VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

Størrelse: px
Starte visningen fra side:

Download "VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing"

Transkript

1 VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing DI ITEK 1787 København V itek.di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik og kommunikation

2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 2

3 VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing BAGGRUND Digitalisering er helt centralt for, at danske virksomheder kan øge produktiviteten og konkurrenceevnen i en global verden. Derfor er det vigtigt, at virksomhederne tager moderne teknologier og metoder som big data, internet of everything, cloud computing, sociale medier og mobile løsninger til sig. Cloud computing er af de teknologier, som europæiske virksomheder anser som særligt lovende. Ifølge et studie fra EU Kommissionen 1 brugte 19% af alle europæiske virksomheder cloud computing i Af disse bruger knapt halvdelen avancerede cloud løsninger til at styre regnskaber, kunder og andre forretningskritiske programmer. Danmark er med til at trække det europæiske gennemsnit op, idet 38% af danske virksomheder bruger cloud computing under en eller anden form. Nogle af teknologierne ændrer på de behov, der er til sikkerheden for, at data og systemer er til rådighed, når de skal være det (tilgængelighed), er sikre således, at kun dem, der skal have adgang, får adgang (fortrolighed), og således at data kun ændres af dem, der må (integritet). 39% af dem, der bruger cloud computing, betragter risikoen for en sikkerhedsbrist som en begrænsende faktor. 42% af de virksomheder, der ikke bruger cloud computing i dag, betragter manglende viden om cloud computing - herunder sikkerhed - som en begrænsende faktor. Der er derfor god grund til at hæve vidensniveauet om cloud computing og sikkerhed. Denne vejledning giver anbefalinger til informationssikkerheden, når virksomhederne lader eksterne parter drive og vedligeholde nogle af virksomhedens it-systemer. I denne vejledning gennemgås det indledningsvis, hvad outsourcing og cloud computing er. Herefter gennemgås de sikkerhedskrav, som en virksomhed bør opstille, 1 _statistics_on_the_use_by_enterprises VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 3

4 når de bruger eksterne leverandører. Der konkluderes med en tjekliste for god leverandørsikkerhed. OUTSOURCING Outsourcing betyder, at virksomhed køber en ydelse, som den tidligere selv har stået for, hos en underleverandør. Formålet er ofte at opnå en bedre pris eller en bedre kvalitet, ved at anvende en specialiseret leverandør. Outsourcing anvendes af næsten alle virksomheder - f.eks. ved at lægge produktion til fjernøsten eller ved at hyre et rengøringsselskab. Outsourcing af opgaver i it-afdelingen eller evt. udskillelse af hele it-afdelingen til en serviceleverandør er også meget udbredt. It-outsourcing betyder, at en virksomhed indgår en kontrakt med it-leverandør om at stå for drift og vedligehold af (dele af) virksomhedens it-systemer. Outsourcingpartneren stiller dermed noget it-infrastruktur i form af hardware, software og service til rådighed for kunden. Kunden er typisk i dialog med hostingprovideren om, hvordan han ønsker opgaven skal gennemføres. Kunden kan dermed i et betydeligt omfang påvirke udformningen af løsningen. CLOUD COMPUTING Der findes mange forskellige definitioner af cloud computing. Cloud computing defineres af den amerikanske standardiseringsorganisation, NIST, som en software og hardware infrastruktur, der giver let adgang til it-mæssige ressourcer overalt med en minimal indsats 2. Det Europæiske agentur for Netværks og Informationssikkerhed (ENISA), definerer cloud computing som en servicemodel for efterspørgsel af it-løsninger, der ofte er baseret på virtualisering og distribuerede it-teknologier 3. Cloud computing vil ofte samtidig indebære outsourcing. Cloud computings karakteristika Cloud computing har ifølge NIST fem grundliggende karakteristika: For det første er der tale om efterspørgselsorienteret selvbetjening, hvor kunderne kan tilvælge og fravælge it-ressourcer efter behov. For det andet er ressourcerne typisk direkte tilgængelige over et netværk, og de kan derfor tilgås fra platforme med meget forskellige karakteristika. For det tredje er ressourcerne poolet, således at der ofte serviceres flere kunder på den samme infrastruktur med høj grad af uafhængighed af fysisk lokation. For det fjerde er løsningen fleksibel således, at der kan skrues op og ned for efterspørgslen uden varsel. For det femte måles ressourceforbruget løbende, og der betales kun for de ressourcer, man bruger https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-information-security VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 4

5 ENISA opsummerer karakteristikaene som abstrakte ressourcer, let skalerbarhed og høj grad af fleksibilitet, øjeblikkelig anskaffelse, delte ressourcer, efterspørgselsbaseret service kombineret med at der kun betales for det der bruges og endelig programmerbar styring af de efterspurgte ressourcer. Cloud computing servicemodeller Cloud computing har flere forskellige servicemodeller. For det første har vi Software as a Service (SaaS), hvor den software, kunden har købt adgang til, kører på en cloud computing infrastruktur. Kunden skal således ikke selv håndtere hardware, styresystemer, lagerplads osv. Eksempler inkluderer webmail, ERP og CRMsystemer. For det andet har vi Platform as a Service (PaaS), hvor kunden kan placere sit eget software på en cloud infrastruktur. Cloud udbyderen stiller dermed en programmeringsplatform til rådighed - f.eks. en.net eller en javaplatform. For det tredje har vi Infrastructure as a Service (IaaS), hvor kunden får adgang til en hardware infrastruktur, men selv har kontrol med styresystemer, applikationer og lager. Nogle gange nævnes også en fjerde servicemodel, Unified Communication as a Service, som er kommunikationsservices på tværs af forskellige typer af platforme. Cloud computings implementeringstyper Der er flere forskellige typer af implementeringer af cloud computing. Den mest almindeligt omtalte er en public cloud, hvor cloud infrastrukturen ejes og drives af en cloud udbyder. En variant er, når en sammenslutning af interessenter (community) sammen ejer og driver en cloud infrastruktur. Det er også muligt at have en privat cloud, som bruges af een kunde, og som enten ejer og driven clouden selv eller får den drevet hos en tredjepart (serviceleverandør cloud). Den private cloud kan fysisk være placeret hos kunden, men kan også være tilgængelig via nettet. Hybrid cloud, er en sammensætning af flere forskellige af de tre førstnævnte cloud infrastrukturer. Ved flere af de forskellige former for cloud computing, er der ikke altid klarhed over, hvor data befinder sig geografisk, hvilket kan skabe juridiske udfordringer. Beskrivelsen af de forskellige former for cloud computing kan sammenfattes som følger: VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 5

