Informationssikkerhed i Balance

Størrelse: px
Starte visningen fra side:

Download "Informationssikkerhed i Balance"

Transkript

1 Informationssikkerhed i Balance Koncept version 1.0 Oktober 2014 IT-Branchens It-sikkerhedsudvalg

2 Resumé Der har de sidste år været et intenst fokus på informationssikkerhed i Danmark, primært grundet en række alvorlige databrud, med tab af større mængder personfølsomme data som følge. De mange sager har medvirket til at sætte spørgsmålstegn ved den generelle kvalitet af informationssikkerheden i Danmark, både fra politisk hold, fra pressens side og blandt ledelsen i private virksomheder og offentlige myndigheder. Konceptet bygger på 5 forskellige modenhedsniveauer af informationssikkerhed, baseret på organisationens sikkerhedsmæssige behov, og konceptet skal følges op af konkrete vejledninger og værktøjer, der beskriver præcist, hvad det vil kræve at være placeret i de forskellige niveauer. Konceptet er ment som at være fuldt loyal mod gængse sikkerhedsstandarder såsom ISO27001:2013 og kan derfor bruges i en hver organisation, uafhængig af valgt standard. Begrebet organisationer vil i det følgende blive brugt både om offentlige myndighed og private virksomheder. Vigtigt at bemærke er, at der ingen direkte sammenhæng er mellem en organisations størrelse og dens behov for sikkerhed. Forskellige organisationer kan have forskelligt behov. Store organisationer kan have mindre behov for sikkerhed end små, og samme organisation kan have forskellige sikkerhedsniveauer for forskellige datasæt. Konceptet udgør IT-Branchens bud på, hvordan vi får løftet it-sikkerheden i Danmark generelt, både for offentlige myndigheder og private virksomheder. Hvis konceptet får opbakning politisk og hos områdets interessenter, vil understøttende værktøjer og vejledninger kunne udarbejdes i tæt samarbejde imellem interesseorganisationer og nøgleaktører i Danmark, der hver i sær har deres styrker inden for privat og offentlig informationssikkerhed, såsom IT- Branchens IT-Sikkerhedsudvalg, Rådet for Digital Sikkerhed, Digitaliseringsstyrelsen og Center for Cybersikkerhed. Et fælles sikkerhedskoncept for Danmark Formålet med konceptet Informationssikkerhed i Balance er at komme med en realistisk, løsningsorienteret og målbar formel på, hvordan vi i Danmark kan få en fælles forståelse for informationssikkerhed ved at etablere et vejledende fundament for en fælles tilgang til forbedring af informationssikkerheden de steder, hvor den halter. Konceptet bygger på det faktum, at alle har brug for sikkerhed, men at alle ikke har brug for (eller mulighed for) at have det samme modenhedsniveau, når det kommer til informationssikkerhed. Det overordnede mål med konceptet er: At hjælpe organisationens ledelse med at forstå deres egen organisations individuelle behov for informationssikkerhed og finde et passende sikkerhedsniveau, basseret på organisations risikoprofil og hvordan informationssikkerhed vil tilføre reel værdi. At tilsikre at den individuelle organisations ledelse til en hver tid har et realistisk risikobillede, basseret på reelle trusler, sandsynlighed for sikkerhedsbrud og den relaterede konsekvens for organisationen. At hjælpe organisationen med at få en objektiv vurdering af de nødvendige investeringer i implementering og vedligeholdelse af informationssikkerhed, som hverken ligger for højt eller for lavt i forhold til virksomhedens risikoappetit og type/mængde af de informationer, som organisationen er ansvarlige for. At lette organisationens arbejde med at identificere og implementere de sikkerhedsmæssige kontroller, som er nødvendige for at leve op til anbefalingerne for det valgte sikkerhedsniveau, så der hverken implementeres utilstrækkelige eller unødvendige kontroller.

