KOMBIT sikkerhedspolitik

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "KOMBIT sikkerhedspolitik"

Transkript

1 KOMBIT sikkerhedspolitik

2 Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER 6 6. ORGANISERING AF INFORMATIONSSIKKERHED 8 7. PERSONALESIKKERHED STYRING AF AKTIVER ADGANGSSTYRING KRYPTOGRAFI FYSISK SIKRING OG MILJØSIKRING DRIFTSSIKKERHED KOMMUNIKATIONSSIKKERHED ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF SYSTEMET LEVERANDØRFORHOLD STYRING AF INFORMATIONSSIKKERHEDSBRUD INFORMATIONSSIKKERHEDSASPEKTER VED NØD-, BEREDSKABS- OG REETABLERINGSSTYRING OVERENSSTEMMELSE 24 Side 2 af 26

3 Indledning Dette dokument indeholder KOMBITs politik for informationssikkerhed for leverandører, KOMBITs sikkerhedspolitik. Formålet med KOMBITs sikkerhedspolitik er at definere ansvaret for informationssikkerhed for de ydelser, som leverandører ( Leverandøren ) skal levere under en kontrakt med KOMBIT ( Kontrakten ) Dette dokument opstiller krav til informationssikkerhed, som Leverandøren skal overholde for at sikre en passende beskyttelse af Anvendernes aktiver og Systemet, som Leverandøren forvalter og har adgang til i medfør af Kontrakten. Ved aktiver forstås aktiver som begrebet anvendes i ISO :2013. Bilaget er opdelt i følgende: Del 1: Organisering, roller og ansvar Del 2: Politik for informationssikkerhed Del 3: Retningslinjer og kontrolmål til Leverandøren Side 3 af 26

4 Del 1: Organisering, roller og ansvar På vegne af Anvenderne har KOMBIT udformet kravene til informationssikkerhed, som Leverandøren skal overholde i forbindelse med opfyldelse af Kontrakten. De enkelte Anvendere, der benytter Systemet, er dataansvarlige for de personoplysninger, de lader behandle i Systemet, mens KOMBIT er databehandler for Anvenderne og dermed underlagt Anvendernes instruktionsbeføjelse, idet Anvenderne dog har givet KOMBIT fuldmagt til at overlade databehandlingsopgaven til en underdatabehandler, såfremt dette sker under samme betingelser, som der gælder i databehandleraftalen mellem KOMBIT og Anvenderne. Som underdatabehandler til KOMBIT skal Leverandøren, på anmodning fra KOMBIT give KOMBIT eller dennes repræsentant tilstrækkelige oplysninger og kontroladgang til, at denne kan kontrollere Leverandørens overholdelse af indeværende dokuments krav til sikkerhed. Derfor skal Leverandøren og KOMBIT i samarbejde sikre, at informationssikkerhedskravene i nærværende dokument bidrager til at minimere de risici, der er forbundet med Leverandørens behandling af Anvenderens aktiver og Systemet. Leverandøren skal mindst en gang årligt dokumentere, hvorledes kravene efterleves ved at få udarbejdet en revisionserklæring i henhold til ISAE 3402 type 2 sikkerhedsrevisionserklæring eller tilsvarende. KOMBIT gennemfører regelmæssig opfølgning på, om Leverandøren opfylder kravene i nærværende dokument. Opfølgningen sker gennem ekstern auditering og målinger på effektiviteten af Leverandørens efterlevelse. Opfølgningen er baseret på de retningslinjer og kontrolmål, der er beskrevet i Del 3 i nærværende dokument. Hvis Leverandøren benytter Underleverandører i forbindelse med opfyldelse af Kontrakten, er Leverandøren ansvarlig for at sikre, at Underleverandøren overholder kravene i nærværende dokument. Hvis Leverandøren og/eller Underleverandører ikke efterlever kravene i nærværende dokument vil det blive anset som misligholdelse af Kontrakten. Misligholdelsen vil blive behandlet som anført i Del 3. Nedenstående figur viser ansvarsfordelingen mellem Anvenderne, KOMBIT og Leverandøren. Anvenderens ansvar: Definere krav til informationssikkerhed KOMBITs ansvar: Sikre Leverandørens overholdelse af krav til informationssikkerhed Leverandørens ansvar: Etablere sikkerhedsforanstaltninger og efterleve krav til informationssikkerhed Side 4 af 26

5 Del 2: Politik for informationssikkerhed Denne del af dokument indeholder KOMBITs krav til informationssikkerhed i forbindelse med Leverandørens opfyldelse af Kontrakten. KOMBITs sikkerhedspolitik indeholder krav om, at Leverandøren skal efterleve ISO 27001:2013 eller tilsvarende samt relevant lovgivning, jf. punkt 18 i dette dokument. For så vidt angår efterlevelse af ISO :2013 eller tilsvarende gælder følgende ISO områder for Kontraktens tre modeller for så vidt angår drift og vedligeholdelse: Model 1: Totalleverandør Model 2: Applikationsdriftsleverandør og vedligeholdelsesleverandør Model 3: Applikationsvedligeholdelsesleverandør Model ISO område INFORMATIONSSIKKERHEDSPOLITIKKER X X X 6. ORGANISERING AF INFORMATIONSSIKKERHED X X X 7. PERSONALESIKKERHED X X X 8. STYRING AF AKTIVER X X X 9. ADGANGSSTYRING X X 10. KRYPTOGRAFI X X 11. FYSISK SIKRING OG MILJØSIKRING X 12. DRIFTSSIKKERHED X X 13. KOMMUNIKATIONSSIKKERHED X X 14. ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF SYSTEMET X X X 15. LEVERANDØRFORHOLD X X X 16. STYRING AF INFORMATIONSSIKKERHEDSBRUD X X 17. INFORMATIONSSIKKERHEDSASPEKTER VED NØD-, BEREDSKABS- OG X REETABLERINGSSTYRING 18. OVERENSSTEMMELSE X X X Opfølgningen på, om kravene overholdes, sker i henhold til de retningslinjer og kontrolmål, der er beskrevet for hvert ISO område i Del 3 i nærværende dokument. Side 5 af 26