6 Traditionel deployment Privat cloud Community Public Cloud Traditionel deployment er den typiske it-implementering, som de fleste virksomheder benytter idag. Denne deployment kan køre hos kunden og være styret af kunden eller en partner i kundens eget data center. I de fleste tilfælde, sker det altså som en enkelt implementering for en enkelt kunde. Privat Cloud er cloud computing hos een specifik virksomhed. Med privat cloud, får man mange af fordelene fra Public cloud og med øget control og fleksibilitet gennem dedikerede virksomhedsressourcer. Til gengæld har man typisk selv driften af miljøet og omkostningerne forbundet dermed. En Community Cloud er når en sammenslutning af interessenter sammen ejer og driver en cloud infrastruktur. En community cloud oprettes typisk, når der skal samarbejdes på tværs af organisationer om konkrete projekter eller om forskning. Public Cloud er cloud computing med globalt delte ressourcer. Online tjenester som giver fordele som: hurtig skalering, automatiske opdateringer af software, forbrugsafhængig omkostningsstruktur, så kunder kun betaler, for det de bruger. Hybrid løsning Kunder ønsker ofte udvikling af hybride løsninger, hvor man kombinerer de bedste elementer fra privat og public løsninger. Det gør det muligt at beslutte lokation og hvilke roller, der ønskes tildelt henholdsvis de private og de public dele af en løsning. SIKKERHEDSOVERVEJELSER I tilgift til de ofte klare økonomiske incitamenter, oplever virksomheder der anvender outsourcing- eller cloudleverandører, at der gennem adgangen til specialiserede kompetencer også opnås øget kvalitet i it-systemerne. Outsourcing vil typisk betyde mere direkte dialog med leverandøren og de specialiserede kompetencer, denne er i besiddelse af. Der er også større mulighed for at få skræddersyet systemer. Indenfor cloud computing tilbydes ofte mere standardiserede løsninger, der så til gengæld er billige og skalerbare i betydningen, at man kan skrue op og ned for behovet for ressourcer. Kunden har ved cloud computing ofte ikke mulighed for at komme direkte i dialog med leverandørens specialister. For begge gælder, at de specialiserede kompetencer hos leverandøren betyder, at sikkerheden typisk vil være bedre, end hvad virksomheden selv kan tilvejebringe, hvis virksomheden stiller de krav til leverandøren, som beskrives i denne vejledning. Når virksomheden overvejer at lade andre overtage driften og vedligeholdelsen af sine it-systemer, er det vigtigt, at virksomheden samtidig gør sig nogle overvejelser om sikkerheden. Mindre virksomheder, der hidtil ikke har haft fokus på sikkerhed, vil typisk få forbedret sikkerhed ved at outsource eller bruge cloudløsninger, mens virksomheder, med god fokus på sikkerhed, skal håndtere de ændringer i trusselsbilledet, som følger af at lagre data uden for virksomheden. VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 6

7 Ansvar og kompetencer Virksomheden kan ikke skille sig af med ansvaret for it-systemerne ved at udskille drift og vedligehold. Virksomheden har stadig ansvaret for, at lovgivningen er overholdt, og at risiko håndteres fornuftigt. Der er forskellig sikkerhed tilknyttet de forskellige servicemodeller: Ved SaaS kan man således stille krav om at få dokumentation for sikkerhedsniveauet, men ved IaaS har kunden selv langt mere kontrol med it-systemerne og dermed også selv en langt mere aktiv rolle at spille for at skabe et fornuftigt sikkerhedsniveau. Når kunden har systemerne kørende in-house i en såkaldt privat cloud, har man også en meget aktiv rolle at spille. Outsourcingleverandøren kan fungere som mellemmand og skabe hybride løsninger mellem drift on-premise og drift i clouden. Heller ikke i denne situation kan kunden dog skille sig af med ansvaret. Det er derfor vigtigt, at virksomheden beholder visse it-kompetencer, således at man på et fagligt grundlag kan gå i dialog med sin leverandør. Særlig vigtigt er det, at virksomheden har kompetencer indenfor informationssikkerhed således, at virksomheden kan stille de rette krav til sin leverandør og sikre, at de aftaler, som fremgår af kontrakten mellem de to parter, efterleves. Det er også vigtigt, at virksomheden har kompetencer til at kunne reagere på henvendelser fra leverandøren om eventuelle sikkerhedshændelser. De jurister, som er involveret i kontraktforhandlingerne, skal forstå at beskrive den fordeling af rollerne, som virksomheden selv og dens leverandør skal spille. Risikoanalyse og dataklassifikation Inden virksomheden vælger en leverandør, bør der foretages en risikoanalyse og en dataklassifikation. Risikoanalysen skal kortlægge de risici, som virksomheden står overfor. Der bør altid foretages en risikoanalyse årligt - uanset om der skal vælges en ekstern leverandør eller ej. Risici afhænger af konsekvenser og sandsynlighed for at trusler, som f.eks. hacking og virus, fejl på it-systemer og tyveri af data fra medarbejdere eller andre, får konsekvenser. Der kan med fordel tages udgangspunkt i OCTAVE- VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 7

8 modellen 4, når der skal tilvejebringes et overblik over truslerne. En model for selve risikoanalysen kan findes i ISO Risikoanalysen skal foruden at adresserer virksomhedens egne risici også kortlægge hvilke risici, der er ved at vælge en ekstern leverandør fremfor selv at drive it-systemerne. Så snart virksomhedens data forlader virksomheden, opstår der nye former for risici - f.eks. kabelbrud, leverandørens manglende evne til at forsætte sin forretning, leverandørens oppetid, leverandørens sikkerhedsniveau set i forhold til hvad virksomheden selv ville kunne tilvejebringe, fremmede landes adgang til data med domstolskendelse og opsnapning af data på internettet på vej til leverandørens datacenter. Omvendt vil andre risici forsvinde, når der vælges en ekstern leverandør. Når der bruges en kombination af servicemodeller, f.eks. en SaaS, der kører på en IaaS, skal risikoanalysen sikre, at der kortlægges risici og stilles sikkerhedskrav, som også tager højde for kombinationen af risici hos de forskellige leverandører. Det europæiske agentur for netværks- og informationssikkerhed har lavet en risikovurdering af nogle af de mest almindelige risici, der er ved at anvende en ekstern leverandør 5. Desuden skal der på baggrund af risikoanalysen foretages en dataklassifikation. På baggrund af de risici, der findes ved at beholde systemer og data inhouse eller hos en ekstern leverandør, skal det afgøres, hvilke data man vil lægge ud til en ekstern part. Særligt opmærksom skal man være på data, som er forretningskritiske - f.eks. forskningsdata - tillige med data som kan være omfattet af lovkrav - f.eks. personoplysninger eller bogføringsdata. Sikkerhedsstandarder og best practises Når man skal vurdere eksterne leverandørers sikkerhed, er det ofte relevant at se på, hvilket holistisk sikkerhedsniveau de kan tilbyde. Der findes flere meget omfattende standarder og best practises, som kan bruges til at foretage en sikkerhedsmæssig vurdering. Vi kan ikke gennemgå dem alle og fokuserer derfor på ISO, NIST, ISAE, CSA og EU. ISO27001 opstiller krav til, hvordan sikkerheden hos en leverandør styres. Leverandøren skal have implementeret et såkaldt Information Security Management System (ISMS), som sikrer, at sikkerheden er på et konstant højt niveau og løbende forbedres. Som kunde bør man kræve, at standarden efterleves af både cloud- og outsourcingleverandører. ISO27002 opstiller en række kontrolmål og operationelle kontroller, som leverandøren bør implementere eller argumentere for, hvorfor han ikke implementerer. Kontrollerne sikrer f.eks., at personalet har de rette kompetencer, at sårbarheder i software patches, og at hændelser på systemerne logges. Som kunde bør man kræve, at standarden efterleves af både cloud- og outsourcingleverandører https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-information-security VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 8

9 ISO27001 og ISO27002 bør i forvejen være kendt af virksomhederne, fordi de også typisk bruges til at etablere et forsvarligt sikkerhedsniveau på inhouse it-løsninger. Samlet set stiller standarderne følgende krav: Ledelsens ansvar og rolle skal præciseres Der skal udarbejdes sikkerhedspolitikker med retningslinjer Der skal fastlægges roller og ansvar til forskellige aktører i organisationen Der skal ske håndtering af risici og muligheder - herunder risikoanalyse og etablering af kontroller i forhold til: politikker, organisering, personalesikkerhed, styring af aktiver (herunder klassifikation), adgangsstyring, kryptering, fysisk sikring, driftssikkerhed (herunder malware, logning, sårbarheder), kommunikationssikkerhed, anskaffelse, udvikling og vedligeholdelse af udstyr, styring af leverandører, styring af nedbrud, beredskab og compliance med lovgivning Der skal laves en målsætning for informationssikkerheden og laves planer for opfyldelse af mål Ressourcer, kompetencer og bevidsthed skal tilvejebringes hos organisationens medarbejdere Der skal laves planer for, hvordan kommunikation håndteres, herunder hvem der må sige hvad hvornår til hvem Det skal dokumenteres, hvilke tiltag der er sat i værk for at understøtte informationssikkerheden Der skal ske planlægning og styring af it-driften - herunder vurdering af og håndtering af risici Der skal løbende ske overvågning, måling, analyse og evaluering Sikkerhedskontroller skal løbende revideres og godkendes af ledelsen Der skal være en proces, der løbende sikrer forbedringer I overordnede termer er det disse krav, som kunderne bør stille til cloud og outsourcingleverandørerne. NIST har i standarden r4 6 ligesom ISO opstillet en række krav og kontroller, som bør være på plads for at skabe god sikkerhed. Der er et betydeligt overlap mellem de krav, der stilles i de standarderne, hvorfor de ikke gennemgås detaljeret her. Pointen er, at en leverandør, der er certificeret efter den ene eller anden standard, må forventes at have fornuftig styr på sikkerheden. Når man skal bruge en cloudleverandør, vil det typisk være vanskeligt at få adgang til de fysiske lokationer, hvor systemer og data kører. Det vil simpelthen være en sikkerhedsbrist for de øvrige kunder at lukke en kunde ind i et datacenter. Derfor lukker man i praksis en ekstern revisor ind, som så på vegne af alle kunderne kan sikre sig, at sikkerhedsniveauet er som ønsket. Den eksterne revisor udarbejder på baggrund af inspektion og dialog med leverandøren en revisionserklæring. Erklæringen dokumenterer, at en række kontroller er implementeret og fungerer. For de almindelige it-kontroller hedder revisionserklæringen ISAE (tidligere SAS 70). Erklæringen bruges både af cloud- og outsourcingleverandører, og man bør VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 9