3 At hjælpe intern og ekstern revision og andre tilsynsmyndigheder med et fælles fundament for, hvilke kontroller der bør være på plads, baseret på objektive, ensartede og specifikke kriterier. Konceptet Informationssikkerhed i Balance Dette dokument beskriver konceptet bag Informationssikkerhed i Balance. Konceptet skal bakkes op af en række specifikke værktøjer, skabeloner og vejledninger, der kan tilpasses den enkelte organisations operationelle behov. På denne måde bliver informationssikkerhed praktisk, håndgribeligt og nemt at gå til, samtidig med at vi udnytter det omfattende sikkerhedsarbejde, der allerede er udført i en række af de mange professionelle organisationer, som arbejder med koordinering af informationssikkerhedsindsatsen i Danmark. Første skridt for realiseringen af konceptet er at samle opbakning hos områdets interessenter, herunder politikere. Derefter kan værktøjer og vejledninger udarbejdes i samarbejde mellem IT- Branchens IT-Sikkerhedsudvalg og eks. Rådet for Digital Sikkerhed, Digitaliseringsstyrelsen og forsvarets Center for Cybersikkerhed. Øvrige interesserede aktører - erhvervsorganisationer, brancheorganisationer og repræsentanter fra regionalt, kommunalt og statsligt niveau - er velkomne undervejs. Erhvervspolitisk opbakning IT-Branchen opfordrer regering, Folketing, erhvervsorganisationer, myndigheder og it- og sikkerhedsleverandører til at bakke op om sikkerhedsmodellen, og tilkendegive evt. interesse for at indgå i samarbejdet om at udbrede kendskabet hertil og udarbejde vejledningerne i brugen heraf målrettet offentlig og private virksomheder. Kontakt IT-Branchens sikkerhedsudvalg for nærmere information via Bjørn Borre, Principper Behovet: Både offentlige myndigheder og private virksomheder er i stigende grad klar over, at der er brug for at forbedrede modenheden for informationssikkerhed i virksomheden, drevet af faktorer som skærpede regulativer, øget fokus fra hovedinteressenter, samt behovet for en bedre balance imellem forretningsmål og it-investeringer. Tvivl om hvor, hvordan og hvor meget der skal sættes ind, er dog forbundet med væsentlige hindringer for en forbedrende indsats. Realisme: Selv om organisationer skal og bør have fokus på informationssikkerhed, er det højst tænkelige niveau af sikkerhed ikke nødvendigvis ønskeligt eller muligt. Set både fra den økonomiske synsvinkel og ønsket om størst mulig forretningsfleksibilitet. Ikke svært at komme godt i gang: Ny kompleks teknologi og indførelse af komplicerede processer er ikke altid vejen til en forbedret sikkerhed. Ofte giver det langt større værdi at starte med det fundamentale: Fokus fra ledelsens side, styringsprocesserne, vurdering af organisationens aktiver og en konkret risikovurdering i forhold til organisationens forretningsmål. Vejledende ramme: Øget regulering er ikke i sig selv en garanti for bedre sikkerhed. Regulering har tendens til at fokusere på det let-målbare, at være forældet kort efter den er vedtaget og i at skære alle virksomheder over en kam. En vejledende ramme som Sikkerhed i Balance kan derimod løbende opdateres, så den afspejler best practice, nyeste viden og tilgængelig teknologi. Med Informationssikkerhed i Balance leveres denne ramme, som virksomheder kan bruge til at deklarere deres individuelle sikkerhedsniveau, og som