6 Del 3: Retningslinjer og kontrolmål til Leverandøren Kontrolmål anvendes til at kontrollere og sikre, at Leverandøren efterlever KOMBITs sikkerhedspolitik. ISO-standardens 4 indledende kapitler beskriver standardens struktur og mål for Leverandørens styring af informationssikkerhed. Kapitel 5 og frem i ISO-standarden indeholder retningslinjerne og kontrolmål. For at sikre ensartethed mellem nærværende dokument og ISO-standarden er nedenstående retningslinjer og tilhørende kontrolmål nummereret i henhold til ISO-standarden. Der er ikke specificeret kontrolmål til alle retningslinjer i ISO 27001:2013 standarden, da nogle af disse behandles i Kontrakten. Kontrolmålene indeholder: Beskriver, hvorfor kontrolmålet er etableret, og sikrer at det afspejler den overordnede retningslinje for ISO-afsnittet. Beskriver, hvordan kontrolmålet skal vurderes. Leverandøren skal sikre, at der etableres et tilfredsstillende datagrundlag, således at målingen kan gennemføres inden for det tidsinterval, der er beskrevet, hvilket sikrer, at målet er specifikt og målbart. Viser, hvad der kræves for, at Leverandøren overholder det givne kontrolmål. Konsekvens for manglende overholdelse af Kontrolmål udgør misligholdelse af Kontrakten. Hvis manglende overholdelse udgør en sikkerhedsmæssig risiko i henhold til Kontrakten, behandles dette i overensstemmelse med Kontrakten. 5. Informationssikkerhedspolitikker Formål Leverandøren er bekendt med KOMBITs sikkerhedspolitik og retningslinjer, som er udarbejdet på vegne af Anvenderne. Leverandøren har udarbejdet en politik for informationssikkerhed, der inkluderer kravene i nærværende dokument. Leverandørens politik for informationssikkerhed indeholder en overordnet politik for informationssikkerhed og underliggende retningslinjer for hvert ISO område. Informationssikkerhedspolitikken er godkendt af Leverandørens ledelse og offentliggjort hos Leverandøren, herunder kommunikeret til alle ansatte og relevante samarbejdspartnere. Informationssikkerhedspolitikken revurderes med jævne mellemrum (minimum én gang årligt) eller ved omfattende ændringer i organisationen, som har indflydelse på informationssikkerheden, for at sikre, at informationssikkerhedspolitikken er passende, tilstrækkelig og effektiv. Retningslinjer Leverandøren sikrer, at informationssikkerhedspolitikken er godkendt af Leverandørens ledelse og gjort offentligt tilgængelig i dennes organisationen samt kommunikeret til alle ansatte og relevante samarbejdspartnere. Informationssikkerhedspolitikken angiver de retningslinjer, som Leverandørens ledelse har besluttet med henblik på nærmere at fastlægge et tilstrækkeligt sikkerhedsniveau til overholdelse af kravene i nærvæ- Side 6 af 26

7 rende dokument, således at dette niveau opretholdes. Herudover beskrives ansvar og roller i forhold til informationssikkerheden og styringen af hændelser, der kan have indflydelse på informationssikkerheden i forbindelse med Leverandørens opfyldelse af Kontrakten. Leverandøren er ansvarlig for at sikre, at det er muligt at følge op på efterlevelse af de enkelte sikkerhedskrav. Kontrolmål Politikker for informationssikkerhed Leverandørens ledelse skal fastlægge og godkende en informationssikkerhedspolitik, som skal offentliggøres og kommunikeres til medarbejdere og relevante samarbejdspartnere. Informationssikkerhedspolitikken skal opbygges i henhold til ISO 27001:2013 eller tilsvarende, opfylde relevant lovgivning, jf. punkt 18 i dette dokument, samt efterleve kravene i nærværende dokument Politikker for informationssikkerhed Leverandørens ledelse skal fastlægge og godkende en informationssikkerhedspolitik, som skal offentliggøres og kommunikeres til medarbejdere og relevante samarbejdspartnere. Politikken skal opbygges i henhold til ISO 27001:2013 eller tilsvarende, opfylde relevant lovgivning, jf. punkt 18 i dette dokument, samt efterleve kravene i indeværende dokument. 2, jf. nedenfor. Politikken skal være dokumenteret og skal opdateret mindst én gang årligt. Tærsklen overskrides, når politikken ikke er dokumenteret og/eller ikke har været opdateret i 365 dage siden sidste opdatering. Tærsklen overholdes efter overskridelse, når politikken er dokumenteret og/eller opdateret. Leverandøren har ikke en politik for informationssikkerhed Leverandøren har en politik for informationssikkerhed, men denne er ikke standardiseret og procedurer udarbejdes ad hoc af individuelle afdelinger. 2 Defineret Politikken er standardiseret, dokumenteret og kommunikeret. Medarbejderne følger gældende sikkerhedskrav. Politikken er standardiseret, dokumenteret og kommunikeret. Medarbejderne følger gældende sikkerhedskrav. Politikken vurderes løbende og gældende kontroller justeres. 4 Optimeret Politikken er standardiseret, dokumenteret og kommunikeret. Medarbejderne følger gældende sikkerhedskrav. Politikken vurderes løbende og sammenholdes med den overordnede strategi og gældende kontroller justeres og optimeres. Side 7 af 26