10 som kunde stille krav om forevisning af disse erklæringer. En sådan revisionserklæring kan være et krav fra den revisionsvirksomhed, der udarbejder kundens eget årsregnskab. I forhold til outsourcingleverandører kan man også i kontrakten stille eksplicitte krav om at få adgang til datacenteret. I forhold til danske outsourcingleverandører har brancheforeningen BFIH lavet et hostingmærke, som udstedes til de leverandører, der lever op til forskellige krav, der går ud over revisionserklæringen. Som supplement til en ISAE3402 kan man også få en SSAE 16 SOC 2 erklæring. SSAE-erklæringen ser mere på risiko ved, at outsourcing eller cloud leverandørens eget personale udfører bevidst skadelige handlinger end ISAE-erklæringen. Cloud Security Alliance (CSA) er en organisation af cloud interessenter og brugere, som har lavet en sikkerhedsguide til cloudløsninger, Security Guidance for Critical Areas of Focus in Cloud Computing 8. Guiden opstiller en række sikkerhedsmæssige krav til styring og drift af en cloud, som cloududbydere og deres kunder bør være opmærksomme på. Guiden indeholder også en del overvejelser om og kortlægger fordele og ulemper ved cloud-løsninger i forskelligt perspektiv. Igen er der et væsentligt overlap med de krav og kontroller, der stilles i ISO- og NIST-standarderne. Guiden er dog mere cloud specifik end de øvrige standarder. CSA har lavet en rigtig god mapping af sine egne kontroller op mod ISO, NIST og en række andre standarder og lovkrav, CSAs Cloud Control Matrix 9. CSA har også tilvejebragt en certificering af personalets cloud computing kompetencer, CCSK. Hvis man skal i dialog med konsulenter indenfor cloud computing, kan det være værd at se efter denne certificering. På europæisk plan har der været stor politisk interesse for at få udnyttet de effektiviseringsmuligheder, der ligger i at anvende eksterne leverandører. Foruden ENI- SAs risikovurdering har EU Kommissionen lavet en strategi for cloud computing. I den forbindelse er der nedsat en række arbejdsgrupper, der skal levere en række produkter, som bidrager til at nedbryde nogle af de sikkerhedsmæssige barrierer ved cloud anvendelse 10. Produkterne er (i de udkast som i skrivende stund foreligger) meget cloud specifikke og for en dels vedkommende tæt relateret til at skabe compliance med europæisk lovgivning og fortolkningspraksis. Blandt produkterne forventes der at komme: en samlet indstilling vedrørende alle de forskellige sikkerhedsstandarder, der berører området standard service level agreements, som kan tilknyttes kontrakten mellem kunde og leverandør certificering af cloud leverandører et code of conduct for cloudleverandører, som bl.a. vil stille krav til behandling af personoplysninger, sikkerhedskrav og kontroller (som igen er 8 https://downloads.cloudsecurityalliance.org/initiatives/guidance/csaguide.v3.0.pdf 9 https://cloudsecurityalliance.org/research/ccm/ 10 https://ec.europa.eu/digital-agenda/en/cloud-computing-strategy-workinggroups VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 10

11 meget i overensstemmelse med de kontroller, standarderne peger på) og governance. Når kunden stiller de ovenfor nævnte krav om dokumentation af sikkerheden hos leverandøren, er det vigtigt at være opmærksom på, om den fremviste dokumentation er gældende for hele den service, kunden køber af leverandøren. Dette er særlig relevant, når leverandørens ydelse er baseret på en kombination af servicemodeller. Hvis der ikke er dokumentation for løsningens helhed, må kunden give sig i kast med en mere manuel risikovurdering af løsningen. Særlige sikkerhedskrav Alle rimelige sikkerhedskrav vil blive efterlevet, hvis leverandøren kan dokumentere efterlevelse af en eller flere af de ovenfor nævnte standarder. Nogle virksomheder kan have behov for yderligere præcis dokumentation af efterlevelse af visse kontroller. Man kan derfor undersøge, om der fra leverandøren foreligger eller kan rekvireres: resultatet af en penetrationstest beskrivelse af sikkerhedsorganisation og - politikker beskrivelse af anvendelsen af kryptering af transmitterede og lagrede data, herunder hvordan nøgler opbevares tillige med mulighederne for at anvende sin egen kryptering med egne nøgler beskrivelse af hvilke underleverandører der behandler data beskrivelse af hvor data befinder sig, herunder indenfor EU beskrivelse af hvordan data slettes - herunder på backup, f.eks. jf. standarden for sletning, NIST r1 11. beskrivelse af hvad der logges beskrivelse af hvordan håndtering af autentifikation og autorisation hos såvel leverandør som kunde foregår, med henblik på at sikre at der er præcis den adgang til data og systemer, som der er brug for beskrivelse af hvordan man kommer i kontakt med leverandører, hvis man har forskellige typer af spørgsmål beskrivelse af hvad der sker hvis leverandøren går konkurs, skifter forretningsområde eller bliver solgt, herunder beskrivelse af om kurator holder datacenteret kørende beskrivelse af hvordan man bliver orienteret af leverandøren, hvis der er opstået sikkerhedsbrister beskrivelse af under hvilket lands lovgivning eventuelle tvister løses beskrivelse af hvem der ejer data og hvordan virksomhedens data evt. må bruges af leverandøren, f.eks. til at forbedre tekniske filtre. Lovkrav til behandling af personoplysninger Der er en række særlige forhold, som skal iagttages, når de data, der behandles hos leverandøren, er personoplysninger. I Danmark er behandlingen af personoplysninger reguleret i Lov om behandling af personoplysninger (persondataloven) 12. Denne lov implementerer EU direktiv 95/46/EF, som regulerer behandlingen af https://www.retsinformation.dk/forms/r0710.aspx?id=828 VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 11