4 interessenter kan iværksætte kontroller med efterlevelsen af med udgangspunkt i de forskellige modenhedsniveauer. Overblik over modenhedsniveauer Niveau Typisk typer af organisationer Typiske organisationer Niveau 1 Initialt Niveau 2 Formaliseret Niveau 3 Defineret Niveau 4 Styret Niveau 5 Optimeret Organisationer uden væsentlige kritiske aktiver, men som er opmærksomme på at noget må gøres. Ledelsen i organisationer på niveau 1 har en meget høj risikoappetit, da de typisk har en meget begrænset mængde information, der kan betegnes som kritisk og ikke vil blive synderligt påvirket af enten tab eller utilgængelighed af denne information. På niveau 1 drejer det sig primært om at gøre organisationens medarbejdere opmærksomme på ledelsens holdning til informationssikkerhed, udpege en ansvarlig for sikkerhed (ikke fultids), samt have et overordnet overblik over, hvor organisationen evt. kan være sårbar som fundament for eventuelt supplerende investeringer. Investeringerne i tekniske kontroller og opfølgning på dette niveau er meget lave. Men det mest basale skal være på plads. Organisationer med aktiver vurderet til at være kritisk og/eller personfølsomt, men som har en meget begrænset mængde at disse informationer. På niveau 2 etableres et fyldestgørende overblik over, hvor de kritiske informationer opbevares, og organisationens medarbejdere er nøje klar over, hvordan disse informationer skal behandles. Der er udelegeret et ansvar for sikkerhed, og der udføres periodisk kontrol med, at de udstukne retningslinjer overholdes. De basale sikkerhedskontroller er på plads, og det vurdere, om der er enkelte områder så som adgangskontrol, som skal skærpes yderligere. Organisationer der ejer en væsentlig mængde af kritisk data (såsom personfølsomt data), men som kun i begrænset omfang behandler disse data (fx hvor en større del af operationen er outsourcet til tredjepart). Det kan også dreje sig om organisationer (små som store), der er ansvarlig for en større mængde kritisk data, eller hvor informationssikkerhed spiller en væsentlig rolle i organisationens overlevelse/virkemåde. Ud over at der er placeret et de facto og dedikeret sikkerhedsansvar i form af en formel sikkerhedschef, er der yderligere fastsat et officielt sikkerhedsbudget baseret på en grundig risikovurdering og analyse af evt. manglende kontroller. Der ligges vægt på, at organisationen har helt styr på de sikkerhedsmæssige krav til informationssikkerhed, så der aktivt kan måles på fx egen og leverandørers overholdes af disse. Der er skærpet fokus på koordinering og dokumentation af sikkerhedsmæssige regler og processer og løbende opfølgning på effektiviteten af disse. Medarbejderinformation/uddannelse vægter yderligere højt. Organisationer der behandler større mængder af kritisk data, ofte i en kompleks og omfattende it-infrastruktur. Der er her brug for intens fokus på de tekniske kontroller, sikkerhedsarkitektur, såvel som en skarp styring af sikkerhedsmæssige processer. Man er helt klar over, hvordan man forhindrer, detekterer og håndterer evt. brud på informationssikkerheden og har etableret et effektivt beredeskab til krisehåndtering. Sikkerhedskontroller testes løbende og ofte. Organisationer på niveau 4 har en omfattende styring af informationssikkerhed støttet af en række detaljerede politikker, regler og vejledninger for informationssikkerhed. Sikkerhedsorganisationen er understøttet af en række støttefunktioner såsom intern revision, juridisk ekspertise og et tæt samarbejde med eksterne samarbejdspartnere. Måling, opfølgning og rapportering vægter yderligere højt. Organisationer der ligger inde med væsentlige mængder af data, hvis tab af fortrolighed eller tilgængelighed vil have signifikant negativ betydning ikke blot for virksomheden selv, men for Danmark generelt. Dette kan bl.a. være visse dele af afdelinger i politi og forsvar, kritisk forsyning m.m. Dette niveau kræver naturligvis en skarp styring og bærer præg af en høj grad af optimering/automatisering af kritiske processer. Sikkerhedskontrollerne her vil Organisationer der ligger inde med en meget begrænset mængde personfølsomt data eller anden kritisk information såsom håndværkervirksomheder, restaurationer, m.m. Læger, advokatfirmaer, lokale offentlige institutioner, velgørenhedsorganisationer m.m. Kommuner, hospitaler, virksomheder, m.m. som ejer en større mængde af kritiske informationer og informationssystemer, men hvor drift og operation af disse i større grad er outsourcet til tredjepart. It-outsourcing partnere, støtteorganisationer med kompleks egen drevet itinfrastruktur, energiselskaber, banker, forsikringsselskaber, m.m. Forsvaret, nationale forsyningsselskaber, organisationer der behandler information som kan klassificeres som yderst hemmeligt, og hvis