8 6. Organisering af informationssikkerhed Formål Leverandøren skal sikre et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og vedligeholdelsen af informationssikkerhed i organisationen. Herunder varetagelse af ansvarsplacering, udmønte de generelle retningslinjer i specifikke forretningsgange og instrukser samt sikre løbende opfølgning på implementering og efterlevelse af informationssikkerhedspolitikken, opfylde relevant lovgivning, jf. punkt 18 i dette dokument, samt efterleve kravene i indeværende dokument. Retningslinjer Leverandøren skal etablere en intern organisering, der sikrer, at kravene i nærværende dokument overholdes. Det overordnede ansvar for informationssikkerhed er etableret af Leverandøren, og Leverandørens ledelse har ansvaret for at implementere informationssikkerhed i organisationen, sikre relevante kontroller er til stede, og at disse er effektive. Kontrolmål Roller og ansvarsområder for informationssikkerhed Alle ansvarsområder for informationssikkerhed (jf. ISO 27001:2013 eller tilsvarende) skal defineres og fordeles. Leverandøren skal sikre, at ansvaret for alle informationssikkerhedsaktiviteter, herunder beskyttelse af Anvendernes aktiver og udførelsen af særlige sikkerhedsprocedurer er klart defineret, herunder at ansvaret er placeret og fremgår af funktionsbeskrivelser Funktionsadskillelse Funktionsadskillelse Modstridende funktioner og ansvarsområder hos Leverandøren skal adskilles for at begrænse muligheden for uautoriseret eller utilsigtet anvendelse, ændring eller misbrug af Anvendernes aktiver. 2, jf. nedenfor. Over 2 personer/systemer, pr år, der ikke opfylder kravet om funktionsadskillelse. Såfremt en audit påviser, at mere end 2 personer/ systemer ikke er funktionsadskilt er tærsklen overskredet, indtil forholdet er bragt i orden. Der er ikke etableret funktionsadskillelse Adskillelse af udviklingsmiljøet og Driftsmiljøet. Man har tænkt på funktionsadskillelse, men der er ikke en fuldstændig konsekvent procedure for at opretholde det. Side 8 af 26

9 2 Defineret Adskillelse af udviklingsmiljøet og Driftsmiljøet. Der findes en procedure for tildeling af ansvarsområder og der er en opdateret oversigt over, hvilke brugere som er tildelt hvilke ansvarsområder. Adskillelse af udviklingsmiljøet og Driftsmiljøet. Der findes en procedure for tildeling af ansvarsområder og der er en opdateret oversigt over hvilke brugere, som er tildelt hvilke ansvarsområder. Der foretages løbende opfølgning på henholdsvis brugere med adgang til udviklingsmiljø og Driftsmiljøet. 4 Optimeret Adskillelse af udviklingsmiljøet og Driftsmiljøet. Der findes en procedure for tildeling af ansvarsområder og der er en opdateret oversigt over hvilke brugere, som er tildelt hvilke ansvarsområder. Der foretages løbende automatiseret kontrol af henholdsvis brugere med adgang til udviklingsmiljø og Driftsmiljøet. Funktionsadskillelse er fuldt systemunderstøttet Informationssikkerhed ved projektstyring Informationssikkerhed ved projektstyring Leverandøren skal sikre, at informationssikkerhed, herunder hensyn til beskyttelse af fortrolighed, integritet og tilgængelighed varetages ved projektstyring, uanset projekttype, både under udvikling, vedligehold og videreudvikling. 3, jf. nedenfor. 1 projekt, der ikke opfylder informationssikkerhed ved projektstyring. Tærsklen er overskredet fra det tidspunkt Leverandøren konstaterer eller burde have konstateret, at et igangværende projekt ikke overholder Informationssikkerhed, og indtil projektet overholder informationssikkerhed. Der er ikke identificeret et særligt behov for at styre informationssikkerhedsrisici i forhold til projekter. Der anvendes en række metoder og tilgange i organisationen på tværs af projekter. Sikkerhed og risici bliver delvist adresseret. Sikkerhedskontroller tilføres ofte efter lancering til produktionsmiljøet. 2 Defineret Der anvendes en ensartet metodik og tilgang for større projekter, hvori sikkerhed og risici adresseres. Ensartede sikkerhedsarkitekturprincipper overvejes. Projekter stoppes, hvis sikkerhedskrav ikke bliver mødt. Der findes specialiserede metodikker for at styre sikkerhedskrav ift. behovet og risikoen i Side 9 af 26

10 det enkelte projekt, herunder adressering af lovmæssige krav. Sikkerhedsarkitektur-komponenter er integreret i udviklingen. 4 Optimeret Sikkerhed og risikostyring er en integreret del af projekter og udvikling, inklusiv arkitekturprincipper. Arkitekturprincipper justeres i henhold til ændringer i lovgivning, kontraktlige krav og øvrige regulativer. Der er løbende vurdering af gældende principper for at sikre bedst mulige designs og fremtidige løsninger 7. Personalesikkerhed Formål Minimering af risici forbundet med Leverandørens og eventuelle Underleverandørers medarbejdere, ved at alle relevante medarbejdere på forhånd er bevidste om og efterlever deres ansvar i forbindelse med arbejde med Systemet og data, som behandles i medfør af Kontrakten. Medarbejdergrupper hos Leverandøren eller Underleverandører, der kan udgøre en større risiko, skal identificeres på forhånd. Sikre, at alle relevante medarbejdere er opmærksomme på relevante trusler og har den fornødne viden til at opretholde det sikkerhedsniveau, som kræves på baggrund af de stillede krav. Leverandørens ledelse har ansvar for, at medarbejdere kan opretholde dette niveau. Sikring af, at ophørte medarbejdere forlader Leverandøren med mindst mulig risiko for Systemet og de data, som behandles i medfør af Kontrakten. Retningslinjer Leverandøren skal sikre, at alle relevante medarbejdere har den fornødne viden om deres ansættelsesforhold, så medarbejderne kan opretholde deres ansvar for sikkerheden i forbindelse med opfyldelse af Kontrakten. Dette omfatter både fastansatte såvel som midlertidigt ansatte. Ved ansættelse af medarbejdere, der skal arbejde med Systemet og data relateret til Systemet, skal disse gennemgå en screeningsproces for at undgå uhensigtsmæssige ansættelser. Dette gælder både faste og midlertidige ansættelser. Ved enhver ansættelse af medarbejdere, der skal bistå Leverandøren med opfyldelse af Kontrakten, skal den ansatte og Leverandøren underskrive en kontrakt om betingelserne for ansættelsen. Betingelserne skal indeholde de ansættelsesvilkår og betingelser som fremgår af Ved endt ansættelse skal en fastlagt procedure sikre, at medarbejderen er oplyst om sine fortsatte forpligtelser. Dette indebærer bl.a. en pligt for Leverandøren til at sikre, at tavshedspligten ikke ophører ved ansættelsens ophør. Kontrolmål Side 10 af 26

