke og i relevante tilfælde myndighedsspecifikke trusselvurderinger. Center for Cybersikkerhed leverer en række øvrige sikkerhedsydelser til statslige myndigheder, herunder mulighed for tilslutning til centerets netsikkerhedstjeneste, der har til opgave at opdage, analysere og bidrage til at imødegå cyberangreb. Ledelsen bør tage initiativ til, at myndigheden indleder en dialog med Center for Cybersikkerhed vedrørende mulighederne for at gøre brug af centerets itsikkerhedsydelser. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August

8 Kapitel 2 Trusler mod myndighedernes outsourcede it-drift 2.2 Specifikke trusler ved brug af eksterne leverandører Alt efter, hvilken driftsform en myndighed måtte vælge at anvende til sine systemer og datalagring, optræder der forskellige typer risici. Outsourcet drift er forbundet med en række særlige risici. Disse er ikke nødvendigvis mere problematiske end de risici, der eksisterer ved intern drift, men myndighederne skal være opmærksomme herpå for at kunne leve op til deres ansvar for it-sikkerheden. Som led heri skal myndighederne stille relevante krav til leverandørernes styring af informationssikkerheden, herunder styring af underleverandører. åbning udgør en øget angrebsflade for cyberangreb. Ovenstående trusler bør ses i lyset af, at en leverandør uanset ejerforhold eller strategi skal leve op til de forpligtelser, denne juridisk er bundet af via kontrakten. På trods af dette er det vigtigt, at myndigheden løbende vurderer, om truslerne er eller bør føre til, at leverandørstyringen eller kontrakten skærpes. Trusler i forbindelse med ejerskab, strategi og investering Ved ejerskifte vil en ny ejer som udgangspunkt være forpligtet til at videreføre gældende kontrakter. Det er imidlertid en trussel mod myndigheden, såfremt en leverandør, f.eks. ved ejerskifte eller andet strategisk skift i fokus, ikke lægger vægt på investeringer og tiltag, som imødekommer myndighedens behov for sikkerhed, robust drift, support, udvikling mv. Dette gælder også ved skift af leverandørens underleverandører. Trusler i forbindelse med andre landes lovgivning Det er en trussel mod myndigheden, såfremt en leverandørs (eller dennes underleverandørs) infrastruktur ejes eller i øvrigt kontrolleres af virksomheder, som falder under jurisdiktion eller anden indflydelse fra lande, som den danske stat ikke har (fuld) tillid til. Det kan være, at krav i dansk lovgivning ikke finder anvendelse eller ikke kan håndhæves i praksis. Herunder er det muligt, at databehandling og revision ikke sker i henhold til danske regler, eller parter, som ikke nyder dansk tillid (både virksomheder og stater), får indsigt i systemer eller transaktioner på en måde, som potentielt kompromitterer driftssikkerhed eller fortrolighed. Det bemærkes, at det i en række lande er i overensstemmelse med den nationale lovgivning, at den pågældende stat eller andre parter kan tilgå data, som tilhører en infrastrukturleverandørs kunder. Trusler i forbindelse med integrationen af en leverance i myndighedens øvrige it-miljø Selve integrationen af leverancen i myndighedens øvrige it-miljø kan rumme sårbarheder i og med, at myndighedens it-miljø skal åbnes i relevant omfang imod leverandørens systemer, f.eks. ved åbning for særlig netværkstrafik og aktivering af bestemte tjenester i myndighedens udadvendte it-miljø. Denne 8 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014