5 typisk være meget specifikke for organisationen, og generelle anbefalinger kan kun bruges i begrænset grad. læk kan skade både organisationen selv og Danmark generelt. Analyse Balanceret tilgang til informationssikkerhed nødvendig for organisationens succes De fleste organisationer, offentlige såvel som private, kender efterhånden behovet for informationssikkerhed, især set ud fra de mange sager om databrud, der er kommet til offentlighedens kendskab over de sidste år. Det har dog været meget svært at få et konkret overblik over, hvor der præcist bør sættes ind, da anbefalinger til tider har været meget forskellige eller formuleret i tekniske termer, som gør dem svært forstålige for ledelsen hos myndigheder og virksomheder uden særlig viden om hverken it eller it-sikkerhed. Det har yderligere ikke gjort det nemmere, at årsagerne til de mange registrerede databrud har været vidt forskellige: Fra direkte hacking, til misbrug af adgangsrettigheder fra egne betroede medarbejdere, til simpel mangel på kvalitetssikring af data før de offentliggøres. Uden for den brede offentligheds søgelys er der samtidig sket en merkant stigning i mængden af avancerede cyberangreb, primært rettet mod erhvervet i form af industrispionage og relaterede angreb. Fælles for disse angreb har været, at de har været yderst komplicerede, angriberne har brugt store mængder af tid og ressourcer på at få fat i de information, som de er gået efter, samt at de berørte virksomheder ofte har lidt betydelig skade, både direkte økonomisk og langsigtet i form af tab af kritiske forretningshemmeligheder. Databrud har ramt alle brancher over en kam. Organisationer er samtidig ramt af krav om billigere it og reduktion i medarbejderstaben. Manøvrer der kan gå hårdt ud over niveauet af informationssikkerheden, hvis ikke det bliver håndteret effektivt. Et lavere niveau af sikkerhed betyder naturligvis en højere risiko. Men ikke alle organisationer har behov for det samme sikkerhedsniveau og visse typer af organisationer kan sagtens tage endog meget store risici på sikkerhedsområdet, uden at det går grelt ud over organisationens virke og evne til overleve. Det er dog altid afgørende vigtigt, at organisationen er helt klar over, hvilke risici organisationen tager, og hvad dette kan indebære. Et klart overblik over hvor organisationen befinder sig rent sikkerhedsmæssigt, og hvor man gerne vil hen, vil gøre det signifikant lettere at overbevise organisationens ledelse om, at de rette investeringer er nødvendige, fortælle den gode historie til organisationens medarbejdere, og derfor benyttes til retfærdigøre investeringer, overvinde kulturelle udfordringer ( hvorfor nu al den sikkerhed? ) samt bidrage til at øge bevidstheden om sikkerhed blandt organisationens samarbejdspartnere. Én og samme organisation kan have behov for at operere med flere sikkerhedsmodenhedsniveauer for forskellige datasæt/systemer. Med eks. et moderat sikkerhedsniveau for eksempelvis administrative interne data, og et særligt højt sikkerhedsniveau for projekter og personfølsomme data. Indsatsen indtil nu Der er over de sidste år set en række initiativer fra forskellige interessegrupper, både private og offentlige, med forskellige bud på, hvordan informationssikkerhed i Danmark kan forberedes. Der er oprettet en række offentlige sikkerhedscentre og private sikkerhedsråd, samt afholdt en længere række af diverse høringer og konferencer omkring informationssikkerheden. Samtidig har eksperter og sikkerhedsleverandører været ivrige efter at give deres bud på et it-sikkert Danmark. Isoleret set er der kommet mange gode og konstruktive resultater ud af dette, men det er endnu ikke lykkedes for alvor at nå til enighed om et fælles grundlag og forståelsesramme for informationssikkerhed i Danmark. Sidste forsøg på dette var ved udfærdigelsen af standarden DS484