11 7.1.2 Ansættelsesvilkår og -betingelser Ansættelsesvilkår og -betingelser Leverandøren skal sikre, at samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, er underlagt følgende betingelser: Tavshedserklæring, såfremt medarbejderen skal udføre arbejde med adgang til Systemet. Medarbejderens retslige ansvar, herunder virksomhedens ophavsret og eventuel datalovgivning, jf. punkt 18 i dette dokument Medarbejderens ansvar i forbindelse med behandling af informationer Informationssikkerhedsansvar og -forpligtelser, som gælder efter ansættelsens ophør eller ændring, skal defineres og kommunikeres til medarbejderen og håndhæves 2, jf. nedenfor. Betingelser er beskrevet og kommunikeret skriftligt til den enkelte medarbejder og de er accepteret af medarbejderen. Krav til medarbejderen i forhold til informationssikkerhed adresseres ikke. Der er hos Leverandøren en bevidsthed om, at nævnte betingelser er vigtige, men der er ikke en dokumenteret formel procedure for at gøre samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, bekendte med disse. 2 Defineret Der er en formel procedure for at gøre samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, bekendte med nævnte betingelser. Dette attesteres skriftligt af medarbejderen ved indgåelse af samarbejde. Der er en formel procedure for at gøre samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, bekendte med nævnte betingelser. Dette attesteres skriftligt af medarbejderen ved indgåelse af samarbejde og revideres regelmæssigt. 4 Optimeret Der er en formel procedure for at gøre samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, bekendte med nævnte betingelser. Dette attesteres skriftligt af medarbejderen ved indgåelse af samarbejde og revideres regelmæssigt. Procedurerne er systemunderstøttet, og der foretages løbende målinger på deres effektivitet. Side 11 af 26

12 7.2.1 Ledelsesansvar Ledelsesansvar Leverandørens ledelse skal sikre, at alle relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, opretholder informationssikkerhed i overensstemmelse med kravene i nærværende dokument. 2, jf. nedenfor. Procedurer er beskrevet og overholdt. Der er hos Leverandøren ikke en ledelsesstyret tilgang til, at samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, skal opretholde informationssikkerhed. Der er hos Leverandøren en bevidsthed i ledelsen om, at samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, skal opretholde informationssikkerhed i overensstemmelse med kravene i nærværende dokument, men der er ikke en dokumenteret formel procedure for at sikre dette. 2 Defineret Der er en ledelsesforankret formel procedure for, at gøre samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, bekendte med deres forpligtelser for at opretholde informationssikkerhed i overensstemmelse med kravene. Der er en ledelsesforankret formel procedure for at gøre samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, bekendte med deres forpligtelser for at opretholde informationssikkerhed i overensstemmelse med kravene i nærværende dokument. Den enkelte medarbejder attesterer skriftligt disse forpligtelser årligt. 4 Optimeret Der er en ledelsesforankret formel procedure for at gøre samtlige relevante medarbejdere, herunder medarbejdere hos eventuelle Underleverandører, bekendte med deres forpligtelser for at opretholde informationssikkerhed i overensstemmelse med kravene i nærværende dokument. Den enkelte medarbejder attesterer skriftligt disse forpligtelser årligt, og der udføres regelmæssig awareness aktiviteter for at sikre forankringen hos den enkelte. 8. Styring af aktiver Side 12 af 26

13 Formål Beskyttelse af Anvenderens aktiver og Systemet, herunder fysiske, data og informationsmæssige aktiver, gennem identifikation, angivelse af ejer samt beskrivelse af korrekt brug. Sikring af information og Systemet på et passende niveau, som står i forhold til informationens klassifikation og betydning for Anvender. Retningslinjer Alle Anvenderes aktiver skal identificeres, og det enkelte aktiv skal tildeles en ansvarlig hos Leverandøren. Kontrolmål Fortegnelse over aktiver Fortegnelse over aktiver Alle aktiver, der er omfattet af Kontrakten, skal identificeres, og der skal udarbejdes og vedligeholdes en fortegnelse over aktiverne. 2, jf. nedenfor. Aktivfortegnelsen er dokumenteret og vedligeholdt. Tærsklen er overskredet, når alle aktiver ikke er angivet i fortegnelsen Der findes ingen formaliseret styring af aktiver. Leverandøren har identificeret, at styring af aktiver bør adresseres. Der findes få standardiserede processer, som tager hånd om styring af aktiver. 2 Defineret Aktivfortegnelsen er dokumenteret og indeholder relevante beskrivelser af delkomponenter, fysisk og logisk placering, ejerskab, m.v. Aktivfortegnelsen er dokumenteret og indeholder relevante beskrivelser af delkomponenter, fysisk og logisk placering, ejerskab, m.v. Alle fortegnelser bliver løbende opdateret på baggrund af reelle data om de enkelte aktiver. 4 Optimeret Aktivfortegnelsen er dokumenteret og indeholder relevante beskrivelser af delkomponenter, fysisk og logisk placering, ejerskab, m.v. Alle fortegnelser bliver løbende opdateret på baggrund af reelle data om de enkelte aktiver. Opdatering foretages automatisk. Side 13 af 26

14 9. Adgangsstyring Formål Leverandøren skal have retningslinjer for adgangsstyring, og disse skal dokumenteres og evalueres på grundlag af forretnings- og sikkerhedsmæssige krav til adgang. Leverandøren skal sikre, at kun autoriserede brugere har adgang til Systemet eller Driftsmiljøet, samt at uautoriserede brugere forhindres adgang, for derved at undgå kompromittering eller tyveri. Retningslinjer Adgange til Systemet og Driftsmiljøet tildeles altid med udgangspunkt i need-to-know / need-to-have og least privilege -principperne, så det tilsikres, at adgange er tildelt brugere med et arbejdsbetinget behov, uanset hvilken form for it-udstyr der anvendes. Der tages altid hensyn til relevant lovgivning, jf. punkt 18 i dette dokument og kontraktlige forpligtigelser som en del af adgangsstyringen til Systemet. Leverandøren skal sikre imod akkumulering af rettigheder for individuelle brugere, og der er implementeret funktionsadskillelse som en del af adgangsstyringen, således at der findes funktionsadskillelse. Kontrolmål Politik for adgangsstyring Politik for adgangsstyring Leverandøren skal fastlægge en politik for adgangsstyring og håndhæve denne. Politikken og dertilhørende retningslinjer skal dokumenteres og gennemgås på baggrund af forretnings- og informationssikkerhedskrav. 3, jf. nedenfor. Politikken skal følge ISO27001:2013 standarden eller tilsvarende. Tærsklen er overskredet, når Leverandørens politik ikke følger ISO27001:2013 standarden eller tilsvarende. Der findes ikke en politik for adgangsstyring Adgangsstyring foretages ad hoc og er ikke ensartet på tværs af Systemet. Det er op til individuelle systemansvarlige at styre adgange på Systemet. 2 Defineret Der findes en standardiseret politik for adgangsstyring på tværs af Systemet. Systemansvarlige er bekendt hermed og følger politikken. Side 14 af 26