9 Kapitel 3 3. Eksisterende anbefalinger vedrørende outsourcet it-drift Nyt kapitel Nedenfor gennemgås internationale og nationale anbefalinger og vejledninger vedrørende outsourcet it-drift. Der er få udenlandske eksempler på strategier på informationssikkerhedsområdet, som berører emnet outsourcet drift. Storbritannien har udarbejdet og opdaterer løbende en ramme for informationssikkerhed 1. De krav, som indgår heri, omhandler myndighedernes informationssikkerhed i bred forstand. De steder, hvor det er relevant, betoner strategien myndighedernes ansvar for at sikre, at myndighedernes styring af leverandører er tilstrækkelig til, at myndighedernes samlede it-drift, inklusive den outsourcede drift, lever op til målsætningerne for sikker itdrift. Det Europæiske Net- og Informationssikkerhedsagentur, ENISA, har udgivet en sikkerhedsstrategi for outsourcet drift specifikt på cloud-området 2, som imidlertid indeholder en række elementer, der også er relevante for andre former for outsourcet it-drift. Der fokuseres således på håndtering af risici i forbindelse med f.eks.: organisation, risikovurdering, sikring af revision, exitstrategi mv.), den løbende styring af leverancen i hele aftalens løbetid (kontrol af sikkerhedsniveauet, hændelseshåndtering, beredskab mv.) og eksekvering af en forud fastlagt og sikker exit-strategi i tilfælde af kontraktophør. Endvidere har Digitaliseringsstyrelsen udgivet en vejledning om Cloud computing og de juridiske rammer 4. Vejledningen beskriver, hvilke lovkrav offentlige myndigheder skal iagttage, når de benytter cloud- og/eller outsourcing-leverandører. Vejledningen beskriver også konkrete forhold, som myndighederne bør overveje ved kontraktindgåelse med en cloud- og/eller outsourcingleverandør. Anbefalinger og opmærksomhedspunkter i de ovennævnte rapporter finder generelt anvendelse, også for statens outsourcede it-drift, hvilket er afspejlet i denne rapports øvrige afsnit. Tekniske forhold, så som manglende sikkerhed og robusthed overfor angreb, datahåndteringen, tab af kontrol med krypteringsnøgler og manglende dokumentation eller styring af medarbejderes adgangsrettigheder mv. Juridiske og andre forhold hos leverandøren, så som risikoen for at blive afhængig af leverandøren (lock-in), leverancestop ved konkurs, opkøb af leverandøren, andre landes lovgivning mv. I Danmark har Dansk It udgivet en vejledning om sikkerhed ved it-outsourcing 3. Vejledningen giver detaljerede anbefalinger til en organisations interne forberedelse af outsourcing (krav til modenheden i myndighedens 1 HMG Security Policy Framework (2014), findes på 2 Cloud Computing Benefits, risks and recommendations for information security (2009), findes på enisa.europa.eu 3 Sikkerhed ved it-outsourcing quickguide (2012), findes på dit.dk. 4 Cloud computing og de juridiske rammer (2011) findes på digst.dk Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August

10 Kapitel 4 4. Sikkerhedsstyring ved brug af eksterne leverandører Nyt kapitel Der er mange fordele forbundet ved at få en ekstern leverandør til at drive hele eller dele af løsninger for offentlige myndigheder. Men outsourcing kræver, at den offentlige myndighed har kompetencerne til at styre processen. I udgangspunktet er leverandørstyring et element i den generelle sikkerhedsstyring, der for statens institutioner er reguleret af den internationale sikkerhedsstandard ISO I kapitel 5 fremgår mere generelle beskrivelser og anbefalinger til efterlevelse af ISO27001, men erfaringen fra CSC-sagen viser, at det er nødvendigt med særlig fokus på netop leverandørstyring og de nødvendige kompetencer til varetagelse af hele outsourcing-opgaven, som herunder beskrives mere detaljeret. Myndigheden skal have kompetencerne til: At gennemføre en fyldestgørende risikovurdering inden kontraktindgåelse. At indgå en kontrakt, der sikrer, at leverandøren træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, og med mulighed for at justere aftalen i takt med at risikobilledet ændrer sig. At foretage en løbende styring af, om leverandøren lever op til kontrakten og styrer sikkerheden forsvarligt. Det er vigtigt, at der i forbindelse med udfærdigelse af outsourcing-kontrakter indgår krav om, hvordan sikkerhedshændelser håndteres. Det skal være aftalt mellem myndigheden og leverandøren, hvilken part der har ansvaret for de enkelte aspekter af håndteringen af en sikkerhedshændelse, herunder kriterier for, hvornår hændelser rapporteres til kunden, og for eskalering af tiltag til håndtering af hændelser. Aftaler om håndtering af hændelser skal revideres med jævne mellemrum i takt med den generelle udvikling i risikobilledet. Myndigheden bør sikre sig, at leverandører i relevant omfang er underlagt uafhængig ekstern it-sikkerhedsrevision, og at revisionsrapporter løbende gøres tilgængelige for myndigheden. Det er endvidere væsentligt at understrege, at det altid er myndigheden, der er ansvarlig for sikkerhedsniveauet. Selvom myndighederne outsourcer driften, er myndigheden ansvarlig for, at leverandøren leverer et tilfredsstillende sikkerhedsniveau. Ledelsen bør sikre, at der er en tydelig ansvarsfordeling mellem kunde og leverandør om, hvem der er ansvarlig for specifikke sikkerhedstiltag, herunder leverandørens ansvar for underleverandører. Der skal sikres en klar ansvarsfordeling mellem kunde og leverandør i forhold til sikkerhedsaktiviteter. Derudover belyser erfaringerne fra CSC-sagen behovet for, at myndighederne: Indgår i en aktiv dialog med leverandøren om sikkerhedsløsninger og sikrer, at myndigheden i kontrakten har mulighed for løbende at fastholde et passende sikkerhedsniveau. Koordinerer og samordner deres krav til it-sikkerhed og deler viden om hændelser, såfremt flere myndigheder deler leverandører. Arbejder aktivt med kontrakterne om it-leverancer og ejerskab og løbende opdaterer krav. Løbende har godt overblik over de indkøbte leverancer, herunder fjerner services, som ikke (længere) er nødvendige. Løbende vurderer sikkerheden i løsningen og sikrer, at den er tidssvarende, især fordi mange ældre systemer er udviklet med en sikkerhedsmodel, som ikke inkluderede at systemerne kunne tilgås udefra. Sammenkoblingen med internettjenester udgør en særlig sikkerhedsmæssig udfordring for disse systemer. Løbende følger op på kontrakter med henblik på at sikre, at it-sikkerhedsarkitekturen stadig opdateres efter behov og afspejler det nuværende trusselbillede, herunder sikrer sig, at der i leverandørens systemer er den relevante logiske adskillelse mellem sikkerhedslag 10 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014

11 Kapitel 4 Sikkerhedsstyring ved brug af eksterne leverandører og systemkomponenter, og at der er etableret teknisk sikring mellem disse. Lader sikkerhed indgå i it-projekter med passende vægt. Undersøger muligheden for at anvende eksempelvis pseudonymisering 5 af personoplysninger eller andre tekniske foranstaltninger til at mindske risici. Derudover belyser erfaringerne fra SE og HØR-sagen behovet for, at myndighederne: Stiller krav til adgangskontroller og sikkerhedsgodkendelser, herunder til, at leverandøren vurderer behovet for betroede personers adgang til systemer og data samt sikrer, at adgangen ikke er videre, end behovet tilsiger. Overordnet bør myndigheden nøje gennemgå kapitel 15 i sikkerhedsstandarden ISO27002 om leverandørforhold med henblik på at dokumentere og indarbejde alle relevante kontroller i aftalerne med leverandøren. 4.1 Sikkerhedsmæssige krav til leverandøren (i kontrakten) Angrebet mod CSC viste, at der er en række konkrete trusler mod myndighedernes outsourcede drift på mainframe-området. Sagen viste en række generelle forhold ved outsourcet drift, hvor myndighederne skal være opmærksomme på at sikre sig, at leverandørens systemer på passende vis er sikret imod trusler. Dette gælder især sikring af, at en angriber, som udnytter en sårbarhed til at kompromittere sikkerheden i én del af systemet, ikke har mulighed for ad den vej at skaffe sig adgang til andre dele af systemet. I den forbindelse er det særligt af betydning, at internetvendte services er tilstrækkeligt isoleret fra det bagvedliggende system til at forhindre, at en angriber via internettet kan komme til at udnytte sårbarheder i de bagvedliggende systemer. Ledelsen bør sikre, at der stilles relevante krav til sikkerhedsforanstaltninger hos eksterne leverandører. Myndighederne skal sikre, at leverandører: Har passende processer for bruger-/rettighedsstyring og fører den nødvendige løbende kontrol. Begrænser medarbejderes adgang til data og systemer til, hvad der er behov for, og i øvrigt vurderer behovet for sikkerhedsgodkendelse af medarbejdere. Har passende logisk og fysisk opdeling af systemer, og regler for hvilke typer datatrafik som tillades mellem delene. Har effektive sikkerhedsprocesser, som sikrer, at kunden har overblik og løbende kan vurdere sikkerhedsniveauet. Løbende gennemfører test af det etablerede sikkerhedsniveau. Ved indgåelse af nye kontrakter bør myndigheder, på baggrund af en vurdering af blandt andet sikkerhedskrav og økonomi, stille relevante krav til løbende udvikling og modernisering af systemerne med henblik på at forebygge at der med tiden drives systemer på legacy-platforme, som kun vanskeligt og med store omkostninger kan vedligeholdes sikkerhedsmæssigt. Nedenfor er yderligere eksempler på forhold, som myndigheder bør overveje ved indgåelse af kontrakter med eksterne leverandører (listen er ikke udtømmende): Regulerer aftalen, hvorledes det håndteres, hvis leverandøren udsættes for pludselige og udefrakommende uforudsete omstændigheder, der fører til tab af data? Stiller kontrakten krav til leverandørens sikkerhedsmæssige styring og forankring i ledelsen, f.eks. gennem ISO27001-certificering? Indeholder kontrakten bestemmelser om, hvorledes leverandøren skal sikre kundens data i forhold til tilgængelighed, fortrolighed og integritet? Indeholder kontrakten bestemmelser om, hvorledes kunden er sikret adgang til de data, der lagres hos leverandøren? 5 Pseudonomisering afkobler følsomme data fra personhenførbare data. I stedet tildeles de følsomme data en nøgle, som følger dem igennem databehandlingen. De personhenførbare data opbevares sammen med nøglen i en separat sikret database; eventuelt kontrolleres nøglen af personen selv. I tilfælde, hvor databehandlingen fordrer kendskab til den konkrete person (f.eks. til fremsendelse af en afgørelse), kan personhenførbare data sættes på sagen ved brug af nøglen - alternativt kan sagens data tilgås af rette vedkommende med brug af nøglen. Indeholder kontrakten bestemmelser om, hvorledes kundens adgang til egne data sikres - både under normal drift, men også i forhold til driftsstop, misligholdelse, opsigelse, konkurs mv? Indeholder kontrakten bestemmelser om leverandørens forpligtigelse til at dokumentere og rapportere på Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August