6 (senest opdateret i 2005). Den reelle sikkerhedsmæssige værdi af denne standard vurderes at være temmelig begrænset, primært grundet DS484s noget bureaukratiske opbygning og rigide tilgang til informationssikkerhed, som har gjort den vanskelig at efterleve i praksis. DS484 er nu blevet efterfulgt af den internationale sikkerhedsstand ISO27001, som nu findes i en version ISO27001 sætter fokus på effektiv styring af informationssikkerhed, hvor især de sikkerhedsmæssige processer sættes i fokus. Ulig DS484, er ISO27001 ment til at blive skræddersyet til den enkelte organisation og sætter stor fokus på ledelsens opbakning til informationssikkerhed i organisationen. Fra første januar 2014 har statslige institutioner i Danmark skulle efterleve netop ISO Hvor sikkerhedskyndige har omfavnet ISO27001 i sin helhed, kan den dog være svær for mange at efterleve i praksis. For selv om ISO27001 har mange styrker, har den også sine svagheder, primært: Standarden er udpræget ikke-teknisk og ville i sig selv nok ikke have forhindret de større sager om databrud, der har ramt i Danmark over de sidste år. Standarden er et meget omfattende værk, som kan svær at overskue for mange organisationer. Resultatet er, at mange enten ikke får implementeret ISO27001 på en måde, der giver værdi for organisationen, eller bruger alt for meget tid og for mange ressourcer for at få standarden implementeret. Sikkerhedsniveauet i ISO27001 bliver sat af organisationens ledelse. Der er derfor risiko for, at ledelsen, fx af økonomiske hensyn, ikke fastsætter et sikkerhedsniveau, der afspejler den reelle risiko, for eks. danske borgere og samfundet i sin helhed. Ovenstående observation danner bagrunden for Informationssikkerhed i Balance som er ment til at blive et fyldestgørende rammeværk for informationssikkerhed i Danmark, baseret på råd, vejledning og erfaringer fra et bredt udsnit af de bedste sikkerhedskompetencer i Danmark, både fra offentlige myndigheder og private virksomheder i samarbejde. Målbare niveauer Informationssikkerhed i balance er tro mod ISO27001, men søger samtidig at afdække områder som er på et mere teknisk niveau end ISO27001 lægger op til. For at finde organisations nuværende niveau, måles der dimensioner som: Sikkerhedsstrategi organisationens ledelses evne til at sætte klare retningslinjer for informationssikkerhed set ud fra et forretningsmæssigt synspunkt. Sikkerhedsledelse måler hvor dybt sikkerhed er forankret i organisationen, om der er klare mål og retningsliner, samt om der måles på overholdelse af den fastsatte sikkerhedsstrategi. Sikkerhedsledelse indebærer også, at der er styr på, hvor virksomhedens kritiske informationer befinder sig, om man er klar over, hvilke risici der er mod disse informationer, samt om der er planer for at udbedre eventuelle mangler. Organisation og medarbejdere måler om ledere og medarbejdere forstår deres roller for at støtte op omkring informationssikkerheden i organisationen, om roller og ansvar er klart defineret, og om medarbejderne modtager den uddannelse og støtte, der er nødvendig for at kunne arbejde på en sikker måde. Sikkerhedskontroller bredt dækkende over både tekniske kontroller såsom adgangskontrol, brug af kryptografi, fysisk sikring, sikring af ekstern kommunikation og sikkerhed i udviklingsmiljøer.

7 Fordeling Et klart billede af hvor mange organisationer (myndigheder eller virksomheder), der i dag ligger i de forskellige modenhedsniveauer, og hvor mange der ligger korrekt, kræver et større analysearbejde. For at modellen skal have succes som bidrag til at styrke sikkerheden i Danmark hos myndigheder og virksomheder - kræver det dog, at kun et begrænset antal organisationer udsættes for den mere rigide form for sikkerhed, der kræver store investeringer (niveau 4 og 5). I de lavere niveauer skal man primært koncentrere sig om at have styr på de sikkerhedsmæssige krav, processer og oplysning. Baseret på branchens nuværende overblik og erfaring, vurderes en realistisk fordeling at være følgende (målt i %): Realistisk og balanceret niveaufordeling for offentlige myndigheder og private virksomheder Kilde: IT-Branchens It-sikkerhedsudvalg. Derfor betyder selv en bred implementering af konceptet i Danmark ikke, at alle myndigheder og virksomheder står overfor markante investeringer. Det kræver ikke et stort setup at leve op til niveau 2. Opgaven er først omfattende primært administrativt på niveau 3, og teknisk omfattende når man når niveau 4. Modellen er netop lavet for at organisationer kan investere i sikkerhed på de rigtige niveauer, uden hverken for meget eller for lidt sikkerhed. Mange forventes at kunne bruge konceptet til at få fokuseret organisationens eksisterende indsats og budget i den mest forretningsmæssige værdigivende retning, afstemt med organisationens mål og offentligt givne krav. I forhold til offentlige krav er det vigtigt at være påpasselig med ikke at misbruge konceptet til at opsætte rigide krav på tværs af myndigheder eller brancher, med krav om eks. ét fælles højt sikkerhedsniveau. Det kan virke begrænsende på nye, store som små, internationale eller nationale virksomheders mulighed for at drive virksomhed i Danmark og myndigheders mulighed for at tage eks. nye forretningsmodeller i brug.

8 Eksempler på etablering af sikkerhedskontroller efter modenhedsniveau Kontrol Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 5 Vejledende Basal Specificeret Kontrolleret Intens Sikkerhedspolitik Ledelsen fastlægger en kort overordnet sikkerhedspolitik, der understreger ledelsens holdning og krav til sikkerhed i organisationen (fx 1 side). + der er specificeret væsentlige områder som medarbejdere skal være opmærksom på. Politikken genbesøges for relevans mindst én gang årligt. + den overordnede sikkerhedspolitik er suppleret af et mindre antal specifikke standarder, vejledninger, m.m. der definerer krav til specifikke områder af særlig relevans for organisationen. + den overordnede sikkerhedspolitik er suppleret af et fyldestgørende sæt af tekniske standarder, vejledninger og procedurer, der tager højde for alle relevante områder i forhold til organisationens aktiver og risikoprofil. + Overholdelse af sikkerhedsprocesser er en altovervejende del af organisationens kultur og alt intern dokumentation, regler og vejledning bærer tydeligt præg af dette. Medarbejdersikkerhed Medarbejdere modtager generel vejledning om informationssikkerhed ved ansættelse. + Genopfriskning foregår mindst årligt. Awareness budskaber (f.eks. ved nye trusler) udsendes efter behov. + specifikke Awareness kampagner udføres mindst hvert halve år. Medarbejdere testes for deres forståelse af sikkerhed mindst årligt. Der tages specifik højde for sikkerhed ved ansættelse, bl.a. ved fremvisning af referencer, straffeattest, ID, m.m. + medarbejdere modtager yderligere målrettet sikkerhedsuddannelse for specifikke medarbejdergrupper, fx medarbejdere der håndterer personfølsomme data, database administratorer, m.m. + medarbejdere modtager intensiv undervisning i informationssikkerhed i detaljeret grad, flere gange årligt. Medarbejdere med adgang til følsomt data gennemgår baggrundscheck på højt niveau, eg. sikkerhedsclearing fra politiet. Håndtering af organisationens aktiver Det er overvejet og dokumenteret hvilke overordnede informationsaktiver virksomheden /myndigheden råder over og hvilke værdi disse har. + Der føres en opdateret protokol over hvilke informationsaktiver, man råder over, og risikovurdering er gennemført på et overordnet niveau. Protokollen vedligeholdes løbende, mindst én gang årligt. + Alle aktiver er klassificeret i forhold til dets værdi. Der er et fuldt overblik over præcis, hvilket informationsaktiver man råder over, og hvor denne information befinder sig. Der er udpeget et specifikt ansvar for, hvem der er ansvarlig for hvilke aktiver og hvad det ansvar indebærer. Aktiver risikovurderes løbende hvis/når risikobilledet ændrer sig, dog mindst én gang årligt. + Aktiver monitoreres løbende vha. overvågningsværktøjer, og der er til hver tid et fuldt overblik over hvor information befinder sig. Der alarmeres og reageres omgående på uregelmæssigheder. + Alle aktiver er tydeligt klassificeret og beskyttet af en rigid grad af både fysisk og logisk sikkerhed. Alle aktiver er registreret og enhver uregelmæssighed opdages omgående.

9 Supplerende materiale der kan udarbejdes for at støtte op om konceptet: Eksemplificering af virksomheder og myndigheder på de forskellige niveauer, med generisk (leverandør-anonymiseret) overblik over it-sikkerheds-teknisk og organisatorisk setup Vejledning til myndigheder i anvendelse af it-sikkerhedskoncept ved offentlige udbud Specifikke værktøjer der hjælper organisationer med at finde det rette sikkerhedsniveau så som værktøj til risikovurdering, registrering af sikkerhedshændelser, måling af modenhedsniveau, mm. Website med overblik over leverandører, der kan bistå organisationer med at få styr på sikkerheden med løsninger, rådgivning og efteruddannelse fordelt på de forskellige sikkerhedsniveauer Eksempler på sikkerhedspolitik, regler og vejledninger der kan tilpasses den enkelte organisation og som løbende vedligeholdes og opdateres ved ændring af trusselsbilledet, ny teknologi, m.m. Uddannelsesmateriale til medarbejdere der hjælper organisationerne med at skærpe synet på informationssikkerhed. For spørgsmål venligst kontakt IT-Branchens it-sikkerhedsudvalg eller via udvalgssekretær Bjørn Borre Tlf

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

CYBERFORSIKRING OFFENTLIG KONFERENCE

CYBERFORSIKRING OFFENTLIG KONFERENCE CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Modenhedsvurderinger. Mål hvad kan I tage med hjem?

Modenhedsvurderinger. Mål hvad kan I tage med hjem? Modenhedsvurderinger Mål hvad kan I tage med hjem? Hvorfor skal man overveje at lave en modenhedsvurdering? Hvordan kan man gribe processen an? Hvad skal man være opmærksom på? 1 Hvem er jeg? Ole Boulund

Læs mere

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi? Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER NOVEMBER 2014 Hvad er et hackerangreb? INTRODUKTION Denne folder er udarbejdet af It-sikkerhedssøjlen i Branchefællesskab

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Vejledning om evaluering af beredskab. April 2015

Vejledning om evaluering af beredskab. April 2015 Vejledning om evaluering af beredskab April 2015 Vejledning om evaluering af beredskab Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Sikkerhed og Revision 2015

Sikkerhed og Revision 2015 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets

Læs mere

Ekstern kvalitetssikring af beslutningsgrundlag på niveau 1

Ekstern kvalitetssikring af beslutningsgrundlag på niveau 1 Ekstern kvalitetssikring af beslutningsgrundlag på niveau 1 1. Baggrund for den eksterne kvalitetssikring Som led i at sikre det bedst mulige beslutningsgrundlag for Folketingets vedtagelse af store anlægsprojekter

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Systematiseret tilgang til Virksomhedskontakt - executive summary

Systematiseret tilgang til Virksomhedskontakt - executive summary Systematiseret tilgang til Virksomhedskontakt - executive summary Jobcenter Randers PricewaterhouseCoopers, CVR-nr. 16 99 42 94, Gentofte 1. Baggrund for projektet Hvert år gør Jobcenter Randers en stor

Læs mere

Shells generelle forretningsprincipper

Shells generelle forretningsprincipper Shells generelle forretningsprincipper Royal Dutch Shell plc Indledning Shells generelle forretningsprincipper er grundlaget for den måde, hvorpå alle virksomheder i Shell Gruppen* driver forretning.

Læs mere

Informationsforvaltning i det offentlige

Informationsforvaltning i det offentlige Informationsforvaltning i det offentlige 1 Baggrund Den omfattende digitalisering af den offentlige sektor i Danmark er årsag til, at det offentlige i dag skal håndtere større og større mængder digital

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Digitalisering af danske virksomheder

Digitalisering af danske virksomheder Digitalisering af danske virksomheder Indholdsfortegnelse Digitalisering af danske virksomheder. 3 Digitalisering en vej til øget vækst og produktivitet 4 Større virksomheder ser mere potentiale i digitalisering

Læs mere

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE 29.01.2015 HVEM ER JEG. LARS BÆRENTZEN Mere end 20 års erfaring som konsulent Rådgiver inden for IT- og informationssikkerhed

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent, Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?

Læs mere

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014 Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning

Læs mere

Kl Indledning v. Lone Strøm, Rigsrevisor

Kl Indledning v. Lone Strøm, Rigsrevisor Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur?

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur? Sikkerhedskultur Hvordan går det med sikkerheden? Virksomheder er i stigende grad udsatte og sårbare over for såvel eksterne som interne sikkerhedstrusler. Truslerne kan være rettet mod mennesker, it-systemer,

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016 Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver Februar 2016 18, STK. 4-NOTAT TIL STATSREVISORERNE 1 Vedrører: Statsrevisorernes beretning

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER. F-Secure Radar

EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER. F-Secure Radar EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER F-Secure Radar 48% flere sikkerhedshændelser 1 22,000,000 42,000,000 TRUSLEN ER VIRKELIG Hackerne giver ikke op. Truslen mod jeres virksomheds it-sikkerhed

Læs mere

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer 5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 1 Anvendelsesområde og formål 1.1 I dette kommissorium fastsættes Danske Banks Revisionsudvalgs opgaver og beføjelser. 1.2 Revisionsudvalget

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Bilag 1: Beskrivelse af den skandinaviske model

Bilag 1: Beskrivelse af den skandinaviske model Bilag 1: Beskrivelse af den skandinaviske model Nedenstående er en oversigt over kerneelementerne i et typisk set-up for ansvarlige investeringer. Grundelementerne i det man i branchen kalder den skandinaviske

Læs mere

Hvordan gør man it-sikkerhed nemt V/Martin Lenschau Hansen

Hvordan gør man it-sikkerhed nemt V/Martin Lenschau Hansen Hvordan gør man it-sikkerhed nemt V/Martin Lenschau Hansen JN DATA JN DATA Sikrer den finansielle sektor med sikker, stabil og effektiv it-drift og infrastruktur. Marked Compliant IT drift og infrastruktur

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen Et højt niveau af it-sikkerhed og privatlivsbeskyttelse er med til

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

Teknisk fremstillede nanomaterialer i arbejdsmiljøet. - resumé af Arbejdsmiljørådets samlede anbefalinger til beskæftigelsesministeren

Teknisk fremstillede nanomaterialer i arbejdsmiljøet. - resumé af Arbejdsmiljørådets samlede anbefalinger til beskæftigelsesministeren Teknisk fremstillede nanomaterialer i arbejdsmiljøet - resumé af Arbejdsmiljørådets samlede anbefalinger til beskæftigelsesministeren Maj 2015 Teknisk fremstillede nanomaterialer i arbejdsmiljøet Virksomheders

Læs mere

Retssikkerhedspakke II Borgeren skal stå stærkere

Retssikkerhedspakke II Borgeren skal stå stærkere Retssikkerhedspakke II Borgeren skal stå stærkere Borgeren skal stå stærkere 2 Borgeren skal stå stærkere Borgeren skal stå stærkere 3 Fuld omkostningsgodtgørelse for selskaber og fonde Reglerne i dag

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Ny bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse

Ny bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse Jernbanesession 10 Ny bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse Trafik- og Byggestyrelsens Sikkerhedskonference

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen Hvor meget fylder IT i danske bestyrelser Torben Nielsen Baggrund 25 år i finansielle sektor 15 år i Danmarks Nationalbank Bestyrelsesposter i sektorselskaber (VP-securities, NETS, BKS) Professionelt bestyrelsesmedlem

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Beredskabspolitik Kommunerne Hovedstadens Beredskab

Beredskabspolitik Kommunerne Hovedstadens Beredskab Godkendt af Hovedstadens Beredskabs Bestyrelse 13. januar 2016 Bilag 1 Beredskabspolitik Kommunerne i Hovedstadens Beredskab 1 Indhold Indledning... 2 Beredskabspolitikken... 3 Ledelse... 3 Planlægningsgrundlag...

Læs mere

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Sundhedsstyrelsen Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Konklusion og anbefalinger September 2009 Sundhedsstyrelsen Evaluering af

Læs mere

Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017

Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017 Sikkerhed i en digitaliseret sundhedssektor Sikkerhed og Revision 8. September 2017 Pia Jespersen Chefkonsulent, CISM, ESL Præsentation Sundhedsdatastyrelsen Pia Jespersen Intern driftsfunktion i Sundheds-

Læs mere