15 Politikken for adgangsstyring på tværs af Systemet vurderes jævnligt, og der er etableret foranstaltninger, som sikrer, at systemmæssige afvigelser fra politikken rapporteres og vurderes jævnligt. 4 Optimeret Politikken for adgangsstyring på tværs af Systemet vurderes jævnligt, og der er etableret foranstaltninger, som sikrer, at systemmæssige afvigelser fra politikken rapporteres og vurderes jævnligt. Politikken sikrer, at afvigelser vurderes og kontroller løbende justeres herefter Styring af privilegerede adgangsrettigheder Styring af privilegerede adgangsrettigheder Tildeling og anvendelse af privilegerede adgangsrettigheder skal begrænses og styres for Leverandørens medarbejdere. Ved privilegerede adgangsrettigheder forstås muligheden for at omgå system- eller applikationskontroller. Det er Leverandørens ansvar at administrere privilegerede adgangsrettigheder, herunder at formalisere anvendelsen af privilegerede adgangsrettigheder. Tildelingen af privilegerede adgangsrettigheder sker, så det er muligt at skelne mellem brugerkonti med privilegerede adgangsrettigheder og almindelige brugerkonti. Der er etableret en procedure, som sikrer, at der kun kan opnås privilegerede adgangsrettigheder i nødstilfælde (nødbrugere) med tilhørende revisionsspor for anvendelsen. 3, jf. nedenfor. Tildeling af privilegerede rettigheder er veldokumenteret og opdateret. Tærsklen er overskrevet, såfremt privilegerede rettigheder ikke er veldokumenteret og opdateret, og indtil de er bragt til en tilstand, hvor de er veldokumenteret og opdateret. Der er ingen kontrol med brugere med privilegerede adgangsrettigheder. Der er ikke etableret en procedure for styring af privilegerede adgangsrettigheder. Tildeling af privilegerede adgangsrettigheder foretages ad hoc. 2 Defineret Der er etableret en procedure for styring af privilegerede adgangsrettigheder. Proceduren er kendt af de ansvarlige medarbejdere hos Leverandøren, og tildelingen af privilegerede adgangsrettigheder følger proceduren og dokumenteres. Side 15 af 26

16 Der er etableret en procedure for styring af privilegerede adgangsrettigheder. Proceduren er kendt af de ansvarlige medarbejdere hos Leverandøren, og tildelingen af privilegerede adgangsrettigheder følger proceduren og dokumenteres. Der udføres regelmæssig revision af brugere med privilegerede adgangsrettigheder. 4 Optimeret Der er etableret en procedure for styring af privilegerede adgangsrettigheder. Proceduren er kendt af de ansvarlige medarbejdere hos Leverandøren, og tildelingen af privilegerede adgangsrettigheder følger proceduren og dokumenteres. Der foretages løbende rapportering og målinger for antallet af brugere med privilegerede adgangsrettigheder Gennemgang af brugeradgangsrettigheder Der udføres regelmæssig revision af brugere med privilegerede adgangsrettigheder Gennemgang af brugeradgangsrettigheder Leverandøren skal med jævne mellemrum gennemgå brugernes adgangsrettigheder. Der skal af Leverandøren foretages stikprøvevis opfølgning på tildelingen af privilegerede adgangsrettigheder. Der opbevares dokumentation for udførte opfølgninger. 2, jf. nedenfor. Dokumentation for gennemgang skal være opdateret. Tærsklen er overskredet, såfremt Leverandøren konstaterer eller burde have konstateret, at dokumentation for gennemgang ikke er opdateret, og indtil dokumentation for gennemgang er opdateret Der er ikke etableret en procedure for gennemgang af brugernes adgangsrettigheder. Leverandøren foretager stikprøvevis opfølgning på tildelingen privilegerede adgangsrettigheder, men dette følger ikke en formel procedure. 2 Defineret Leverandøren har en formel procedure for at gennemgå brugernes adgangsrettigheder. Leverandøren foretager stikprøvevis opfølgning på tildelingen af privilegerede adgangsrettigheder. Der opbevares dokumentation for udførte opfølgninger. Leverandøren har en formel procedure for gennemgang af brugernes adgangsrettigheder. Der foretages et komplet udtræk af tildelte brugerrettigheder på Systemet, og disse gennemgås og godkendes af systemansvarlig hos Leverandør. Der opbevares dokumentation for udførte opfølg- Side 16 af 26

17 ninger, og disse sammenholdes over tid. 4 Optimeret Leverandøren har en formel procedure for gennemgang af brugernes adgangsrettigheder. Der foretages et komplet udtræk af tildelte brugerrettigheder på Systemet, og disse gennemgås og godkendes af systemansvarlig hos Leverandør. Der opbevares dokumentation for udførte opfølgninger, og disse sammenholdes over tid. Hele proceduren er systemunderstøttet. 10. Kryptografi Formål Formålet med disse krav er at sikre korrekt og effektiv brug af kryptografi for at beskytte datas fortrolighed, autenticitet og/eller integritet. Retningslinjer Behovet for kryptering skal identificeres ud fra en vurdering af, hvor metoden som sikringsforanstaltning kan imødegå behovet for sikring af datas fortrolighed, autenticitet og/eller integritet. Ved anvendelse af kryptering skal der desuden tages højde for nøglehåndtering. Kontrolmål Politik for anvendelse af kryptografi Politik for anvendelse af kryptografi Leverandøren skal have en politik for anvendelse af kryptografi til beskyttelse af Anvendernes data i Systemet, og håndhæve denne. Der skal være udarbejdet konkrete retningslinjer for brugen af kryptografi, som overholder kravet til stærk kryptering jf. Bekendtgørelse nr. 528 af 15. juni 2000 som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Data og underliggende infrastruktur skal beskyttes ved transmission af fortrolige oplysninger. 2, jf. nedenfor. Politikken er dokumenteret og vedligeholdt. Tærsklen er overskrevet, såfremt politikken ikke er dokumenteret og vedligeholdt, og indtil politikken er dokumenteret og vedligeholdt. Leverandøren har ikke defineret en politik eller retningslinjer for anvendelse af kryptografi. Side 17 af 26

18 Der findes ikke en politik for anvendelse af kryptografi, men der kan være retningslinjer for Systemet 2 Defineret Der findes en politik for anvendelse af kryptografi, og medarbejderne er bekendt med denne. Politikken tilsikrer ligeledes beskrivelse af retningslinjer for håndtering af nøgler. Medarbejderne er bekendt med politikken, men der kan findes afvigelser fra denne. Politikken for anvendelse af kryptografi er defineret, og der er opsat krav i f.eks. projekter til, hvordan kryptografi skal anvendes, samt de foranstaltninger som tages i forbindelse hermed. Der foretages jævnlige målinger på anvendt kryptografi på tværs af projekter. 4 Optimeret Politikken for anvendelse af kryptografi er defineret, og der er opsat krav i f.eks. projekter til, hvordan kryptografi skal anvendes, samt de foranstaltninger som tages i forbindelse hermed. Der foretages jævnlige målinger på anvendt kryptografi på tværs af projekter. Politikken og tilhørende retningslinjer justeres løbende i forhold til god praksis Administration af nøgler Administration af nøgler Leverandøren skal udarbejde, implementere og håndhæve en politik for anvendelse og beskyttelse af, samt levetid for, krypteringsnøgler gennem hele deres livscyklus. Nøglehåndteringen skal understøtte procedurerne for generering, distribution, lagring, ændring, opdatering, tilbagekaldelse, aktivering, genskabelse og destruktion af nøgler og offentlige nøglecertifikater. Aktiviteter i forbindelse med nøglehåndtering skal logges. 2, jf. nedenfor. Politikken er dokumenteret og vedligeholdt. Tærsklen er overskredet, når politikken ikke er dokumenteret og vedligeholdt, og indtil politikken er dokumenteret og vedligeholdt. Leverandøren har ikke defineret en politik eller retningslinjer for administration af nøgler Der findes ikke en politik for administration af nøgler, men der kan være retningslinjer for Systemet. 2 Defineret Der findes en politik for administration af nøgler, som beskriver håndtering Side 18 af 26

19 af nøgler, herunder generering, distribution, lagring, ændring, opdatering, tilbagekaldelse, aktivering, genskabelse og destruktion af nøgler og offentlige nøglecertifikater. Medarbejderne er bekendt med politikken, og den vedligeholdes løbende. Der findes en politik for administration af nøgler, som beskriver håndtering af nøgler, herunder generering, distribution, lagring, ændring, opdatering, tilbagekaldelse, aktivering, genskabelse og destruktion af nøgler og offentlige nøglecertifikater. Medarbejderne er bekendt med politikken, og den vedligeholdes løbende. Al administration af nøgler foretages i overensstemmelse med politikken. 4 Optimeret Der findes en politik for administration af nøgler, som beskriver håndtering af nøgler, herunder generering, distribution, lagring, ændring, opdatering, tilbagekaldelse, aktivering, genskabelse og destruktion af nøgler og offentlige nøglecertifikater. Medarbejderne er bekendt med politikken, og den vedligeholdes løbende. Al administration af nøgler foretages i overensstemmelse med politikken. Politikken og tilhørende retningslinjer justeres løbende i forhold til god praksis og er systemunderstøttet. 11. Fysisk sikring og miljøsikring Håndteres i Kontrakten. 12. Driftssikkerhed Håndteres i Kontrakten. 13. Kommunikationssikkerhed Håndteres i Kontrakten. 14. Anskaffelse, udvikling og vedligeholdelse af Systemet Håndteres i Kontrakten. Side 19 af 26

20 15. Leverandørforhold Om betydningen af anvendelse af eventuelle Underleverandører henvises til Del 1. Krav i dette afsnit skal efterleves af Leverandøren, hvis denne anvender Underleverandører til at levere ydelser i forbindelse med opfyldelse af Kontrakten. Formål Leverandøren er ansvarlig for alle sine Underleverandører. Det vil sige, at Leverandøren sikrer, at sine Underleverandører opfylder samme betingelser, som Leverandøren selv, herunder beskyttelse af Anvendernes aktiver og Systemet, såfremt Underleverandører har adgang hertil. Retningslinjer Leverandøren sikrer, at alle nedenstående kontrolmål er opfyldt, inden Underleverandører får adgang til Anvendernes aktiver og Systemet. Tilsvarende gælder, hvis Underleverandører får adgang til Leverandørens infrastruktur, som kan påvirke informationssikkerheden af Anvendernes aktiver og Systemet. Kontrolmål Informationssikkerhedspolitik for leverandørforhold Informationssikkerhedspolitik for leverandørforhold At minimere de risici, der er forbundet med Underleverandørs adgang til Anvendernes aktiver, Systemet og Leverandørens infrastruktur skal aftales og dokumenteres. Leverandøren skal udarbejde en risikovurdering af samarbejdet mellem Leverandøren og Underleverandøren, inden samarbejdet indgås, og den tilbageværende risiko skal behandles af Leverandøren. Leverandøren skal sikre, at Underleverandørens medarbejdere er bekendte med og overholder Leverandørens politik for informationssikkerhed og dermed kravene i nærværende dokument. 3, jf. nedenfor. Leverandørens politik for informationssikkerhed og kravene i nærværende dokument overholdes af Underleverandøren. Leverandørens kontrakter med Underleverandører beskriver ikke krav til sikkerhed. Leverandørens kontrakter med Underleverandører beskriver krav til sikkerhed, men der er ikke entydig reference til Leverandørens politik Side 20 af 26