12 personoplysninger i EU 13. Outsourcing og cloudleverandører, som behandler personoplysninger om danske borgere, skal iagttage disse regler. I praksis giver dette anledning til, at der er nogle juridiske forhold, som skal håndteres og sikres gennem kontraktuelle og praktiske implementeringer - f.eks. med hensyn til eventuel behandling af data i lande udenfor EU, fordeling af rollerne som dataansvarlig og databehandler samt de øgede sikkerhedskrav til it-løsningen, hvis der behandles personoplysninger. Da flere af cloududbyderne opererer udenfor EU eller har tredjepartsleverandører, som opererer udenfor EU, skal der være aftaler om udveksling af data. Der er i retsgrundlaget flere forskellige muligheder for, at personoplysninger kan forlade EU. For det første er de cloududbydere, som er omfattet af Safe Harbourreglerne, i princippet godkendt. Flere EU-lande stiller dog spørgsmål ved denne godkendelse, fordi der er tale om udfyldelse af en self-assessment. Der pågår pt. forhandlinger mellem USA og EU om at revidere grundlaget for Safe-Harbour reglerne. Et alternativ er at lave Binding Corporate Rules. Men disse regler bruges alene indenfor koncerner og kan typisk ikke anvendes i forbindelse med cloud computing. Et bedre alternativ er at vælge cloud udbydere, som efterlever EU's model clauses 14, der er EU Kommissionens standardkontrakt for udveksling af data med visse lande udenfor EU. Det danske datatilsyn har udtalt sig om betingelserne for at anvende cloud computing løsninger ved behandling af personoplysninger og henviser netop til anvendelse af EU Kommissionens model clauses 15. Fordelingen af de juridiske roller som henholdsvis dataansvarlig (controller) og databehandler (processor) skal være præcist defineret i kontrakten. Som udgangspunkt vil kunden være dataansvarlig og leverandøren være databehandler. Imidlertid vil der være visse behandlinger, som kræver en konkret juridisk vurdering. F.eks. vil leverandøren ofte kunne anskues som dataansvarlig for administrative processer knyttet til behandlingen 16. De enkelte lande har fastsat særlige nationale regler, som understøtter fortolkningen af EU direktivet i den nationale lovgivning. I Danmark er der en række bekendtgørelser, som uddyber fortolkningen af persondataloven. En særlig vigtig bekendtgørelse er sikkerhedsbekendtgørelsen 17, som udmønter sikkerhedskravene til it-systemer, der behandler personoplysninger. Bekendtgørelsen gælder kun for den offentlige sektor, men det må anbefales, at også private virksomheder stiller krav om, at deres leverandør efterlever - eller i det mindste lader sig inspirere af - bestemmelserne i bekendtgørelsen https://www.retsinformation.dk/forms/r0710.aspx?id=842 VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 12

13 ISO27018 uddyber og supplerer ISO27002 og opstiller nogle ekstra kontroller, som leverandører af cloud computing løsninger bør efterleve, når der behandles personoplysninger. Der er bl.a. tale om følgende kontroller: styring af adgangskontrol, muligheder for anvendelse af kryptering, krav til underleverandører og information under leverandører, log af hændelser, logning af behandling af personoplysninger og håndtering af sikkerhedshændelser. Kunderne kan overveje at stille krav til leverandøren om en fuld implementering af ISO27018, når der behandles personoplysninger. I den danske fortolkningspraksis stilles der på en række områder krav om anvendelse af kryptering, når personoplysninger transmitteres over internettet, herunder på vej mellem virksomhed og outsourcing eller cloudleverandør. I hovedtræk går Datatilsynets praksis på, at det er obligatorisk at kryptere følsomme personoplysninger og CPR-nummer. Desuden skal der krypteres, hvis det er meddelt som vilkår af Datatilsynet 18. I en række andre tilfælde er det kun en anbefaling fra Datatilsynet, at der bruges kryptering. I relation til anvendelsen af cloud computing blev det af Datatilsynet meddelt som et vilkår, at der bruges kryptering. Kryptering findes i mange former. Virksomheden skal tage stilling til, om den vil bruge sin egen kryptering, eller om den vil bruge en eventuel kryptering fra cloudleverandøren. Virksomheden skal desuden tage stilling til, hvor kraftig kryptering der skal bruges. Retsgrundlaget for behandling af personoplysninger i EU stammer tilbage fra 1995, og er derfor i skrivende stund under revision. EU Kommissionen er kommet med et udspil til ny regulering, der har til formål at modernisere, harmonisere og effektivisere reglerne samtidig med, at der gives en bedre beskyttelse af personoplysninger. Når reglerne er vedtaget, vil der komme en to års implementeringsfrist. Vi må derfor forvente, at de i dette afsnit omtalte regler vil blive ændret. Et element i de nye regler, som formodentlig vil blive vedtaget, er kravet om at gennemføre en privacy impact assessment, PIA. En PIA er en risikovurdering ved, at der behandles personoplysninger - set fra den registreredes synspunkt. Det vil være at udvise rettidig omhu at sikre sig, at en sådan analyse laves for de it-systemer, der i væsentligt omfang behandler personoplysninger. Ved anvendelse af meget standardiserede løsninger (SaaS, public cloud) bør det undersøges, om leverandøren har lavet en PIA. Desuden bør virksomheden selv lave en PIA for virksomhedens egen behandling af personoplysninger. DI har lavet en skabelon 19, som med fordel kan anvendes, når man skal lave en PIA. Kontrakten Kontrakten mellem virksomheden og cloud- eller outsourcingleverandøren er afgørende for, hvilke services der leveres, og dermed også for hvilket sikkerhedsniveau der aftales. Der kan stilles helt konkrete krav til de enkelte kontroller til outsourcingleverandører - men ikke til cloudleverandører. Derfor stilles de sikkerhedsmæssige krav ofte som henvisninger til efterlevelse af standarder, hvor man så evt. i et vist omfang kan henvise til kontroller, som virksomhedens risikoanalyse har fremhævet som særligt vigtige. Af kontrakten bør det derfor fremgå, at (dele af) de ovenstående standarder efterleves. Desuden bør det fremgå, hvor ofte og i hvilket VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 13

14 omfang der gennemføres revision og kan forelægges revisionserklæringer. Det er virksomhedernes ansvar løbende kontrollere, at der ikke er bemærkninger i revisionserklæringerne, og at sikkerheden derfor til stadighed er på det aftalte niveau. Kontrakterne bør også indeholde bestemmelser om, hvordan sikkerhedshændelser håndteres samt et krav om løbende rapportering af sikkerhedsniveauet. Virksomheden bør have kompetencer inhouse til at kunne forstå disse erklæringer og reagere på dem. Kontrakter bør udarbejdes af advokatfirmaer med erfaring på dette område. VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 14

15 TJEKLISTE Cloud computing og outsourcing kan forbedre virksomhedernes produktivitet og konkurrenceevne betydeligt. Det er derfor vigtigt, at virksomhederne adresserer denne nye teknologi. For at gøre brug af teknologien og samtidig fortsat kunne leve op til sit ansvar for behandlingen af data bør virksomheden selv have fokus på sikkerhed og gennemføre en risikoanalyse og en dataklassifikation. Desuden bør virksomheden stille en række sikkerhedsmæssige krav til sine leverandører. Grundet den høje grad af standardiserede løsninger vil det i en række sammenhænge ikke være muligt at stille specifikke krav om bestemte kontroller til leverandøren. Kunderne er derfor henvist til at stille generelle krav og bør vurdere om leverandørerne kan: Fremlægge en ISAE3402-erklæring uden bemærkninger Efterleve en eller flere af standarderne: o Efterlevelse af eller certificering efter ISO27001 og ISO27002 o Efterlevelse af eller certificering efter NIST o Efterlevelse af eller certificering efter CSA Security Guidance for Critical Areas of Focus in Cloud Computing Fremlægge en SSAE 16 SOC 2 erklæring uden bemærkninger Fremlægge dokumentation for specifikke sikkerhedstiltag som f.eks. penetrationstests Hvis leverandøren kan dokumentere efterlevelse af en eller flere af de tre standarder tillige med en ISAE3402-klæring uden bemærkninger, er der rimelig grund til at tro, at sikkerheden er på plads. Når der behandles personoplysninger i en cloud løsning, skal det desuden undersøges, om leverandøren kan dokumentere: Efterlevelse af eller certificering efter ISO27018 Anvendelse af EUs model clauses ved indgåelse af kontrakt, alternativt at der henvises til en safe harbour godkendelse i kontrakten Gennemførelse af en privacy impact assessment Efterlevelse af fremtidige guidelines fra EU Kommissionen, som omtalt i denne vejledning. Hvis leverandøren kan efterleve de punkter, er der rimelig grund til at tro, at der kan behandles personoplysninger i overensstemmelse med dansk lovgivning. Hverken ved outsourcing eller ved cloud computing er sikkerheden på plads ved at stille krav til leverandøren. Virksomheden skal i kontrakten sikre sig, at det er præciseret, hvilke sikkerhedstiltag leverandøren tager, og dermed hvilke resterende sikkerhedstiltag virksomheden selv skal udføre. Virksomheden bør sikre sig, at den i virksomheden har kompetencer til at stille krav til leverandørerne, være i dialog med leverandøren om eventuelle sikkerhedshændelser og udføre eventuelle egne supplerende sikkerhedstiltag. VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 15

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Carsten Jørgensen 7 marts 2012 Carsten Jørgensen 1999 2001 2006 2009 2011 CloudSecurity.dk Falck 2012 Falck 2011 Emergency Assistance Healthcare

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

Business Continuity og Cloud

Business Continuity og Cloud Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

DI og DI ITEKs vejledning om cookiebekendtgørelsen

DI og DI ITEKs vejledning om cookiebekendtgørelsen DI og DI ITEKs vejledning om cookiebekendtgørelsen Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-989-7 0.02.13 Kort baggrund Det er på baggrund af EU-lovgivning forbudt af lagre og

Læs mere

Cloud med omtanke! 10 gode råd

Cloud med omtanke! 10 gode råd Cloud med omtanke! 10 gode råd Oversigt Cloud med omtanke har mange vinkler Risiko 360 - og afdækning i aftalen Særlig fokus på persondataretlige krav 2 17. september 2015 Agenda - Risikoafdækning 1 Vejledningen

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen

DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen Baggrund Cloud Computing er et begreb, som i den senere tid er blevet hypet ganske meget i alverdens medier. Begrebet dækker over

Læs mere

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele,

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Hvad er cloud computing?

Hvad er cloud computing? Hvad er cloud computing? Carsten Jørgensen cjo@devoteam.dk Devoteam Consulting COPYRIGHT 11/05/2010 Architecture & Information Simplificering af it og effektiv it til forretningen Business Intelligence

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Lever din myndighed op til persondatalovens krav?

Lever din myndighed op til persondatalovens krav? Lever din myndighed op til persondatalovens krav? COMPLIANCE-TJEK Persondataloven har gennem de seneste år fået større betydning, og antallet af sager ved Datatilsynet stiger. Alene fra 2012 til 2013 steg

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

To Cloud or not. Myndigheder og virksomheders valg af cloud computing. To Cloud or Not

To Cloud or not. Myndigheder og virksomheders valg af cloud computing. To Cloud or Not To Cloud or Not To Cloud or not Myndigheder og virksomheders valg af cloud computing Bjørn Borre, Chefkonsulent IT-Branchen, bjb@itb.dk Mobil 27522524 1 Om IT-Branchen Om Bjørn Borre 300 it-virksomheder.

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

IT Infrastruktur. Nu en broget affære? KENN BACH THOMSEN KEYACCOUNT MANAGER BFIH CERTIFICERET IT-HOSTING PARTNER ÅRETS HOSTING PARTNER HOS MICROSOFT

IT Infrastruktur. Nu en broget affære? KENN BACH THOMSEN KEYACCOUNT MANAGER BFIH CERTIFICERET IT-HOSTING PARTNER ÅRETS HOSTING PARTNER HOS MICROSOFT IT Infrastruktur Nu en broget affære? KENN BACH THOMSEN KEYACCOUNT MANAGER 1 ÅRETS HOSTING PARTNER HOS MICROSOFT 31-01-2014 Lidt om min baggrund 2000: Telefonsupport hos Symantec i Holland 2000-2003: Webmaster

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

LICENSMODELLER ÆNDRINGER OG RETLIGE UDFORDRINGER ÆNDREDE LICENSMODELLER - RETLIGE UDFORDRINGER 29. FEBRUAR 2015

LICENSMODELLER ÆNDRINGER OG RETLIGE UDFORDRINGER ÆNDREDE LICENSMODELLER - RETLIGE UDFORDRINGER 29. FEBRUAR 2015 LICENSMODELLER ÆNDRINGER OG RETLIGE UDFORDRINGER DAGSORDEN 1. Markedsudviklingen 2. Licensmodellernes udvikling i hovedtræk 3. SaaS det økonomiske fundament 4. SaaS - udvalgte eksempler på udfordringer

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Vejledning til skabelonen Databehandleraftale_feb2015

Vejledning til skabelonen Databehandleraftale_feb2015 Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Vejledning til skabelonen Databehandleraftale_feb2015 Skabelonen Databehandleraftale_feb2015

Læs mere

Professionel it-drift af din forretningsplatform

Professionel it-drift af din forretningsplatform Professionel it-drift af din forretningsplatform Din billet til it-afdelingens rejse fra costcenter til kraftcenter INVITATION TIL GRATIS KONFERENCE København, 2. juni Aarhus, 3. juni Tag kollegerne med

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa Persondataretlig compliance i praksis Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa Compliance hvorfor er det vigtigt nu? Øget fokus på persondata Den teknologisk

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

(Fremtidens) Regulering af cloud computing

(Fremtidens) Regulering af cloud computing (Fremtidens) Regulering af cloud computing Dansk Automationsselskab 2012 Jacob Voetmann Kont. for it-arkitektur og standardisering Digitaliseringsstyrelsen javoe@digst.dk Digitaliseringsstyrelsen og cloud

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

Bilag 18, Revisionsstandard og audit

Bilag 18, Revisionsstandard og audit Bilag 18, Revisionsstandard og audit Version Ændringer Dato 2.1 Ændret i - Punkt 1.1 - Krav 18.3 - Krav 18.5 - Krav 18.6 - Krav 18.9 - Krav 18.10 - Krav 18.11 - Krav 18.12 - Krav 18.14 - Krav 18.16 tilføjet

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013 Security as a Service hvorfor, hvornår og hvordan Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013 SecaaS hvorfor, hvornår og hvordan hvad Hvorfor.. Hvornår.. Hvordan.. Disclamer: Dubex er MSSP og leverer

Læs mere

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995) Persondataforordningen & kommuner Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall Forordningen I dag Persondataloven (fra 2000) Baseret på persondatadirektivet (fra 1995) Forskelle i implementering

Læs mere

SystemGruppen KOMPETENCE OG SERVICE

SystemGruppen KOMPETENCE OG SERVICE SystemGruppen KOMPETENCE OG SERVICE Velkommen til System Gruppen Hos SystemGruppen sætter vi meget stor pris på vores kunder. Vi vil gerne sørge for, at du føler dig kompetent serviceret og godt hjulpet.

Læs mere

Statens strategi for overgang til IPv6

Statens strategi for overgang til IPv6 Notat Statens strategi for overgang til IPv6 Overgangen til en ny version af internetprotokollen skal koordineres såvel internationalt som nationalt. For at sikre en smidig overgang har OECD og EU anbefalet,

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9 2 > Publikationen er gratis. Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Publikationen kan hentes på: digitaliser.dk ISBN (internet): 978-87-92572-47-9 Telefon:

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

- Der bør ikke ske en førtidig implementering af kravet om operationel revision

- Der bør ikke ske en førtidig implementering af kravet om operationel revision Finanstilsynet Att.: Helene Miris Møller Høringssvar på revisionsbekendtgørelsen 06.11.2014 har modtaget Finanstilsynets udkast til ændring af revisionsbekendtgørelsen og har følgende bemærkninger: Indledende

Læs mere

SAXOTECH Cloud Publishing

SAXOTECH Cloud Publishing SAXOTECH Cloud Publishing Fuld hosted infrastruktur til mediebranchen Stol på flere års erfaringer med hosting til mediehuse Fuld tillid til et dedikeret team af hostingeksperter Opnå omkostningsbesparelser