12 Kapitel 4 Sikkerhedsstyring ved brug af eksterne leverandører væsentlige sikkerhedsbrud og krav om relevant opfølgning på disse? Præciserer kontrakten, hvorledes leverandøren skal agere i tilfælde af uvedkommendes adgang til data (eksempelvis i form af en pligt til straks at orientere kunden)? Er der i kontrakten indsat bestemmelse om, at kunden straks skal orienteres, såfremt myndigheder, herunder regeringer og domstole, ønsker adgang til data hos leverandøren? Er det i kontrakten anført, at kunden (oftest via en uafhængig revisor) skal have adgang til eksempelvis en gang årligt at foretage en passende inspektion "on site" i forhold til leverandørens håndtering af data? Eller alternativt at leverandøren via en uafhængig revisor redegør for, hvorledes leverandørens infrastruktur, herunder sikkerhedsspecifikationer, håndteres? Stiller kontrakten krav til løbende opdatering af systemer og til passende logning af datatrafik? Skal der gennemføres øvelser og etableres beredskab? Ovenstående overvejelser om sikkerhedsmæssige forhold i kontrakten giver anledning til at overveje, om myndigheden skal kræve specifikke sikkerhedskrav indarbejdet i Service Level Agreements (SLA-aftaler). Det er nødvendigt for kunden at afklare alle krav i kontrakten vedr. sikkerhedsleverancer, således at der er klarhed over, hvilke leverancer leverandøren forventes at levere til kunden. Dette kan eksempelvis angå (SLA-)krav til håndtering og rapportering på sikkerhedshændelser, hyppighed for sikkerhedstest, afprøvning og rapportering, hyppighed for beredskabstest, afprøvning og rapportering. Kunden/myndigheden kan med fordel ligeledes formidle egne krav til egen organisation vedr. sikkerhedsleverancer ift. den outsourcede driftskontrakt. 12 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014

13 Kapitel 4 Sikkerhedsstyring ved brug af eksterne leverandører 4.2 Sikkerhedstest og kontrol Sikkerhedstest kan anvendes til at kontrollere sikkerhedsniveauet i en outsourcet infrastruktur. Eksterne sikkerhedstest tester kvaliteten af det sikkerhedsskjold, leverandøren har til at imødegå eksterne angreb, f.eks. fra internettet. Interne sikkerhedstest anvendes til at vurdere, hvor god leverandørens baseline for opsætning af sikkerhedsparametre er generelt. Sikkerhedstest af de aftalte ydelser i den outsourcede drift anvendes til at vurdere, om leverandøren lever op til de krav, som er aftalt i kontrakten, eller som må anses at være best practice / good practice på området. Disse typer af sikkerhedstest giver en idé om, hvor der er risiko ved, at de nuværende kontroller kan omgås, og dermed hvilke kompenserende kontroller, der bør opstilles. Såfremt sikkerhedstest ønskes anvendt til enten at afdække svagheder i applikationer eller infrastruktur, er det essentielt, at de overordnede spilleregler for dette aftales i forbindelse med indgåelse af kontrakten - hvor, hvordan og hvornår der skal gennemføres sikkerhedstest. Tilsvarende bør myndigheden være meget omhyggelig med at få aftalt og formuleret en ret til at foretage kontrol af efterlevelsen af aftalte sikkerhedskrav samt økonomisk ansvar i den forbindelse. Overdragelse af sådanne data kan f.eks. ske ved, at der gives en fuldstændig backup af kundens data, der er placeret på leverandørens servere. Myndigheden bør orienteres, såfremt leverandøren bliver opkøbt eller underlagt andre selskabsretlige konstruktioner end de på aftaleindgåelsestidspunktet gældende, og den nye ejer bør være forpligtet til at fortsætte aftalen. Ledelsen skal inden kontraktindgåelse nøje vurdere risikoen for og konsekvenserne af, at det fornødne sikkerhedsniveau ikke videreføres ved et evt. salg eller ophør af leverandørens virksomhed. Ledelsen skal sikre, at kontrakten om outsourcet it-drift indeholder konkrete bestemmelser, der tager højde for evt. salg eller ophør af leverandørens virksomheder samt ved skift af leverandørens teknologi/underleverandører etc. 4.3 Salg eller ophør af leverandørens virksomhed Myndighederne bør vurdere salg eller ophør af leverandørens virksomhed ud fra risikobeskrivelser såsom: Risikoen for lock-in (til systemer eller dataformater). Risikoen for mangelfuld sikkerhedsmæssig håndtering af data i forbindelse med kontraktophør, konkurs eller andet pludseligt ophør. Risikoen for datalækage, overdragelse til kreditor, mangelfuld sletning etc. Risikoen for, at data håndteres under anden jurisdiktion end forudsat i kontrakten, jf. kapitel Risikoen for manglende adgang til systemer/data, herunder tab af krypteringsnøgle. Yderligere eksempler på forhold, som kan indgå i kontrakten vedrørende ophør og salg af leverandørens virksomhed (listen er ikke udtømmende): Myndigheden bør i kontrakten præcisere, hvorledes kunden får adgang til egne data, f.eks. i tilfælde af leverandørskift eller i tilfælde af, at kontrakten ophæves. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August

14 Kapitel 5 5. Styring af informationssikkerhed efter ISO27001-standarden Nyt kapitel Regeringen har truffet beslutning om, at statens institutioner skal følge sikkerhedsstandarden ISO Beslutningen er en følge af Finansministeriets plan for enkel administration i staten (2010). 5.1 Efterlevelse af sikkerhedsstandarden ISO27000-serien I ISO27001-standarden stilles krav til styringen af sikkerhedsarbejdet herunder en governancestruktur eller et ledelsessystem for organiseringen af sikkerhedsarbejdet. Dette sker gennem etablering af et Information Security Management System (ISMS) i organisationen. Et ISMS er et samlet udtryk for de politikker, procedurer, beslutningsgange og aktiviteter, som udgør komponenterne i organisationens arbejde med informationssikkerhedsstyring. Et ISMS er en metode til at styre sikkerhed, som gør det nemmere at efterleve standarden. Organisationens efterlevelse af standarden skal dokumenteres i et såkaldt SoA-dokument (Statement of Applicability). Dette er et af de mest centrale dokumenter i sikkerhedsarbejdet efter ISO27001-standarden. Af dette dokument fremgår ledelsens prioritering af sikkerheden, herunder beslutninger om valg af sikkerhedsforanstaltninger i forhold til forretningens mål og risikoprofil. Uden et godkendt SoA-dokument kender informationssikkerhedskoordinatoren ikke formelt ledelsens prioriteringer af sikkerheden. Digitaliseringsstyrelsen har udarbejdet en guide til SoAdokumentet og et skema, som indeholder alle sikkerhedsområderne i standarden. Når skemaet er udfyldt, har man sin SoA-dokumentation, som viser ledelsens prioriteringer for informationssikkerheden, der også løbende kan bruges til at rapportere fremskridt for etablering af de valgte sikkerhedsforanstaltninger. Guide og skema kan findes og downloades fra Digitaliseringsstyrelsens hjemmeside, Myndigheden bør inddrage eventuelle outsourcingleverandører i arbejdet med at implementere sikkerhedsstandarden ISO Risikovurdering Myndighederne bør lade de generelle og specifikke trusselvurderinger udarbejdet af Center for Cybersikkerhed indgå i deres risikovurdering. Myndighedernes styring af informationssikkerheden og af risici ved egne systemer og procedurer skal tage udgangspunkt i opdaterede trusselbilleder og viden om sårbarheder. En myndighed skal i sin risikovurdering specifikt besvare spørgsmålene: Hvad er konsekvensen og omkostningerne, såfremt et cyberangreb forårsager et nedbrud i et betydeligt omfang af en tjeneste? Hvad er konsekvensen og omkostningerne, såfremt et cyberangreb forårsager en kompromittering af fortroligheden af data (persondata eller andre typer data)? Hvad er konsekvensen og omkostningerne, såfremt et cyberangreb forårsager tab eller forvanskning af data (er der data, som i praksis er uerstattelige, og som derfor kræver særlig beskyttelse)? Myndigheden skal i sin risikovurdering vurdere truslerne i forhold til karakteren og værdien af de data og systemer, som myndigheden ejer, samt tage stilling til sikring heraf i relation til de relevante trusler. Myndigheden skal desuden med henvisning til ISO27001 sikre et robust og afprøvet beredskab (politikker, procedurer og planer for ledelsesmæssige tiltag) ved sikkerhedshændelser, som potentielt kan kompromittere eller på anden vis påvirke vigtige tjenester eller sikkerheden omkring data, som myndigheden er ansvarlig for. Myndigheden skal endvidere vurdere sit beredskab med henblik på at sikre, at den har passende forudsætninger for at opdage, kortlægge og imødegå angreb, herunder i størst mulig grad opretholde sikkerheden af øvrige data og systemer i tilfælde af en kompromittering. 14 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014

15 Kapitel 5 Styring af informationssikkerhed efter ISO27001-standarden Ledelsen bør sikre, at myndigheden etablerer et dokumenteret kendskab til trusselbilledet. Trusselsvurderinger af sektor- og myndighedsspecifikke områder kan med fordel i relevante tilfælde udarbejdes i samarbejde med Center for Cybersikkerhed og myndighederne. Digitaliseringsstyrelsen har udarbejdet en vejledning for risikovurdering i relation til fortrolighed, integritet og tilgængelighed af data og systemer, og hvorledes dette benyttes i sammenhæng med ISO27001-standarden. Vejledningen kan findes og downloades fra Digitaliseringsstyrelsens hjemmeside, Myndigheden bør endvidere vurdere risikobilledet ved outsourcing af it-drift sammenholdt med risikobilledet ved egen drift/insourcing. Risikobilledet sammenholdes med de forretningsmæssige mål og myndighedens risikovillighed på områder, hvor der ikke er risiko for personfølsomme eller nationale data. Myndighederne skal herunder ved udbud eller indkøb af itleverancer vurdere it-sikkerhedsrisici ved den påtænkte itleverance og it-sikkerhedsrisici ved integrationen af leverancen i myndighedens øvrige it-miljø og beslutte passende sikringstiltag. Det er afgørende for myndighedens it-sikkerhed, at den løbende identificerer de sårbarheder, der måtte være ved at vælge en outsourcet løsning, således at it-sikkerhedsforanstaltningerne kan justeres eller nye indføres. Ydermere bør den enkelte myndighed i forbindelse med risikovurderingen løbende sikre et samlet overblik over sin anvendelse af eksterne leverandører (i forhold til outsourcet drift, software og hardware). Center for Cybersikkerheds bidrag til koordinering og videndeling i staten vedrørende sikkerhedshændelser i forbindelse med outsourcet drift styrkes, såfremt der i myndighederne i staten er et dokumenteret overblik over egen anvendelse af it-leverandører (outsourcet drift, software, hardware) og myndighederne deler oplysninger herom med Center for Cybersikkerhed. Ledelsen skal sikre, at myndighedens risikovurdering udarbejdes med udgangspunkt i sikkerhedsstandarden ISO27001, således at der tages stilling til, om det påtænkte sikkerhedsniveau matcher risikobilledet af de pågældende systemer, der påtænkes outsourcet. Ledelsen skal sikre, at myndigheden på baggrund af risikovurderingen udfærdiger relevante sikkerhedspolitikker og implementerer og dokumenterer relevante procedurer. Endvidere skal ledelsen sikre, at disse politikker og procedurer er kendte og forståede i organisationen. 5.3 Behandling af personoplysninger Hvis der er tale om behandling af persondata, skal reglerne i persondataloven og den tilhørende sikkerhedsvejledning iagttages, inden behandlingen starter. Efter persondataloven må personoplysninger kun behandles, hvis den dataansvarlige har hjemmel (lovgrundlag) til at behandle de pågældende persondata. Overlader den dataansvarlige behandlingen til en databehandler, er det et krav, at der indgås en databehandleraftale mellem parterne, som blandt andet entydigt sikrer, at databehandleren kun behandler data efter den dataansvarliges instruks. Datatilsynets krav til databehandleraftaler findes her: Når der behandles persondata, er det desuden nødvendigt at overholde de overordnede sikkerhedskrav, som er beskrevet i persondataloven. Offentlige myndigheder er endvidere forpligtede til at iagttage de specifikke sikkerhedskrav i sikkerhedsbekendtgørelsen. Behandling af persondata skal i mange tilfælde anmeldes til Datatilsynet, både når behandlingen sker for private og for offentlige myndigheder. I visse tilfælde og særligt, når der behandles særligt følsomme data, skal Datatilsynets tilladelse også indhentes inden behandling igangsættes. Digitaliseringsstyrelsen har udarbejdet en vejledning om de juridiske rammer for brug af cloud computing. Vejledningens anden del omhandler kontraktuelle forhold der bør iagttages, ved indgåelse af kontrakt med en sourcingleverandør. En række af kravene er relevante ud fra en sikkerhedsmæssig betragtning. Vejledningen kan findes her: Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August

16 Kapitel 5 Styring af informationssikkerhed efter ISO27001-standarden 5.5 Evaluering af sikkerheden Det er en god ide for myndigheden at evaluere sit sikkerhedsniveau, så der skabes et overblik over den aktuelle status på området. En sådan evaluering kan samtidig bruges til overfor ledelsen at synliggøre behov for ændringer i prioriteringerne i indsatsen. Digitaliseringsstyrelsen har udviklet to evalueringsværktøjer, der kan bruges i organisationens arbejde med ISO27001: "Værktøj til selvevaluering" - kan bruges til selvevaluering af, hvor langt en organisation er nået i implementeringsarbejdet. Formålet er at bidrage med konkrete krav til at etablere, implementere, vedligeholde og forbedre et informationssikkerhedssystem i organisationer. Værktøjet er designet som en hjælp til at holde styr på de forskellige krav fra standarden og organisationens implementeringsgrad. "ISO27001-benchmark" - kan bruges som et benchmark i forhold til Anneks A i ISO Værktøjet gennemgår alle områder i Anneks A og stiller spørgsmål til, hvordan organisationen placerer sig på det aktuelle niveau i forhold til de enkelte områder, og hvilket niveau organisationen ønsker. Når alle spørgsmål er udfyldt, kan der trækkes en rapport, der viser områderesultater og det overordnede resultat. Værktøjet lægger op til, at man skal vurdere sig på en skala fra 0-5. Begge værktøj kan findes og downloades fra Digitaliseringsstyrelsens hjemmeside sammen med yderligere materiale om informationssikkerhed og ISO27001: 16 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014

17 Kapitel 6 6. Koordinering og videndeling mellem statslige myndigheder Nyt kapitel Koordinering og videndeling styrker sikkerheden. Center for Cybersikkerhed har etableret en tværministeriel kontaktgruppe, som skal have fokus på styrkelse af cybersikkerheden for de centrale statslige myndigheder. Kontaktgruppens formål er at videndele, udvikle og koordinere de ministerielle indsatser på cybersikkerhedsområdet. Målet er at styrke cybersikkerheden i Danmark ved at fremme løbende koordination og informationsudveksling mellem relevante offentlige myndigheder på tværs af sektorerne. Center for Cybersikkerhed arbejder endvidere med at etablere flere offentlig-private arbejdsgrupper med sigte på videndeling og udbredelse af kendskabet til trusler fra internettet. Der arbejdes på at etablere et forum vedrørende ICS/SCADA (industrielle kontrolsystemer) og et forum vedrørende mainframe-systemer. Digitaliseringsstyrelsen driver et forum for statens myndigheder, Statens Informationssikkerhedsforum (SISF), som samarbejder om it-sikkerhedsområdet på et praktisk niveau. SISF fungerer i dag primært som videndelingsforum, men forummet er sammensat, så det fremover kan udgøre et velegnet forum til koordination af den praktiske håndtering af konkrete sager, som måtte blive identificeret i den tværministerielle kontaktgruppe. Myndighederne bør sammen med leverandørerne gennemgå og i relevant omfang justere kontrakter med henblik på at sikre, at it-sikkerheden er tidssvarende og afspejler det nuværende trusselbillede. Der gælder en særlig udfordring for en række systemer i staten, hvor it-arkitekturen, herunder sikkerhedsarkitekturen, i en række tilfælde er mere end 15 år gammel, og formodes kun i begrænset omfang at være udviklet med en sikkerhedsmodel, som inkluderer, at systemerne nu kan tilgås udefra og ofte er sammenkoblet med internettjenester. Ledelsen skal sikre, at myndigheden i tilstrækkelig grad deltager i den statslige koordination og videndeling på området, herunder er repræsenteret i relevante fora. Det styrker det offentliges position overfor it-leverandører, såfremt myndighederne som kunder fremstår homogene og konsistente over for leverandører. Det er i den forbindelse af betydning, at myndigheder, som deler samme infrastrukturkomponenter hos en leverandør, samordner deres krav til leverandøren. Herunder er det f.eks. af betydning, at de pågældende myndigheder alle er modne indkøbere af sikkerhedsydelser, således at leverandøren understøttes i at indføre en passende sikkerhed på hele sin platform, og at der ikke er svage led i sikkerhedskæden, ved at en myndighed har væsentligt ringere sikkerhed end de andre myndigheder på samme platform. Det er ligeledes af betydning, at myndighederne samarbejder væsentligt mere aktivt om kontrakter vedr. itleverancer. Endelig er det af betydning, at myndighederne sikrer, at services og anden funktionalitet, som ikke anvendes, deaktiveres med henblik på at forebygge unødige sårbarheder. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August

18 Kapitel 7 7. Bilag Oversigt over anbefalinger til ledelsen Nyt kapitel Rapportens 11 anbefalinger til ledelsen er herunder samlet i en oversigt, der afspejler de direkte og indirekte erfaringer, som er indhentet gennem analysen af CSC-sagen. Oversigten kan anvendes som tjekliste for ledelsen i informationssikkerhedsdialogen med organisationen. Alle anbefalinger er i tråd med den gældende sikkerhedssandard ISO Kapitel- og sideangivelse refererer til rapporten Anbefalinger til styring af sikkerheden i statens outsourcede it-drift, juni Kapitel 2, side 7, trusler Ledelsen bør sikre, at myndighedens risikovurderinger og risikoledelse, jf. kapitel 5, tager udgangspunkt i et opdateret trusselbillede. Ledelsen bør endvidere sikre, at organisationen vurderer risici ud fra karakteren og værdien af data og systemer, som myndigheden er ansvarlig for, herunder hvor kritiske de er for myndigheden. Ledelsen bør tage initiativ til, at myndigheden indleder en dialog med Center for Cybersikkerhed vedrørende mulighederne for at gøre brug af centerets it-sikkerhedsydelser. Kapitel 4, side 10-13, sikkerhedsstyring eksterne leverandører Ledelsen bør sikre, at der er en tydelig ansvarsfordeling mellem kunde og leverandør om, hvem der er ansvarlig for specifikke sikkerhedstiltag, herunder leverandørens ansvar for underleverandører. Der skal sikres en klar ansvarsfordeling mellem kunde og leverandør i forhold til sikkerhedsaktiviteter. Ledelsen bør sikre, at der stilles relevante krav til sikkerhedsforanstaltninger hos eksterne leverandører. Ledelsen skal inden kontraktindgåelse nøje vurdere risikoen for og konsekvenserne af, at det fornødne sikkerhedsniveau ikke videreføres ved et evt. salg eller ophør af leverandørens virksomhed. Ledelsen skal sikre, at kontrakten om outsourcet it-drift indeholder konkrete bestemmelser, der tager højde for evt. salg eller ophør af leverandørens virksomheder samt ved skift af leverandørens teknologi/underleverandører etc. Kapitel 5, side 14-15, sikkerhedsstyring organisationen Myndigheden bør inddrage eventuelle outsourcing-leverandører i arbejdet med at implementere sikkerhedsstandarden ISO Ledelsen bør sikre, at myndigheden etablerer et dokumenteret kendskab til trusselbilledet. Trusselsvurderinger af sektor- og myndighedsspecifikke områder kan med fordel i relevante tilfælde udarbejdes i samarbejde med Center for Cybersikkerhed og myndighederne. Ledelsen skal sikre, at myndighedens risikovurdering udarbejdes med udgangspunkt i sikkerhedsstandarden ISO27001, således at der tages stilling til, om det påtænkte sikkerhedsniveau matcher risikobilledet af de pågældende systemer, der påtænkes outsourcet. Ledelsen skal sikre, at myndigheden på baggrund af risikovurderingen udfærdiger relevante sikkerhedspolitikker og implementerer og dokumenterer relevante procedurer. Endvidere skal ledelsen sikre, at disse politikker og procedurer er kendte og forståede i organisationen. Kapitel 6, side 17, koordinering og videndeling Ledelsen skal sikre, at myndigheden i tilstrækkelig grad deltager i den statslige koordination og videndeling på området, herunder er repræsenteret i relevante fora. 18 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014 Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580

Læs mere

Guide til implementering af ISO27001

Guide til implementering af ISO27001 Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer 5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

(Fremtidens) Regulering af cloud computing

(Fremtidens) Regulering af cloud computing (Fremtidens) Regulering af cloud computing Dansk Automationsselskab 2012 Jacob Voetmann Kont. for it-arkitektur og standardisering Digitaliseringsstyrelsen javoe@digst.dk Digitaliseringsstyrelsen og cloud

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden National strategi for cyber- og informationssikkerhed Øget professionalisering og mere viden December 2014 INFORMATIONSSIKKERHED OG CYBERSIKKERHED I denne strategi anvendes to begreber: Informationssikkerhed

Læs mere

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg for Videnskab og Teknologi Kommissionens meddelelse til Europa-Parlamentet, Rådet,

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden National strategi for cyber- og informationssikkerhed Øget professionalisering og mere viden December 2014 INFORMATIONSSIKKERHED OG CYBERSIKKERHED I denne strategi anvendes to begreber: Informationssikkerhed

Læs mere

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9 2 > Publikationen er gratis. Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Publikationen kan hentes på: digitaliser.dk ISBN (internet): 978-87-92572-47-9 Telefon:

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014 Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

It-sikkerhedstekst ST11

It-sikkerhedstekst ST11 It-sikkerhedstekst ST11 Fælles login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST11 Version 1 September 2016 Fælles login Udtrykket "Login" anvendes om den proces, der giver

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 0000000 000000 0000000 00000000 000000 0000000 00000000 000000 0000000 00000000 000000 0000000 00000000 REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 0000000 000000 0000000 00000000 000000 0000000

Læs mere

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016 Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver Februar 2016 18, STK. 4-NOTAT TIL STATSREVISORERNE 1 Vedrører: Statsrevisorernes beretning

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1)

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1) (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-076167 Senere ændringer

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

CYBERFORSIKRING OFFENTLIG KONFERENCE

CYBERFORSIKRING OFFENTLIG KONFERENCE CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering

Læs mere

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER NOVEMBER 2014 Hvad er et hackerangreb? INTRODUKTION Denne folder er udarbejdet af It-sikkerhedssøjlen i Branchefællesskab

Læs mere

December 2013. Cyberforsvar der virker. Cyberforsvar, der virker

December 2013. Cyberforsvar der virker. Cyberforsvar, der virker Cyberforsvar der virker NOVEMBER DECEMBER 2013 1 Forord Cybertruslen mod Danmark er reel. Danske offentlige myndigheder og private virksomheder er dagligt udsat for forstyr rende eller skadelige aktiviteter

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Bilag 15 Leverandørkoordinering

Bilag 15 Leverandørkoordinering Bilag 15 Leverandørkoordinering Version 0.8 26-06-2015 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 2 2 INDLEDNING... 3 3 LEVERANDØRENS ANSVAR... 4 4 LEVERANDØRENS KOORDINERINGS- OG SAMARBEJDSFORPLIGTELSE...

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Overdragelse til itdriftsorganisationen

Overdragelse til itdriftsorganisationen Overdragelse til itdriftsorganisationen Indhold 1. Formål med tjeklisten 3 2. Tjeklisten 5 2.1 Governance 5 2.2 Processer 5 2.3 Support af slutbrugere 6 2.4 Viden og dokumentation 8 2.5 Kontrakt, leverandørsamarbejde

Læs mere