21 for informationssikkerhed og kravene i nærværende dokument 2 Defineret Leverandørens kontrakter med Underleverandører beskriver entydigt Leverandørens politik for informationssikkerhed og kravene i nærværende dokument, der håndhæves 3 Styret og målbar Leverandørens kontrakter med Underleverandører beskriver entydigt Leverandørens politik for informationssikkerhed og kravene i nærværende dokument. Yderligere sikkerhedstiltag er baseret på risikovurdering og er aftalt og implementeret. Der foretages regelmæssig evaluering af Underleverandører og mangler udbedres. 4 Optimeret Leverandørens kontrakter med Underleverandører beskriver entydigt Leverandørens politik for informationssikkerhed og kravene i nærværende dokument og samtlige Underleverandører sikrer overholdelse af disse regelmæssigt. Yderligere sikkerhedstiltag er baseret på risikovurdering og er aftalt og implementeret. 16. Styring af informationssikkerhedsbrud Formål Leverandøren skal sikre korrekt og sikker styring af informationssikkerhedshændelser og -brud. Leverandøren skal sikre, at Leverandørens medarbejdere og eventuelle Underleverandører er bekendt med Kontraktens krav om rapportering af hændelser og sårbarheder, der kan have indflydelse på Anvendernes aktiver og Systemet. Ansvar og procedurer er på plads til effektivt at håndtere sikkerhedshændelser og sårbarheder effektivt, når de opstår. Der er etableret procedurer for løbende forbedringer af reaktioner på, overvågning og vurdering af sikkerhedsbrud relateret til Leverandørens opfyldelse af Kontrakten. Retningslinjer Leverandøren sikrer, at Leverandørens medarbejdere og eventuelle Underleverandører er bekendt med Kontraktens krav om rapportering af hændelser og sårbarheder, der kan have indflydelse på Anvendernes aktiver og Systemet. Svagheder i Systemet rapporteres på en måde, så Leverandøren kan rette op på og kompensere for sikkerhedsbrud. Kontrolmål Ansvar og procedure Ansvar og procedure Side 21 af 26

22 Leverandøren har ansvaret for at sikre, at der er procedurer, som sikrer hurtig, effektiv og planmæssig håndtering af informationssikkerhedsbrud. 4, jf. nedenfor. Procedurer skal være dokumenteret, overholdt og vedligeholdt. Der er ikke defineret en procedure for håndtering af informationssikkerhedshændelser og brud. Der er ikke defineret en procedure for håndtering af informationssikkerhedshændelser og brud, men der findes retningslinjer på udvalgte områder. 2 Defineret Der er defineret en procedure for håndtering af informationssikkerhedshændelser og brud. Retningslinjerne følger proceduren, og informationshændelser og brud dokumenteres. Der er defineret en procedure for håndtering af informationssikkerhedshændelser og brud. Retningslinjerne følger proceduren, og informationshændelser og brud dokumenteres, følges op og rapporteres. Der måles på mængde og alvorlighed af hændelser. 4 Optimeret Der er defineret en procedure for håndtering af informationssikkerhedshændelser og brud. Retningslinjerne følger proceduren, og informationshændelser og brud dokumenteres, følges op og rapporteres. Der måles på mængde og alvorlighed af hændelser. Proceduren og retningslinjer opdateres regelmæssigt på baggrund af erfaringer Rapportering af informationssikkerhedshændelser Rapportering af informationssikkerhedshændelser Leverandøren skal rapportere informationssikkerhedshændelser til KOMBIT samt til evt. berørte interessenter. 4, jf. nedenfor. Samtlige informationssikkerhedshændelser, der er kritiske, alvorlige eller betydende skal rapporteres. Informationssikkerhedshændelser rapporteres ikke. Side 22 af 26

23 Der er ikke en formaliseret procedure for rapportering af informationssikkerhedshændelser, men dette sker ad hoc afhængig af den enkelte hændelse, og den medarbejdergruppe der er involveret. 2 Defineret Der er en formaliseret procedure for rapportering af informationssikkerhedshændelser. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Der er en formaliseret procedure for rapportering af informationssikkerhedshændelser. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Proceduren testes regelmæssigt og effektiviteten rapporteres. 4 Optimeret Der er en formaliseret procedure for rapportering af informationssikkerhedshændelser. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Proceduren testes regelmæssigt og effektiviteten rapporteres. Proceduren justeres jævnligt på baggrund af erfaringer og resultat af udførte test Rapportering af informationssikkerhedssvagheder. Rapportering af informationssikkerhedssvagheder Leverandøren har pligt til at notere og rapportere alle observerede svagheder eller mistanker om svagheder i Systemet 3, jf. nedenfor. Samtlige informationssikkerhedssvagheder, der afdækkes, og som er kritiske, alvorlige eller betydende, skal rapporteres Leverandøren har ikke en procedure for at rapportere informationssikkerhedssvagheder. Leverandøren har ikke en formaliseret procedure for at rapportere informationssikkerhedssvagheder, men informationssikkerhedssvagheder rapportere ad hoc. 2 Defineret Leverandøren har en formaliseret procedure for at rapportere informationssikkerhedssvagheder. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Leverandøren har en formaliseret procedure for rapportering af informationssikkerhedssvagheder. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Proceduren testes regelmæssigt og Side 23 af 26

24 effektiviteten rapporteres. 4 Optimeret Der er en formaliseret procedure for rapportering af informationssikkerhedssvagheder. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Proceduren testes regelmæssigt og effektiviteten rapporteres. Proceduren justeres jævnligt på baggrund af erfaringer og resultat af udførte test. 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Håndteres i Kontrakten. 18. Overensstemmelse Formål Overholdelse af lovbestemte og kontraktlige krav skal fremgå af Leverandørens sikkerhedspolitik eller procesdokumentation. Den samlede dokumentation skal synliggøre, at Leverandøren overholder sikkerhedskrav i lovgivningen anført i Kontrakten, herunder: Lov om behandling af personoplysninger (Persondataloven) Lov nr. 429 af med ændringer, herunder ved lov nr. 280 af (Justitsministeriet/Datatilsynet), og Lov nr. 639 af (Justitsministeriet). Bekendtgørelse nr. 528 af 15. juni 2000 som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Samt at indgåede kontraktlige forpligtelser vedrørende sikkerhed og lovgivning styres og overholdes i forbindelse med Leverandørens opfyldelse af Kontrakten. Leverandøren skal sikre overholdelse af kravene til sikkerhed i nærværende dokument samt retningslinjerne i ISO 27001:2013 standarden eller tilsvarende. Revisionskrav og revisionshandlinger i forbindelse med drift af Systemet fremgår af Kontrakten. Retningslinjer Leverandøren har udarbejdet retningslinjer og procedurer, som sikrer overensstemmelse med lovgivningen og sikkerhedskrav anført i Kontrakten. Side 24 af 26

25 Leverandøren sikrer, at KOMBITs sikkerhedspolitik overholdes, og at sikringsforanstaltninger bliver implementeret og fungerer med den tilsigtede effekt. Fastholdelse af det krævede sikkerhedsniveau er en kontinuerlig proces, hvor opfølgningen tager udgangspunkt i nærværende dokument. Leverandøren skal være til rådighed for revision/inspektion fra KOMBIT eller dennes repræsentant. Revisionskrav og handlinger, der involverer kontrol af Systemet i drift hos Leverandøren er nøje planlagt og aftalt for at minimere risikoen for forstyrrelser af de øvrige forretningsaktiviteter. For at forhindre misbrug ved anvendelse af revisionsværktøjer, er adgangen forhindret til udviklingsmiljøer og Driftsmiljøet. Kontrolmål: Identifikation af gældende lovgivning og kontraktkrav Identifikation af gældende lovgivning og kontraktkrav Leverandøren skal overholde lovgivningen samt sikkerhedskrav anført i Kontrakten. Overholdelsen skal være dokumenteret og holdes opdateret 2, jf. nedenfor. Overholdelse af lovgivningen og sikkerhedskrav anført i Kontrakten skal være dokumenteret og vedligeholdt. Leverandøren har ikke en formaliseret procedure for at identificere sikkerhedskrav i lovgivning og Kontrakten. Leverandøren har ikke en formaliseret procedure for at identificere sikkerhedskrav i lovgivning og Kontrakten, men disse identificeres ad hoc. 2 Defineret Leverandøren har en formaliseret procedure for at identificere sikkerhedskrav i lovgivning og Kontrakten. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Leverandøren har en formaliseret procedure for at identificere sikkerhedskrav i lovgivning og Kontrakten. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Der foretages løbende opfølgning på overholdelse af sikkerhedskrav og afvigelser rapporteres. 4 Optimeret Leverandøren har en formaliseret procedure for at identificere sikkerhedskrav i lovgivning og Kontrakten. Relevante medarbejdergrupper er bekendte med denne procedure og følger den. Der foretages løbende opfølgning på overholdelse af sikkerhedskrav og afvigelser rapporteres. Sikringsforanstaltninger implementeres på baggrund af ændrede sikkerhedskrav. Side 25 af 26

26 Uafhængig gennemgang af informationssikkerhed Uafhængig gennemgang af informationssikkerhed Leverandørens metode til styring af informationssikkerhed og implementeringen heraf (det vil sige kontrolmål, kontroller, politikker, processer og procedurer for informationssikkerhed) skal gennemgås uafhængigt med planlagte mellemrum eller i tilfælde af væsentlige ændringer. 3, jf. nedenfor. Der må ikke afdækkes kritiske, alvorlige eller betydende sikkerhedssvagheder Der foretages ikke uafhængig gennemgang af informationssikkerhed hos Leverandøren. Uafhængig gennemgang af informationssikkerhed foretages ad hoc og ikke i henhold til et fastlagt tidsinterval. 2 Defineret Der er en procedure, der sikrer, at uafhængig gennemgang af informationssikkerheden gennemgås med planlagte mellemrum eller ved væsentlige ændringer. Eventuelle svagheder rapporteres og adresseres af Leverandøren inden for et fastlagt tidsinterval. Der er en procedure, der sikrer, at uafhængig gennemgang af informationssikkerheden gennemgås med planlagte mellemrum eller ved væsentlige ændringer. Eventuelle svagheder rapporteres og adresseres af Leverandøren inden for et fastlagt tidsinterval. Antallet af sikkerhedssvagheder måles over tid, og der udarbejdes handleplaner for håndtering og udbedring af svaghederne. 4 Optimeret Der er en procedure, der sikrer, at uafhængig gennemgang af informationssikkerheden gennemgås med planlagte mellemrum eller ved væsentlige ændringer. Eventuelle svagheder rapporteres og adresseres af Leverandøren inden for et fastlagt tidsinterval. Antallet af sikkerhedssvagheder måles over tid, og der udarbejdes handleplaner for håndtering og udbedring af svaghederne. Leverandøren arbejder proaktivt med at minimere sikkerhedssvagheder. Side 26 af 26

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017 Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Politik <dato> <J.nr.>

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse.

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Overordnet Informationssikkerhedsstrategi. for Odder Kommune Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001) IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE

Læs mere

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale EU-udbud af WAN infrastruktur Bilag 11 - Databehandleraftale INDHOLD 1. DATABEHANDLERENS ANSVAR... 4 2. DATABEHANDLERENS OPGAVE... 4 3. SIKKERHEDSFORANSTALTNINGER... 4 4. DATABEHANDLERS BRUG AF UNDERDATABEHANDLER...

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent, Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Underbilag 14A DATABEHANDLERAFTALE

Underbilag 14A DATABEHANDLERAFTALE Journalnummer: Underbilag 14A DATABEHANDLERAFTALE Vedrørende levering og vedligeholdelse af EPJ-/PAS-løsning System-/projektansvarlig person Tel. +45 XXXX XXXX e-mail@e-mail.dk For at sikre overholdelsen

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx (herefter benævnt

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

Databehandleraftale Leverandør

Databehandleraftale Leverandør , Beskæftigelses- og Integrationsforvaltningen Bilag L - 1 Leverandør Dags dato er indgået nedenstående aftale mellem: Københavns Kommune Beskæftigelses- og Integrationsforvaltningen CVR.nr.: 64 94 22

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere