Informationssikkerhed i Balance

Størrelse: px
Starte visningen fra side:

Download "Informationssikkerhed i Balance"

Transkript

1 Informationssikkerhed i Balance Koncept version 1.0 Oktober 2014 IT-Branchens It-sikkerhedsudvalg

2 Resumé Der har de sidste år været et intenst fokus på informationssikkerhed i Danmark, primært grundet en række alvorlige databrud, med tab af større mængder personfølsomme data som følge. De mange sager har medvirket til at sætte spørgsmålstegn ved den generelle kvalitet af informationssikkerheden i Danmark, både fra politisk hold, fra pressens side og blandt ledelsen i private virksomheder og offentlige myndigheder. Konceptet bygger på 5 forskellige modenhedsniveauer af informationssikkerhed, baseret på organisationens sikkerhedsmæssige behov, og konceptet skal følges op af konkrete vejledninger og værktøjer, der beskriver præcist, hvad det vil kræve at være placeret i de forskellige niveauer. Konceptet er ment som at være fuldt loyal mod gængse sikkerhedsstandarder såsom ISO27001:2013 og kan derfor bruges i en hver organisation, uafhængig af valgt standard. Begrebet organisationer vil i det følgende blive brugt både om offentlige myndighed og private virksomheder. Vigtigt at bemærke er, at der ingen direkte sammenhæng er mellem en organisations størrelse og dens behov for sikkerhed. Forskellige organisationer kan have forskelligt behov. Store organisationer kan have mindre behov for sikkerhed end små, og samme organisation kan have forskellige sikkerhedsniveauer for forskellige datasæt. Konceptet udgør IT-Branchens bud på, hvordan vi får løftet it-sikkerheden i Danmark generelt, både for offentlige myndigheder og private virksomheder. Hvis konceptet får opbakning politisk og hos områdets interessenter, vil understøttende værktøjer og vejledninger kunne udarbejdes i tæt samarbejde imellem interesseorganisationer og nøgleaktører i Danmark, der hver i sær har deres styrker inden for privat og offentlig informationssikkerhed, såsom IT- Branchens IT-Sikkerhedsudvalg, Rådet for Digital Sikkerhed, Digitaliseringsstyrelsen og Center for Cybersikkerhed. Et fælles sikkerhedskoncept for Danmark Formålet med konceptet Informationssikkerhed i Balance er at komme med en realistisk, løsningsorienteret og målbar formel på, hvordan vi i Danmark kan få en fælles forståelse for informationssikkerhed ved at etablere et vejledende fundament for en fælles tilgang til forbedring af informationssikkerheden de steder, hvor den halter. Konceptet bygger på det faktum, at alle har brug for sikkerhed, men at alle ikke har brug for (eller mulighed for) at have det samme modenhedsniveau, når det kommer til informationssikkerhed. Det overordnede mål med konceptet er: At hjælpe organisationens ledelse med at forstå deres egen organisations individuelle behov for informationssikkerhed og finde et passende sikkerhedsniveau, basseret på organisations risikoprofil og hvordan informationssikkerhed vil tilføre reel værdi. At tilsikre at den individuelle organisations ledelse til en hver tid har et realistisk risikobillede, basseret på reelle trusler, sandsynlighed for sikkerhedsbrud og den relaterede konsekvens for organisationen. At hjælpe organisationen med at få en objektiv vurdering af de nødvendige investeringer i implementering og vedligeholdelse af informationssikkerhed, som hverken ligger for højt eller for lavt i forhold til virksomhedens risikoappetit og type/mængde af de informationer, som organisationen er ansvarlige for. At lette organisationens arbejde med at identificere og implementere de sikkerhedsmæssige kontroller, som er nødvendige for at leve op til anbefalingerne for det valgte sikkerhedsniveau, så der hverken implementeres utilstrækkelige eller unødvendige kontroller.

3 At hjælpe intern og ekstern revision og andre tilsynsmyndigheder med et fælles fundament for, hvilke kontroller der bør være på plads, baseret på objektive, ensartede og specifikke kriterier. Konceptet Informationssikkerhed i Balance Dette dokument beskriver konceptet bag Informationssikkerhed i Balance. Konceptet skal bakkes op af en række specifikke værktøjer, skabeloner og vejledninger, der kan tilpasses den enkelte organisations operationelle behov. På denne måde bliver informationssikkerhed praktisk, håndgribeligt og nemt at gå til, samtidig med at vi udnytter det omfattende sikkerhedsarbejde, der allerede er udført i en række af de mange professionelle organisationer, som arbejder med koordinering af informationssikkerhedsindsatsen i Danmark. Første skridt for realiseringen af konceptet er at samle opbakning hos områdets interessenter, herunder politikere. Derefter kan værktøjer og vejledninger udarbejdes i samarbejde mellem IT- Branchens IT-Sikkerhedsudvalg og eks. Rådet for Digital Sikkerhed, Digitaliseringsstyrelsen og forsvarets Center for Cybersikkerhed. Øvrige interesserede aktører - erhvervsorganisationer, brancheorganisationer og repræsentanter fra regionalt, kommunalt og statsligt niveau - er velkomne undervejs. Erhvervspolitisk opbakning IT-Branchen opfordrer regering, Folketing, erhvervsorganisationer, myndigheder og it- og sikkerhedsleverandører til at bakke op om sikkerhedsmodellen, og tilkendegive evt. interesse for at indgå i samarbejdet om at udbrede kendskabet hertil og udarbejde vejledningerne i brugen heraf målrettet offentlig og private virksomheder. Kontakt IT-Branchens sikkerhedsudvalg for nærmere information via Bjørn Borre, Principper Behovet: Både offentlige myndigheder og private virksomheder er i stigende grad klar over, at der er brug for at forbedrede modenheden for informationssikkerhed i virksomheden, drevet af faktorer som skærpede regulativer, øget fokus fra hovedinteressenter, samt behovet for en bedre balance imellem forretningsmål og it-investeringer. Tvivl om hvor, hvordan og hvor meget der skal sættes ind, er dog forbundet med væsentlige hindringer for en forbedrende indsats. Realisme: Selv om organisationer skal og bør have fokus på informationssikkerhed, er det højst tænkelige niveau af sikkerhed ikke nødvendigvis ønskeligt eller muligt. Set både fra den økonomiske synsvinkel og ønsket om størst mulig forretningsfleksibilitet. Ikke svært at komme godt i gang: Ny kompleks teknologi og indførelse af komplicerede processer er ikke altid vejen til en forbedret sikkerhed. Ofte giver det langt større værdi at starte med det fundamentale: Fokus fra ledelsens side, styringsprocesserne, vurdering af organisationens aktiver og en konkret risikovurdering i forhold til organisationens forretningsmål. Vejledende ramme: Øget regulering er ikke i sig selv en garanti for bedre sikkerhed. Regulering har tendens til at fokusere på det let-målbare, at være forældet kort efter den er vedtaget og i at skære alle virksomheder over en kam. En vejledende ramme som Sikkerhed i Balance kan derimod løbende opdateres, så den afspejler best practice, nyeste viden og tilgængelig teknologi. Med Informationssikkerhed i Balance leveres denne ramme, som virksomheder kan bruge til at deklarere deres individuelle sikkerhedsniveau, og som

4 interessenter kan iværksætte kontroller med efterlevelsen af med udgangspunkt i de forskellige modenhedsniveauer. Overblik over modenhedsniveauer Niveau Typisk typer af organisationer Typiske organisationer Niveau 1 Initialt Niveau 2 Formaliseret Niveau 3 Defineret Niveau 4 Styret Niveau 5 Optimeret Organisationer uden væsentlige kritiske aktiver, men som er opmærksomme på at noget må gøres. Ledelsen i organisationer på niveau 1 har en meget høj risikoappetit, da de typisk har en meget begrænset mængde information, der kan betegnes som kritisk og ikke vil blive synderligt påvirket af enten tab eller utilgængelighed af denne information. På niveau 1 drejer det sig primært om at gøre organisationens medarbejdere opmærksomme på ledelsens holdning til informationssikkerhed, udpege en ansvarlig for sikkerhed (ikke fultids), samt have et overordnet overblik over, hvor organisationen evt. kan være sårbar som fundament for eventuelt supplerende investeringer. Investeringerne i tekniske kontroller og opfølgning på dette niveau er meget lave. Men det mest basale skal være på plads. Organisationer med aktiver vurderet til at være kritisk og/eller personfølsomt, men som har en meget begrænset mængde at disse informationer. På niveau 2 etableres et fyldestgørende overblik over, hvor de kritiske informationer opbevares, og organisationens medarbejdere er nøje klar over, hvordan disse informationer skal behandles. Der er udelegeret et ansvar for sikkerhed, og der udføres periodisk kontrol med, at de udstukne retningslinjer overholdes. De basale sikkerhedskontroller er på plads, og det vurdere, om der er enkelte områder så som adgangskontrol, som skal skærpes yderligere. Organisationer der ejer en væsentlig mængde af kritisk data (såsom personfølsomt data), men som kun i begrænset omfang behandler disse data (fx hvor en større del af operationen er outsourcet til tredjepart). Det kan også dreje sig om organisationer (små som store), der er ansvarlig for en større mængde kritisk data, eller hvor informationssikkerhed spiller en væsentlig rolle i organisationens overlevelse/virkemåde. Ud over at der er placeret et de facto og dedikeret sikkerhedsansvar i form af en formel sikkerhedschef, er der yderligere fastsat et officielt sikkerhedsbudget baseret på en grundig risikovurdering og analyse af evt. manglende kontroller. Der ligges vægt på, at organisationen har helt styr på de sikkerhedsmæssige krav til informationssikkerhed, så der aktivt kan måles på fx egen og leverandørers overholdes af disse. Der er skærpet fokus på koordinering og dokumentation af sikkerhedsmæssige regler og processer og løbende opfølgning på effektiviteten af disse. Medarbejderinformation/uddannelse vægter yderligere højt. Organisationer der behandler større mængder af kritisk data, ofte i en kompleks og omfattende it-infrastruktur. Der er her brug for intens fokus på de tekniske kontroller, sikkerhedsarkitektur, såvel som en skarp styring af sikkerhedsmæssige processer. Man er helt klar over, hvordan man forhindrer, detekterer og håndterer evt. brud på informationssikkerheden og har etableret et effektivt beredeskab til krisehåndtering. Sikkerhedskontroller testes løbende og ofte. Organisationer på niveau 4 har en omfattende styring af informationssikkerhed støttet af en række detaljerede politikker, regler og vejledninger for informationssikkerhed. Sikkerhedsorganisationen er understøttet af en række støttefunktioner såsom intern revision, juridisk ekspertise og et tæt samarbejde med eksterne samarbejdspartnere. Måling, opfølgning og rapportering vægter yderligere højt. Organisationer der ligger inde med væsentlige mængder af data, hvis tab af fortrolighed eller tilgængelighed vil have signifikant negativ betydning ikke blot for virksomheden selv, men for Danmark generelt. Dette kan bl.a. være visse dele af afdelinger i politi og forsvar, kritisk forsyning m.m. Dette niveau kræver naturligvis en skarp styring og bærer præg af en høj grad af optimering/automatisering af kritiske processer. Sikkerhedskontrollerne her vil Organisationer der ligger inde med en meget begrænset mængde personfølsomt data eller anden kritisk information såsom håndværkervirksomheder, restaurationer, m.m. Læger, advokatfirmaer, lokale offentlige institutioner, velgørenhedsorganisationer m.m. Kommuner, hospitaler, virksomheder, m.m. som ejer en større mængde af kritiske informationer og informationssystemer, men hvor drift og operation af disse i større grad er outsourcet til tredjepart. It-outsourcing partnere, støtteorganisationer med kompleks egen drevet itinfrastruktur, energiselskaber, banker, forsikringsselskaber, m.m. Forsvaret, nationale forsyningsselskaber, organisationer der behandler information som kan klassificeres som yderst hemmeligt, og hvis

5 typisk være meget specifikke for organisationen, og generelle anbefalinger kan kun bruges i begrænset grad. læk kan skade både organisationen selv og Danmark generelt. Analyse Balanceret tilgang til informationssikkerhed nødvendig for organisationens succes De fleste organisationer, offentlige såvel som private, kender efterhånden behovet for informationssikkerhed, især set ud fra de mange sager om databrud, der er kommet til offentlighedens kendskab over de sidste år. Det har dog været meget svært at få et konkret overblik over, hvor der præcist bør sættes ind, da anbefalinger til tider har været meget forskellige eller formuleret i tekniske termer, som gør dem svært forstålige for ledelsen hos myndigheder og virksomheder uden særlig viden om hverken it eller it-sikkerhed. Det har yderligere ikke gjort det nemmere, at årsagerne til de mange registrerede databrud har været vidt forskellige: Fra direkte hacking, til misbrug af adgangsrettigheder fra egne betroede medarbejdere, til simpel mangel på kvalitetssikring af data før de offentliggøres. Uden for den brede offentligheds søgelys er der samtidig sket en merkant stigning i mængden af avancerede cyberangreb, primært rettet mod erhvervet i form af industrispionage og relaterede angreb. Fælles for disse angreb har været, at de har været yderst komplicerede, angriberne har brugt store mængder af tid og ressourcer på at få fat i de information, som de er gået efter, samt at de berørte virksomheder ofte har lidt betydelig skade, både direkte økonomisk og langsigtet i form af tab af kritiske forretningshemmeligheder. Databrud har ramt alle brancher over en kam. Organisationer er samtidig ramt af krav om billigere it og reduktion i medarbejderstaben. Manøvrer der kan gå hårdt ud over niveauet af informationssikkerheden, hvis ikke det bliver håndteret effektivt. Et lavere niveau af sikkerhed betyder naturligvis en højere risiko. Men ikke alle organisationer har behov for det samme sikkerhedsniveau og visse typer af organisationer kan sagtens tage endog meget store risici på sikkerhedsområdet, uden at det går grelt ud over organisationens virke og evne til overleve. Det er dog altid afgørende vigtigt, at organisationen er helt klar over, hvilke risici organisationen tager, og hvad dette kan indebære. Et klart overblik over hvor organisationen befinder sig rent sikkerhedsmæssigt, og hvor man gerne vil hen, vil gøre det signifikant lettere at overbevise organisationens ledelse om, at de rette investeringer er nødvendige, fortælle den gode historie til organisationens medarbejdere, og derfor benyttes til retfærdigøre investeringer, overvinde kulturelle udfordringer ( hvorfor nu al den sikkerhed? ) samt bidrage til at øge bevidstheden om sikkerhed blandt organisationens samarbejdspartnere. Én og samme organisation kan have behov for at operere med flere sikkerhedsmodenhedsniveauer for forskellige datasæt/systemer. Med eks. et moderat sikkerhedsniveau for eksempelvis administrative interne data, og et særligt højt sikkerhedsniveau for projekter og personfølsomme data. Indsatsen indtil nu Der er over de sidste år set en række initiativer fra forskellige interessegrupper, både private og offentlige, med forskellige bud på, hvordan informationssikkerhed i Danmark kan forberedes. Der er oprettet en række offentlige sikkerhedscentre og private sikkerhedsråd, samt afholdt en længere række af diverse høringer og konferencer omkring informationssikkerheden. Samtidig har eksperter og sikkerhedsleverandører været ivrige efter at give deres bud på et it-sikkert Danmark. Isoleret set er der kommet mange gode og konstruktive resultater ud af dette, men det er endnu ikke lykkedes for alvor at nå til enighed om et fælles grundlag og forståelsesramme for informationssikkerhed i Danmark. Sidste forsøg på dette var ved udfærdigelsen af standarden DS484

6 (senest opdateret i 2005). Den reelle sikkerhedsmæssige værdi af denne standard vurderes at være temmelig begrænset, primært grundet DS484s noget bureaukratiske opbygning og rigide tilgang til informationssikkerhed, som har gjort den vanskelig at efterleve i praksis. DS484 er nu blevet efterfulgt af den internationale sikkerhedsstand ISO27001, som nu findes i en version ISO27001 sætter fokus på effektiv styring af informationssikkerhed, hvor især de sikkerhedsmæssige processer sættes i fokus. Ulig DS484, er ISO27001 ment til at blive skræddersyet til den enkelte organisation og sætter stor fokus på ledelsens opbakning til informationssikkerhed i organisationen. Fra første januar 2014 har statslige institutioner i Danmark skulle efterleve netop ISO Hvor sikkerhedskyndige har omfavnet ISO27001 i sin helhed, kan den dog være svær for mange at efterleve i praksis. For selv om ISO27001 har mange styrker, har den også sine svagheder, primært: Standarden er udpræget ikke-teknisk og ville i sig selv nok ikke have forhindret de større sager om databrud, der har ramt i Danmark over de sidste år. Standarden er et meget omfattende værk, som kan svær at overskue for mange organisationer. Resultatet er, at mange enten ikke får implementeret ISO27001 på en måde, der giver værdi for organisationen, eller bruger alt for meget tid og for mange ressourcer for at få standarden implementeret. Sikkerhedsniveauet i ISO27001 bliver sat af organisationens ledelse. Der er derfor risiko for, at ledelsen, fx af økonomiske hensyn, ikke fastsætter et sikkerhedsniveau, der afspejler den reelle risiko, for eks. danske borgere og samfundet i sin helhed. Ovenstående observation danner bagrunden for Informationssikkerhed i Balance som er ment til at blive et fyldestgørende rammeværk for informationssikkerhed i Danmark, baseret på råd, vejledning og erfaringer fra et bredt udsnit af de bedste sikkerhedskompetencer i Danmark, både fra offentlige myndigheder og private virksomheder i samarbejde. Målbare niveauer Informationssikkerhed i balance er tro mod ISO27001, men søger samtidig at afdække områder som er på et mere teknisk niveau end ISO27001 lægger op til. For at finde organisations nuværende niveau, måles der dimensioner som: Sikkerhedsstrategi organisationens ledelses evne til at sætte klare retningslinjer for informationssikkerhed set ud fra et forretningsmæssigt synspunkt. Sikkerhedsledelse måler hvor dybt sikkerhed er forankret i organisationen, om der er klare mål og retningsliner, samt om der måles på overholdelse af den fastsatte sikkerhedsstrategi. Sikkerhedsledelse indebærer også, at der er styr på, hvor virksomhedens kritiske informationer befinder sig, om man er klar over, hvilke risici der er mod disse informationer, samt om der er planer for at udbedre eventuelle mangler. Organisation og medarbejdere måler om ledere og medarbejdere forstår deres roller for at støtte op omkring informationssikkerheden i organisationen, om roller og ansvar er klart defineret, og om medarbejderne modtager den uddannelse og støtte, der er nødvendig for at kunne arbejde på en sikker måde. Sikkerhedskontroller bredt dækkende over både tekniske kontroller såsom adgangskontrol, brug af kryptografi, fysisk sikring, sikring af ekstern kommunikation og sikkerhed i udviklingsmiljøer.

7 Fordeling Et klart billede af hvor mange organisationer (myndigheder eller virksomheder), der i dag ligger i de forskellige modenhedsniveauer, og hvor mange der ligger korrekt, kræver et større analysearbejde. For at modellen skal have succes som bidrag til at styrke sikkerheden i Danmark hos myndigheder og virksomheder - kræver det dog, at kun et begrænset antal organisationer udsættes for den mere rigide form for sikkerhed, der kræver store investeringer (niveau 4 og 5). I de lavere niveauer skal man primært koncentrere sig om at have styr på de sikkerhedsmæssige krav, processer og oplysning. Baseret på branchens nuværende overblik og erfaring, vurderes en realistisk fordeling at være følgende (målt i %): Realistisk og balanceret niveaufordeling for offentlige myndigheder og private virksomheder Kilde: IT-Branchens It-sikkerhedsudvalg. Derfor betyder selv en bred implementering af konceptet i Danmark ikke, at alle myndigheder og virksomheder står overfor markante investeringer. Det kræver ikke et stort setup at leve op til niveau 2. Opgaven er først omfattende primært administrativt på niveau 3, og teknisk omfattende når man når niveau 4. Modellen er netop lavet for at organisationer kan investere i sikkerhed på de rigtige niveauer, uden hverken for meget eller for lidt sikkerhed. Mange forventes at kunne bruge konceptet til at få fokuseret organisationens eksisterende indsats og budget i den mest forretningsmæssige værdigivende retning, afstemt med organisationens mål og offentligt givne krav. I forhold til offentlige krav er det vigtigt at være påpasselig med ikke at misbruge konceptet til at opsætte rigide krav på tværs af myndigheder eller brancher, med krav om eks. ét fælles højt sikkerhedsniveau. Det kan virke begrænsende på nye, store som små, internationale eller nationale virksomheders mulighed for at drive virksomhed i Danmark og myndigheders mulighed for at tage eks. nye forretningsmodeller i brug.

8 Eksempler på etablering af sikkerhedskontroller efter modenhedsniveau Kontrol Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 5 Vejledende Basal Specificeret Kontrolleret Intens Sikkerhedspolitik Ledelsen fastlægger en kort overordnet sikkerhedspolitik, der understreger ledelsens holdning og krav til sikkerhed i organisationen (fx 1 side). + der er specificeret væsentlige områder som medarbejdere skal være opmærksom på. Politikken genbesøges for relevans mindst én gang årligt. + den overordnede sikkerhedspolitik er suppleret af et mindre antal specifikke standarder, vejledninger, m.m. der definerer krav til specifikke områder af særlig relevans for organisationen. + den overordnede sikkerhedspolitik er suppleret af et fyldestgørende sæt af tekniske standarder, vejledninger og procedurer, der tager højde for alle relevante områder i forhold til organisationens aktiver og risikoprofil. + Overholdelse af sikkerhedsprocesser er en altovervejende del af organisationens kultur og alt intern dokumentation, regler og vejledning bærer tydeligt præg af dette. Medarbejdersikkerhed Medarbejdere modtager generel vejledning om informationssikkerhed ved ansættelse. + Genopfriskning foregår mindst årligt. Awareness budskaber (f.eks. ved nye trusler) udsendes efter behov. + specifikke Awareness kampagner udføres mindst hvert halve år. Medarbejdere testes for deres forståelse af sikkerhed mindst årligt. Der tages specifik højde for sikkerhed ved ansættelse, bl.a. ved fremvisning af referencer, straffeattest, ID, m.m. + medarbejdere modtager yderligere målrettet sikkerhedsuddannelse for specifikke medarbejdergrupper, fx medarbejdere der håndterer personfølsomme data, database administratorer, m.m. + medarbejdere modtager intensiv undervisning i informationssikkerhed i detaljeret grad, flere gange årligt. Medarbejdere med adgang til følsomt data gennemgår baggrundscheck på højt niveau, eg. sikkerhedsclearing fra politiet. Håndtering af organisationens aktiver Det er overvejet og dokumenteret hvilke overordnede informationsaktiver virksomheden /myndigheden råder over og hvilke værdi disse har. + Der føres en opdateret protokol over hvilke informationsaktiver, man råder over, og risikovurdering er gennemført på et overordnet niveau. Protokollen vedligeholdes løbende, mindst én gang årligt. + Alle aktiver er klassificeret i forhold til dets værdi. Der er et fuldt overblik over præcis, hvilket informationsaktiver man råder over, og hvor denne information befinder sig. Der er udpeget et specifikt ansvar for, hvem der er ansvarlig for hvilke aktiver og hvad det ansvar indebærer. Aktiver risikovurderes løbende hvis/når risikobilledet ændrer sig, dog mindst én gang årligt. + Aktiver monitoreres løbende vha. overvågningsværktøjer, og der er til hver tid et fuldt overblik over hvor information befinder sig. Der alarmeres og reageres omgående på uregelmæssigheder. + Alle aktiver er tydeligt klassificeret og beskyttet af en rigid grad af både fysisk og logisk sikkerhed. Alle aktiver er registreret og enhver uregelmæssighed opdages omgående.

9 Supplerende materiale der kan udarbejdes for at støtte op om konceptet: Eksemplificering af virksomheder og myndigheder på de forskellige niveauer, med generisk (leverandør-anonymiseret) overblik over it-sikkerheds-teknisk og organisatorisk setup Vejledning til myndigheder i anvendelse af it-sikkerhedskoncept ved offentlige udbud Specifikke værktøjer der hjælper organisationer med at finde det rette sikkerhedsniveau så som værktøj til risikovurdering, registrering af sikkerhedshændelser, måling af modenhedsniveau, mm. Website med overblik over leverandører, der kan bistå organisationer med at få styr på sikkerheden med løsninger, rådgivning og efteruddannelse fordelt på de forskellige sikkerhedsniveauer Eksempler på sikkerhedspolitik, regler og vejledninger der kan tilpasses den enkelte organisation og som løbende vedligeholdes og opdateres ved ændring af trusselsbilledet, ny teknologi, m.m. Uddannelsesmateriale til medarbejdere der hjælper organisationerne med at skærpe synet på informationssikkerhed. For spørgsmål venligst kontakt IT-Branchens it-sikkerhedsudvalg eller via udvalgssekretær Bjørn Borre Tlf

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Shells generelle forretningsprincipper

Shells generelle forretningsprincipper Shells generelle forretningsprincipper Royal Dutch Shell plc Indledning Shells generelle forretningsprincipper er grundlaget for den måde, hvorpå alle virksomheder i Shell Gruppen* driver forretning.

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 1 Anvendelsesområde og formål 1.1 I dette kommissorium fastsættes Danske Banks Revisionsudvalgs opgaver og beføjelser. 1.2 Revisionsudvalget

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014 Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

God selskabsledelse. Anbefalingerne i Rapport om god og effektiv selskabsledelse for arbejdsmarkedspensioner.

God selskabsledelse. Anbefalingerne i Rapport om god og effektiv selskabsledelse for arbejdsmarkedspensioner. God selskabsledelse Industriens Pensions har arbejdet systematisk med anbefalingerne og har redegjort herfor i årsrapporterne. Vi har neden for i skematisk form oplyst, om vi følger anbefalingen, om vi

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Informationssikkerhed på ledelsens agenda

Informationssikkerhed på ledelsens agenda Informationssikkerhed på ledelsens agenda - Ledelsesengagement omkring informationssikkerhed Allan Fabricius, It-sikkerhedschef, Dansk Supermarked A/S 1 Kan man sælge sand i Sahara? 2 Dansk Supermarked

Læs mere

Rollebeskrivelser. Programroller ift. den fællesstatslige programmodel

Rollebeskrivelser. Programroller ift. den fællesstatslige programmodel Rollebeskrivelser Programroller ift. den fællesstatslige programmodel Indholdsfortegnelse Rollebeskrivelser... 1 1. Programprofiler... 3 1.1. Formand for programbestyrelse/programejer... 3 1.2. Programleder...

Læs mere

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations

Læs mere

Revision. Skat. Rådgivning.

Revision. Skat. Rådgivning. Forundersøgelse af modenhedsog sikkerhedsniveauet inden for cyber- og nssikkerhed blandt danske el- og naturgasselskaber Rapport 20. maj 2015 Revision. Skat. Rådgivning. Indhold Slide Indledning 3 Om spørgeskemaundersøgelsen

Læs mere

Opslag om forskningsprojekter:

Opslag om forskningsprojekter: Forsvarsakademiets Bedømmelsesudvalg Opslag 2015 Opslag om forskningsprojekter: Cybersikkerhed og IKT-infrastruktur, som understøtter samfundsvigtige funktioner Ansøgningsfrist: Mandag den 02.03.2015 kl.16.00

Læs mere

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE 29.01.2015 HVEM ER JEG. LARS BÆRENTZEN Mere end 20 års erfaring som konsulent Rådgiver inden for IT- og informationssikkerhed

Læs mere

God ledelse i selvejende kulturinstitutioner. - den korte version. Udvalget for god ledelse af selvejende kulturinstitutioner

God ledelse i selvejende kulturinstitutioner. - den korte version. Udvalget for god ledelse af selvejende kulturinstitutioner JANUAR 2011 WWW.KUM.DK God ledelse i selvejende kulturinstitutioner - den korte version 2 3 Forord Kulturministeriet nedsatte i februar 2010 et udvalg, der skulle udarbejde anbefalinger for god ledelse

Læs mere

Rollebeskrivelser i den fællesstatslige programmodel. - Vejledning

Rollebeskrivelser i den fællesstatslige programmodel. - Vejledning Rollebeskrivelser i den fællesstatslige programmodel - Vejledning August 2013 Indhold 1. LÆSEVEJLEDNING... 1 2. FORMAND FOR PROGRAMBESTYRELSEN (PROGRAMEJER)... 2 3. PROGRAMLEDER... 3 4. FORANDRINGSEJER...

Læs mere

PED/15.10.2007 Auditorhåndbog for OTS Version 1

PED/15.10.2007 Auditorhåndbog for OTS Version 1 PED/15.10.2007 Auditorhåndbog for OTS Version 1 Side 1/10 Indhold 1. Forord 2. Hvad er audit? 3. Hvor ofte skal auditor gennemføre audit og med hvilken funktion? 4. Rollen som auditor 5. Planlægning Indkaldelse

Læs mere

Innovationens Syv Cirkler

Innovationens Syv Cirkler Innovationens Syv Cirkler Med denne gennemgang får du en kort introduktion af Innovationens Syv Cirkler, en model for innovationsledelse. Dette er en beskrivelse af hvilke elementer der er betydende for

Læs mere

BESKYT DIN VIRKSOMHED. Tænk sikkerheden med

BESKYT DIN VIRKSOMHED. Tænk sikkerheden med BESKYT DIN VIRKSOMHED Tænk sikkerheden med 1 Kan din virksomhed klare en krise? Hvordan håndterer du tyveri af værdifuld viden og know-how? Har du styr på, om din virksomheds produkter kopieres eller misbruges

Læs mere

Guide til bedre beredskabsstyring. April 2015

Guide til bedre beredskabsstyring. April 2015 Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

Kultur og adfærd Skab tillid til virksomhedens største aktiv

Kultur og adfærd Skab tillid til virksomhedens største aktiv www.pwc.dk Kultur og adfærd Skab tillid til virksomhedens største aktiv Medarbejderne er virksomhedens største aktiv og udgør samtidig dens største, potentielle risiko. En virksomheds kultur er defineret

Læs mere

Økonomistyring i staten

Økonomistyring i staten Økonomistyring i staten Del 1 Målbillede Version 1.0 Januar 2014 Indhold 1 Indledning 3 1.1 Formål med vejledningen 3 1.2 Opdatering 3 1.3 Behovet for god økonomistyring i staten 3 1.4 Økonomistyring i

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

Accelerace og Green Tech Center kommer nu med et unikt tilbud om udvikling af din virksomhed Green Scale Up

Accelerace og Green Tech Center kommer nu med et unikt tilbud om udvikling af din virksomhed Green Scale Up Accelerace og Green Tech Center kommer nu med et unikt tilbud om udvikling af din virksomhed Green Scale Up Accelerace har gennem de seneste 7 år arbejdet tæt sammen med mere end 250 af de mest lovende

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Når økonomioutsourcing er den rigtige løsning

Når økonomioutsourcing er den rigtige løsning Når økonomioutsourcing er den rigtige løsning Overvejer I at oursource hele eller dele af jeres økonomifunktion? Dette whitepaper er udarbejdet, så I har et bedre beslutningsgrundlag at handle ud fra.

Læs mere

E-læring og samarbejde over nettet

E-læring og samarbejde over nettet E-læring og samarbejde over nettet Vi var ikke i tvivl, da vi for nogle år tilbage valgte at satse på e-læring og udvikling af nye lærings- og samarbejdsformer. Vi havde brug for en seriøs og kompetent

Læs mere

Bilag 18, Revisionsstandard og audit

Bilag 18, Revisionsstandard og audit Bilag 18, Revisionsstandard og audit Version Ændringer Dato 2.1 Ændret i - Punkt 1.1 - Krav 18.3 - Krav 18.5 - Krav 18.6 - Krav 18.9 - Krav 18.10 - Krav 18.11 - Krav 18.12 - Krav 18.14 - Krav 18.16 tilføjet

Læs mere

QUARTERLY ANALYTICS 3 2014. Hentet af admin - September 15, 2014. contract management. del 2

QUARTERLY ANALYTICS 3 2014. Hentet af admin - September 15, 2014. contract management. del 2 6 QUARTERLY ANALYTICS 3 2014 contract management del 2 QUARTERLY ANALYTICS 3 2014 7 Er du helt sikker på, at du har Contract Management? Del 2: Forankring og overblik Contract Management kan være et centralt

Læs mere

Hillerød Kommune. It-sikkerhedspolitik Overordnet politik

Hillerød Kommune. It-sikkerhedspolitik Overordnet politik Hillerød Kmmune It-sikkerhedsplitik Overrdnet plitik 23-02-2011 Plitik Frrd Dette er Hillerød Kmmunes it-sikkerhedsplitik, sm er udarbejdet af Administratinen, med udgangspunkt i DS484-2005 g ISO27001.

Læs mere

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems) DS 3001 Organisatorisk robusthed. Sikkerhed, beredskab og kontinuitet. Formål og anvendelsesområde Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Vi vil medvirke til at skabe attraktive arbejdspladser, der fremmer et sikkert, sundt og meningsfuldt arbejdsliv.

Vi vil medvirke til at skabe attraktive arbejdspladser, der fremmer et sikkert, sundt og meningsfuldt arbejdsliv. BAR SoSu s vision: Vi vil medvirke til at skabe attraktive arbejdspladser, der fremmer et sikkert, sundt og meningsfuldt arbejdsliv. BAR SoSus mission BAR SoSu mission er, at: Kvalificere arbejdspladserne

Læs mere

Det europæiske kvalitetsmærke tildeles en uddannelsesinstitution efter følgende kriterier.

Det europæiske kvalitetsmærke tildeles en uddannelsesinstitution efter følgende kriterier. 2 Beskrivelse af ansøgningsformularen Denne ansøgningsformular består af et firdelt spørgeskema og et afsnit med generelle oplysninger om uddannelsesinstitutionen. Hvert af de fire afsnit ser på effektiviteten

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Ledelsesgrundlag. Svendborg Erhvervsskole. Version 15

Ledelsesgrundlag. Svendborg Erhvervsskole. Version 15 Ledelsesgrundlag Svendborg Erhvervsskole Version 15 Indholdsfortegnelse 1. Formål og baggrund... 3 2. Skolens værdier... 3 3. Kodeks for strategisk dialogforums arbejde... 4 Ejerskab:... 4 Dialog:... 5

Læs mere

Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner

Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner Kvalitetsenheden December 2013 Politik og strategi Kvalitetssikring og kvalitetsudvikling af UCC's kerneopgaver og støttefunktioner December 2013 Side 1 af 7 KVALITETSPOLITIK... 3 VISION OG MISSION...

Læs mere

IT- og Telestyrelsen It risk management i private og offentlige organisationer i Danmark. 2006

IT- og Telestyrelsen It risk management i private og offentlige organisationer i Danmark. 2006 It risk management i private og offentlige organisationer i Danmark. 2006 E-mail info@pk-sikkerhed.dk s. 1 af 36 Indholdsfortegnelse 1. Indledning... 3 1.1. Undersøgelsens formål og rammer... 3 1.2. Konklusioner

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Fra DS 484 til ISO 27001

Fra DS 484 til ISO 27001 Fra DS 484 til ISO 27001 Hvordan kan din virksomhed efterleve den internationale standard for informationssikkerhed - ISO 27001? En praktisk vejledning i at skifte fra den udgående danske standard, DS

Læs mere

NÅR BESLUTNING HEROM ER TAGET:

NÅR BESLUTNING HEROM ER TAGET: MARITIME SECURITY MANAGEMENT Managing risk the safe way BEVÆBNEDE VAGTER OMBORD! NÅR BESLUTNING HEROM ER TAGET: EN GENNEMGANG AF PROCES OG ANBEFALINGER VED ANVENDELSE AF BEVÆBNEDE VAGTER OMBORD PÅ SKIBE

Læs mere

Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer

Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer v/ Betina Nørgaard, Manager Deloitte Consulting Holmegaard, 15. marts 2012 Agenda Opstart af samarbejdet Afgivelse af

Læs mere

LÆGEFORENINGEN. Sikker behandling med medicinsk udstyr. Patienter og læger har krav på sikkert og effektivt medicinsk udstyr

LÆGEFORENINGEN. Sikker behandling med medicinsk udstyr. Patienter og læger har krav på sikkert og effektivt medicinsk udstyr LÆGEFORENINGEN Sikker behandling med medicinsk udstyr Patienter og læger har krav på sikkert og effektivt medicinsk udstyr Udkast til politikpapir kort version. Lægemøde 2015 Plastre, hofteproteser, høreapparater,

Læs mere

Kvalitetsstyringssystemet for natur- og miljøområdet

Kvalitetsstyringssystemet for natur- og miljøområdet BORNHOLMS REGIONSKOMMUNE TEKNIK & MILJØ Skovløkken 4 3770 Allinge Analyserapport nr. 2 Kvalitetsstyringssystemet for natur- og miljøområdet Ledelsens evaluering 2009-2011. Telefon: 56 92 00 00 E-mail:

Læs mere

E-sundhedsobservatoriet. Sådan sikrer du en effektiv håndtering af brugere i EPJ

E-sundhedsobservatoriet. Sådan sikrer du en effektiv håndtering af brugere i EPJ E-sundhedsobservatoriet Sådan sikrer du en effektiv håndtering af brugere i EPJ Hvem er jeg? Dennis Mølkær Jensen Region Nordjylland Teamkoordinator - Udviklingsafsnit Teknisk projektleder OneSystem Integration

Læs mere

Rollebeskrivelser i den fællesstatslige programmodel. - Vejledning

Rollebeskrivelser i den fællesstatslige programmodel. - Vejledning Rollebeskrivelser i den fællesstatslige programmodel - Vejledning Januar 2014 Indhold 1. LÆSEVEJLEDNING... 1 2. FORMAND FOR PROGRAMBESTYRELSEN (PROGRAMEJER)... 2 3. PROGRAMLEDER... 3 4. FORANDRINGSEJER...

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

certificering af StilladSSektionen dansk byggeri tjekliste for evaluering og audit

certificering af StilladSSektionen dansk byggeri tjekliste for evaluering og audit certificering af StilladSSektionen dansk byggeri tjekliste for evaluering og audit en CeRTIfICeRInG GøR DIn virksomhed I stand TIl AT dokumentere, AT DeT, I siger, er DeT, I GøR. Målet med en certificering

Læs mere

Besvarelse af spørgsmål til udbudsmaterialet

Besvarelse af spørgsmål til udbudsmaterialet 26. maj 2014/csc og jas Besvarelse af spørgsmål til udbudsmaterialet DDB skal hermed offentliggøre skriftlige spørgsmål og svar vedrørende udbudssagen om national webstatistik. 1. Vedrørende dimensioneringen

Læs mere

Det danske ERP marked

Det danske ERP marked Det danske ERP marked ComputerCamp seminar 25. marts 2009 Herbert Nathan Indhold Introduktion til HerbertNathan & Co Nogle indledende system begreber ERP-markedet leverandører og trends Hvorfor anskaffe

Læs mere

Europaudvalget 2008 KOM (2008) 0845 Bilag 1 Offentligt

Europaudvalget 2008 KOM (2008) 0845 Bilag 1 Offentligt Europaudvalget 2008 KOM (2008) 0845 Bilag 1 Offentligt Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg for Videnskab og Teknologi Meddelelse fra Kommisionen til Europa-Parlamentet, Rådet

Læs mere

Målepunkter for informationssikkerhed Marts 2013

Målepunkter for informationssikkerhed Marts 2013 Målepunkter for informationssikkerhed Marts 2013 1/44 Indholdsfortegnelse 1. Forord 4 2. Indledning og formål 5 3. Den overordnede ramme 5 4. Kategorier af målepunkter 6 4.1 Ledelsesforankring og ressourcer

Læs mere

Forord og formål. Den 15. september 2014. Borgmester Stén Knuth. Side 1

Forord og formål. Den 15. september 2014. Borgmester Stén Knuth. Side 1 Forord og formål Slagelse Kommunes indkøbspolitik sætter en retning hvor offentlig-privat samarbejde, bedre og billigere indkøb, og større fokus på lokal handel går op i en højere enhed. Indkøbspolitikken

Læs mere

En bestyrelse skal gøre en forskel

En bestyrelse skal gøre en forskel En bestyrelse skal gøre en forskel LOS Landsmøde 13. april 2015 Teddy Wivel Min baggrund Uddannet Statsaut. revisor De seneste 10 år arbejdet med god selskabsledelse Forfatter til en række bøger om emnet

Læs mere

Dekontamineringsdagene 2015

Dekontamineringsdagene 2015 Dekontamineringsdagene 2015 Gert Jørgensen, Produktspecialist» Dansktalende SteriLean ApS / LJ Medical A/S SteriLean & I Track Kvalitets og dokumentations (sporings) system 5 Lokationer på hospitaler i

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Politik for best practice for ledelse af investeringsforeninger

Politik for best practice for ledelse af investeringsforeninger Politik for best practice for ledelse af investeringsforeninger Gældende fra og med den 28. november 2014 1. Baggrund og formål Nærværende politik er fastsat af bestyrelsen i Investeringsforeningen PFA

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Survey-rapport: Persondata og it-sikkerhed 1. Bech-Bruun Intelligence. Persondata og it-sikkerhed

Survey-rapport: Persondata og it-sikkerhed 1. Bech-Bruun Intelligence. Persondata og it-sikkerhed Survey-rapport: Persondata og it-sikkerhed 1 Bech-Bruun Intelligence Persondata og it-sikkerhed Survey-rapport April 2015 2 Survey-rapport: Persondata og it-sikkerhed Indhold Baggrund 3 Overordnede resultater

Læs mere

God it-sikkerhed i kommuner

God it-sikkerhed i kommuner God it-sikkerhed i kommuner En vejledning til kommuner om at skabe et godt fundament for tryg og sikker behandling af kommunens og borgernes oplysninger. Vejledningen beskriver, hvordan DS484-baseret it-sikkerhedsledelse

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Referat af bestyrelsesmøde i Hjørring Vandselskab A/S

Referat af bestyrelsesmøde i Hjørring Vandselskab A/S Referat af bestyrelsesmøde i Hjørring Vandselskab A/S Mødedato: d. 07-11-2014 Mødetid: 9:00 Mødested: Åstrupvej 9,. Afbud: Henrik Jørgensen. Fraværende: Referent: Ole Madsen. Punkt 1. Referat. Der er udarbejdet

Læs mere

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden National strategi for cyber- og informationssikkerhed Øget professionalisering og mere viden December 2014 INFORMATIONSSIKKERHED OG CYBERSIKKERHED I denne strategi anvendes to begreber: Informationssikkerhed

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Vejledning - Udarbejdelse af gevinstdiagram

Vejledning - Udarbejdelse af gevinstdiagram Vejledning - Udarbejdelse af gevinstdiagram Januar 2014 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4

Læs mere