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

4 sekunder. 20 sekunder. 1-3 timer. 14% hurtigere. 5-6% bagud. 30/70 split. Vejen til succes med Hybrid Cloud v/cso, Poul Bærentsen, Atea

4 sekunder. 20 sekunder. 1-3 timer. 14% hurtigere. 5-6% bagud. 30/70 split. Vejen til succes med Hybrid Cloud v/cso, Poul Bærentsen, Atea 4 sekunder 1-3 timer 20 sekunder 14% hurtigere 5-6% bagud 30/70 split Vejen til succes med Hybrid Cloud v/cso, Poul Bærentsen, Atea Emnerne jeg vil tale om Brændende platforme versus brændende ambitioner

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Guide til IT projekter i den fællesoffentlige projektmodel

Guide til IT projekter i den fællesoffentlige projektmodel DEN FÆLLESOFFENTLIGE PROJEKTMODEL Guide til IT projekter i den fællesoffentlige projektmodel Dato: 22.06.2015 Version: 1.0 1 Projektledelse af it-projekter Denne guide tager udgangspunkt i særlige forhold

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact More than 3500 projects In control of 55 petabyte data 450 certified consultants More than 1.5M euro in training per year 55 PB,

Læs mere

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP Made simple Solvens II udgør den mest omfattende reform af de fælleseuropæiske regler for forsikringsselskaber,

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Statens brug af konsulenter

Statens brug af konsulenter Statens brug af konsulenter Statens indkøb af konsulentydelser er faldet fra 2008 og frem til 2012 med 738 mio. kr. fra 4,5 mio. kr. til 3,7 mio. kr. Statens indkøb har været faldende år for år dog lige

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations

Læs mere

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Lovafdelingen Dato: 15. november 2010 Kontor: Statsretskontoret Sagsnr.: 2010-7614-0030 Dok.: OTE40148 G R U N D - O G N Æ R H E D S N O T A T vedrørende

Læs mere

1. INDLEDNING 2. RÅDETS HIDTIDIGE ARBEJDE

1. INDLEDNING 2. RÅDETS HIDTIDIGE ARBEJDE 0 1 1. INDLEDNING Nationalbanken nedsatte i 2012 et betalingsråd i Danmark, der skal danne ramme for det fremtidige samarbejde om borgeres og virksomheders betalinger, også kaldet detailbetalinger. Formålet

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Træningsmodul4. EPC intermediate & advanced markets

Træningsmodul4. EPC intermediate & advanced markets Træningsmodul4. EPC intermediate & advanced markets EPC Support Strategi Project Transparense Motivationsfaktorer Indeklima og miljø Garanteret forbedring af indeklima i Reduceret miljøpåvirkning Finansiering

Læs mere

Bank & Finans IP & Technology

Bank & Finans IP & Technology Den 7. november 2013 Nyhedsbrev Bank & Finans IP & Technology Forslag til obligatoriske interne whistleblowerordninger i finansielle virksomheder Finanstilsynet sendte den 15. august 2013 forslag til lov

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

Når økonomioutsourcing er den rigtige løsning

Når økonomioutsourcing er den rigtige løsning Når økonomioutsourcing er den rigtige løsning Overvejer I at oursource hele eller dele af jeres økonomifunktion? Dette whitepaper er udarbejdet, så I har et bedre beslutningsgrundlag at handle ud fra.

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

CLOUD KONTRAKTER Databeskyttelsesdagen. 28. januar 2014 Advokat Pia Jee Skou Eilertsen, NOVI Advokater

CLOUD KONTRAKTER Databeskyttelsesdagen. 28. januar 2014 Advokat Pia Jee Skou Eilertsen, NOVI Advokater CLOUD KONTRAKTER Databeskyttelsesdagen 28. januar 2014 Advokat Pia Jee Skou Eilertsen, NOVI Advokater Cloud - servicekontrakt Udvalgte reguleringstemaer Kort introduktion til cloud 1. Persondata 2. Opstart

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-953-8 0.05.12 2 Introduktion

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015 Den nuværende persondatalov Fra år 2000, løbende smårevisioner

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Everything-as-a-Service. Afdelingsdirektør, Poul Bærentsen

Everything-as-a-Service. Afdelingsdirektør, Poul Bærentsen Everything-as-a-Service Afdelingsdirektør, Poul Bærentsen Agenda Atea s rejse Hvorfor ændrer IT sig til services? as-a-service tilgangen Den fremtidige it-leverance Markedstrends Atea EaaS vi skaber overblikket

Læs mere

NNIT PLAYMAKER. PLAYMAKER Et redskab til aktiv refleksion over din holdsætning, din placering på banen og dine målchancer.

NNIT PLAYMAKER. PLAYMAKER Et redskab til aktiv refleksion over din holdsætning, din placering på banen og dine målchancer. NNIT PLAYMAKER PLAYMAKER Et redskab til aktiv refleksion over din holdsætning, din placering på banen og dine målchancer. FORMÅL NYE PERSPEKTIVER OG MULIGHEDER It-rollen er under stærk forandring, påvirket

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

Cloud Computing & Multisourcing

Cloud Computing & Multisourcing November 2010 TDC Hosting whitepaper omkring Cloud Computing & Multisourcing Exceptional technology but human inside Indhold 1. Intro Multisourcing og Cloud Computing.. 2. Definition af Multisourcing...

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

White Paper. Hvad mener danske økonomichefer om applikation-outsourcing?

White Paper. Hvad mener danske økonomichefer om applikation-outsourcing? White Paper Hvad mener danske økonomichefer om applikation-outsourcing? Udarbejdet for KMD af Anne-Lise Wang, Phacit, HENRY Fellow Carsten Schmidt, Managing Fellow I samarbejde med HENRY Corporation 2010

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere