Informationssikkerhedspolitik

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "Informationssikkerhedspolitik"

Transkript

1 Faxe Kommune Informationssikkerhedspolitik Regler

2 Indholdsfortegnelse Regler 2 1 Overordnede retningslinjer Informationssikkerhedspolitik Formulering af informationssikkerhedspolitik Løbende vedligeholdelse 2 2 Organisering af informationssikkerhed Interne organisatoriske forhold Eksterne samarbejdspartnere Outsourcing 3 3 Styring af informationsrelaterede aktiver Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Ejere af systemer og data Adfærdsregler Adfærdsregler for brug af internet Adfærdsregler for brug af Adfærdsregler for trådløse netværk Klassifikation af informationer og data Klassifikation 7 4 Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse Ansættelsesforholdet Ansættelsens ophør 8 5 Fysisk sikkerhed Sikre områder Beskyttelse af udstyr 9 6 Styring af netværk og drift Operationelle procedurer og ansvarsområder Driftsafvikling Styring af ændringer Funktionsadskillelse Adskillelse mellem udvikling, test og drift Ekstern serviceleverandør Styring af driftsmiljøet Skadevoldende programmer og mobil kode Sikkerhedskopiering Netværkssikkerhed Kablede netværk og netværk i almindelighed Trådløse netværk Forbindelser med andre netværk Databærende medier Informationsudveksling Logning og overvågning 17 7 Adgangsstyring De forvaltningsmæssige krav til adgangsstyring Administration af brugeradgang Brugerens ansvar Styring af netværksadgang Styring af systemadgang Styring af adgang til brugersystemer og informationer Mobilt udstyr og fjernarbejdspladser 22 8 Anskaffelse, udvikling og vedligeholdelse af 22 informationsbehandlingssystemer 8.1 Sikkerhedskrav til informationsbehandlingssystemer Kryptografi Styring af driftsmiljøet 24

3 8.5 Sikkerhed i udviklings- og hjælpeprocesser Sårbarhedsstyring 24 9 Risikovurdering og håndtering Styring af sikkerhedshændelser Rapportering af sikkerhedshændelser og svagheder Håndtering af sikkerhedsbrud og forbedringer Beredskabsstyring Beredskabstyring og informationssikkerhed Overensstemmelse med lovbestemte og kontraktlige krav Overensstemmelse med lovbestemte krav Lov-identifikation Ophavsret Sikring af kommunens forretningskritiske data Overholdelse af lov om personoplysninger Beskyttelse mod misbrug Overensstemmelse med informationssikkerhedspolitik og -retningslinier Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer 30

4 Regler 1 Overordnede retningslinjer 1.1 Informationssikkerhedspolitik Formulering af informationssikkerhedspolitik Offentliggørelse af informationssikkerhedspolitik Center for Økonomi & HR, sikrer at den overordnede informationssikkerhedspolitik offentliggøres på kommunens hjemmeside og på intranettet. Regler og procedurer kommunikeres til alle relevante interessenter, herunder alle medarbejdere via intranettet. Godkendelse af informationssikkerhedspolitikken Den sikkerhedsansvarlige direktør sikrer, at den overordnede informationssikkerhedspolitik forelægges for byrådet til godkendelse. De nærmere regler og procedurer forelægges for og fastsættes af direktionen. Omfang af informationssikkerhedspolitik Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske og proceduremæssige kontroller samt kontrol af regler- og lovkrav Løbende vedligeholdelse Revision af informationssikkerhedspolitikken Den sikkerhedsansvarlige direktør sikrer via Center for Økonomi & HR, at der sker en generel revision af informationssikkerhedspolitikken minimum hvert andet år. Vedligeholdelse af informationssikkerhedspolitikken Center for Økonomi & HR, er ansvarlig for vedligeholdelsen af informationssikkerhedspolitikken. Vedligeholdelse, intern revision og afrapportering 2 Organisering af informationssikkerhed En klar placering af ansvar er vigtigt for at sikre Faxe Kommunes informationssikkerhed. Det gælder både i forhold til kommunens egen organisation og i forhold til eksterne samarbejdspartnere. Kontrakter med eksterne partnere og andre aftaler har således også betydning for informationssikkerheden. Side 2 af 30

5 2.1 Interne organisatoriske forhold Ledelsens rolle Direktionen skal støtte kommunens informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre en præcis placering af ansvar. Koordination af informationssikkerheden Ansvaret for koordination af informationssikkerheden på tværs i organisationen varetages af Digitaliseringsrådet Informationssikkerhedsorganisation Center for Økonomi & HR, har ansvaret for at sikre at informationssikkerhedspolitikken med tilhørende regler og procedurer er synlig, koordineret og i overensstemmelse med kommunens mål. Tavshedserklæring ved ansættelse Center for Økonomi & HR, sikrer at der foreligger en forretningsgang for afgivelse af tavshedserklæring, som afspejler kommunens krav til behandling af fortrolige data og personoplysninger. Tavshedserklæring Kontakt med relevante myndigheder Center for Erhverv & Udvikling sikrer at der ved brud på sikkerheden, er etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. Utilsigtet offentliggørelse 2.2 Eksterne samarbejdspartnere Information til eksterne partnere Systemejer sikrer at relevante interessenter skal informeres om krav til efterlevelse af informationssikkerhedspolitikken i kommunen. Fortrolighedserklæring for tredjepart Systemejer skal sikre, at tredjepart, der kan få adgang til kommunens data, er omfattet af en fortrolighedserklæring. Aftaler om informationsudveksling Center for IT & Digitalisering sikrer at der ved udveksling af information og software imellem kommunen og evt. tredje part foreligger en aftale herom. Sikkerhed i forhold til kunder Center for IT & Digitalisering sikrer at borgers adgang til kommunens informationsbehandlingssystemer, er begrænset til relevante data og at alle sikkerhedsforhold er afklaret. 2.3 Outsourcing Side 3 af 30

6 Outsourcing Center for IT & Digitaliseering sikrer, at der ved outsourcing af ITsystemer og inden indgåelse af kontrakt, indhentes information om outsourcingpartnerens sikkerhedsniveau, herunder dennes informationssikkerhedspolitik. Brug af outsorcing må ikke forhøje risikoniveauet for kommunen. 3 Styring af informationsrelaterede aktiver Ved informationsrelaterede aktiver forstås - de aktiver, der har tilknytning til og er nødvendige for kommunens informationsbehandling. Informationsrelaterede aktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter der er udskrevet, produktionsudstyr eller IT-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 3.1 Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Registrering af IT-udstyr Det er Center for IT & Digitaliserings ansvar, at alt IT-udstyr er registreret med ejer, bruger, serienummer og placering. Registrering af IT-udstyr 3.2 Ejere af systemer og data Ejerskab Center for IT & Digitalisering, sikrer at alle informationsrelaterede aktiver har udpeget en ejer. Der skal til hvert system defineres en systemeejer, der har det overordnede ansvar for sikkerheden i systemet. Systemejer vil også være dataejer i egen organisatorisk enhed. Systemejeren bør være en chef/leder på niveau 2 eller 3. Ansvar for sikkerheden på IT-platforme Lederen af Center for IT & Digitalisering er ansvarlig for sikkerheden på de anvendte servere. Ændringer skal fastlægges og implementeres i samråd med system- og dataejere. Ændring på og af systemer Ejere af data på mobile enheder Brugere af kommunens bærbare PC'ere og andre mobile enheder er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv. Ansvar for adgangsrettigheder System- og dataejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder. Side 4 af 30

7 Administration af internet-domænenavne Ansvaret for registrering af domænenavne ligger hos Center for Erhverv & Udvikling. Tilknytning af domænenavne til IP-adresser og registrering af sammehæng mellem IP-adresse og Domænenavn på DNS-servere, foretages af Center for IT & Digitalisering. 3.3 Adfærdsregler Adfærdsregler for brug af internet Anvendelse af internettet I Faxe Kommune anvendes internetadgangen i arbejdsmæssig sammenhæng. Det er dog også tilladt at anvende denne adgang privat i begrænset omfang og til lovlige og legale formål og således at det ikke indebærer en overtrædelse af gældende lovgivning eller belaster nettet uforholdsmæssigt meget. Almindelig god etik og moral skal efterleves. Dette gælder alle arbejdspladser med adgang til kommunens administrative net og skolernes net herunder hjemmearbejdspladser. Center for IT & Digitalisering har indbygget en spærring i adgangen til internetsider, der er identificeret som højrisikoområder ( indeholdende virus o.l.). Afvikling af programmer i forbindelse med Internetsurfing Det er tilladt at afvikle browserbaserede programmer, f.eks. netbankprogrammer, forudsat at sikkerhedspolitikken i øvrigt overholdes. Brug af messenger-programmer Center for IT & Digitalisering kan give tilladelse til visse messengerprogrammer. Disse vil være tilgængelige i Capa Installers softwarekatalog, der findes på alle PC'ere. Installering af software på standard-pc Download af programmer fra internettet Det er ikke tilladt at hente programmer fra internettet, medmindre det er relateret til løsning af arbejdsopgaver og godkendt af Center for IT & Digitalisering. Installering af software på standard-pc Adfærdsregler for brug af Ejerskab Kommunen betragter alle s som kommunens ejendom. Side 5 af 30

8 Medarbejderes private brug af kommunens e- mailsystem I Faxe Kommune anvendes kommunens system i arbejdsmæssig sammenhæng. Det er dog også tilladt at anvende dette privat i begrænset omfang og til lovlige og legale formål og således at det ikke indebærer en overtrædelse af gældende lovgivning eller belaster nettet uforholdsmæssigt meget. Almindelig god etik og moral skal efterleves. Dette gælder alle arbejdspladser med adgang til kommunens administrative net herunder hjemmearbejdspladser. Medarbejdere skal markere private s med teksten 'privat' i emnefeltet, eller alternativt gemme private mails i en folder hvor teksten 'privat' indgår i folderens navn. Faxe Kommune har ret til at skaffe sig adgang til alle data herunder s, hvis dette sker af drifts- eller sikkerhedshensyn. Faxe Kommune vil så vidt muligt forsøge at undgå at åbne eventuel privat korrespondance. Kommunen tillader ikke, at medarbejdere anvender kryptering og Faxe Kommunes digitale signatur til at sende privat . Faxe Kommune har ret til at skaffe sig adgang til alle data herunder e- mails, hvis dette sker af drifts- eller sikkerhedshensyn. Faxe Kommune vil så vidt muligt forsøge at undgå at åbne eventuel privat korrespondance. Kommunen tillader ikke, at medarbejdere anvender kryptering og Faxe Kommunes digitale signatur til at sende privat . Mails indeholdende personoplysninger og fortrolige data. , indeholdende personoplysninger og/eller fortrolige data, der sendes "ud af huset" skal sendes "sikkert", dvs krypteres og forsynes med digital signatur. Ved "ud af huset" forstås til andre modtagere Elektronisk udveksling af post og dokumenter - bevisværdi. s som af bevismæssige årsager kræver underskrift skal afsendes/modtages med digital signatur. Sikker Opbevaring og sletning af , der indeholder personhenførbare oplysninger, skal behandles i overensstemmelse med persondatalovens bestemmelser omkring sletning og arkivering. der indeholder personhenførbare oplysninger, skal gemmes i Faxe Kommunes ESDH-system. Phishing og bedrageri Medarbejderne skal være opmærksomme på "phishing" og "social engineering", der f.eks. kan betyde, at de tilsyneladende modtager oprigtige s, der forsøger at franarre personlige eller fortrolige oplysninger eller forsøger at få medarbejderne til at foretage uønskede handlinger. Vær især opmærksom på mails som indeholder links til hjemmesider, hvor du f.eks. skal afgive bruger-id og password. Side 6 af 30

9 3.3.3 Adfærdsregler for trådløse netværk Installation af trådløst netværksudstyr Medarbejdere må ikke installere eller tage udstyr i brug, der giver trådløs netadgang. Evt. etablering af trådløse adgang, kan alene ske via Center for IT & Digitalisering. 3.4 Klassifikation af informationer og data Klassifikation Klassifikation af systemer Center for Økonomi & HR har ansvaret for, at der foreligger en klassifikation af informationer som ramme for at identificere særligt følsomme oplysninger. Center for Økonomi & HR kan sammen med Center for IT & Digitalisering fastlægge særlige retningslinjer for beskyttelse af sådanne informationer ud over retningslinjerne i denne politik, hvis behovet tilsiger det. 4 Medarbejdersikkerhed Informationssikkerheden i Faxe Kommune afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre Faxe Kommune gennem ansættelse af de rigtige medarbejdere. Medarbejdere skal introduceres til informationssikkerhed i relation til deres jobfunktion, og modtage nødvendige informationer. Endvidere er det nødvendigt med regler der beskriver sikkerhedsforhold når et ansættelsesforhold slutter. 4.1 Sikkerhedsprocedure før ansættelse Tavshedserklæring ved ansættelse Center for Økonomi & HR, sikrer at der foreligger en forretningsgang for afgivelse af tavshedserklæring, som afspejler kommunens krav til behandling af fortrolige data og personoplysninger. Tavshedserklæring Baggrundscheck af ansatte Chefen for Center for IT & Digitalisering skal tilse, at der foretages et forsvarligt baggrundscheck af it-medarbejdere. 4.2 Ansættelsesforholdet Instruktion af medarbejdere Lederen har ansvar for, at alle nye medarbejdere på første arbejdsdag får adgang til kommunens informationssikkerhedspolitik. Uddannelse i informationssikkerhedspolitikken Center for Økonomi & HR og Center for IT & Digitalisering sikrer, at alle medarbejdere tilbydes de nødvendige informationer og har mulighed for løbende at få opdateret viden om informationssikkerheden. Det sker bl.a. via Intranettet og SecureAwares Informations sikkerhedsportal. Side 7 af 30

10 4.3 Ansættelsens ophør Returnering af aktiver ved fratrædelse Lederen skal sikre, at medarbejderen afleverer alle de af kommunen udleverede aktiver til lederen ved samarbejdets ophør. Center for IT & Digitalisering registrerer, i "personalemappen" i Faxe Kommunes lønsystem, de udleverede aktiver til den enkelte medarbejder, samt aflevering heraf. Inddragelse af adgange ved fratrædelse I forbindelse med en medarbejders fratrædelse skal, nærmeste leder sikre at vedkommendes adgang til data inddrages. I forbindelse med tjenestefritagelse skal den ansvarlige leder foretage en konkret vurdering af om adgangen til data skal inddrages. I tilfælde, hvor det skønnes nødvendigt, skal indragelsen ske øjeblikkeligt. I forbindelse med en medarbejders fratrædelse slettes i dennes inbox og data på netværksdrev, efter 3 måneder, med mindre andet aftales med pågældende medarbejders nærmeste leder/chef. 5 Fysisk sikkerhed Fysisk sikkerhed og adgangsregler for gæster er naturlige elementer i kommunens informationssikkerhedspolitik. Fysisk sikkerhed omfatter blandt andet døre, vinduer, alarmer - samt tyverisikring af kommunens fysiske aktiver, eksempelvis it-udstyr. Systemer til adgangskontrol er ligeledes et element af fysisk sikkerhed, der sikrer at kun personer med legalt ærinde får adgang til kommunens område. 5.1 Sikre områder Adgang til serverrum og hovedkrydsfelter Chefen for Center for IT & Digitalisering er ansvarlig for godkendelse af personale med adgang til serverrum. Aflåsning af hovedkrydsfelter og lignende teknikrum Alle krydsfelter og andre teknikrum skal være aflåste. Indbrudsalarmer Center for Ejendomme sikrer at der anvendes tilstrækkelige alarmsystemer i lokaler, der kan indeholde fortrolige data og personoplysninger. Alarmer i lokaler med fortrolige oplysninger Oplysninger om sikre områder Oplysninger om rum med servere og/eller krydsfelter og deres funktion skal alene gives ud fra et arbejdsbetinget behov. Miljømæssig sikring af serverrum Chefen for Center for IT & Digitalisering tilser at Serverrum, krydsfelter og tilsvarende områder, på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger. Side 8 af 30

11 Aflåsning af lokaler og bygninger Medarbejderen skal sikre sig at alle vinduer og døre er låst forsvarligt, når lokationen forlades. Ansvar for den fysiske adgangskontrol De enkelte ledere i de organisatoriske enheder har ansvaret for administration af den fysiske adgangskontrol i egne bygninger, f.eks. nøgleadministration til kontorer og it-områder. Center for Ejendomme, har ansvaret for den fysiske adgangskontrol i de centrale administrationsbygninger. Center for Ejendomme skal via procedurer sikre kontrollen med ud- og aflevering af nøgler, alarmbrikker og lign. adgangskontrolsystemer. Nøgler og nøglebrikker 5.2 Beskyttelse af udstyr Placering af udstyr Medarbejderen skal sikre sig at udstyr placeres eller beskyttes, så risikoen for skader og uautoriseret adgang minimeres. Medarbejderen skal sikre sig at udstyr, der benyttes til at behandle fortrolige og personhenførbare informationer, placeres så informationerne ikke kan ses af uvedkommende. Sikkerhed omkring fysiske print Den enkelte medarbejder har ansvaret for at sikre, at der ikke efterlades fortrolige eller personfølsomme oplysninger på offentligt tilgængelige steder, herunder i printerrum mv. Dette præciseres i bl.a. printerstrategien. Udskrivning af følsomme dokumenter Adgang til mobile enheder Brugere af mobile enheder, skal sikre at disse er beskyttet med adgangskode. Center for IT & Digitalisering sikrer, at BIOS-konfiguration på mobile enheder, der er udleveret af centeret, er beskyttet med adgangskode. Mobile enheder skal anvende kryptering. Forsikringsdækning for mobile enheder Center for Økonomi & HR skal sikre, at der er etableret passende forsikringsdækning i forbindelse med opbevaring og anvendelse af ITudstyr uden for arbejdspladsen. Center for IT & Digitalisering og de organisatoriske enheder skal oplyse forsikringsenheden om ændringer i bestanden af IT-udstyr.Center for IT & Digitalisering er ansvarlig for at registrere følgende enheder: Ipads/tablets, mobiltelefoner, bærbare/stationære computere samt skærme. De er også ansvarlige for at afmelde ikke anvendt udstyr. Opsyn med mobile enheder Medarbejderen skal sikre sig at mobile enheder opbevares forsvarligt under tilstrækkeligt opsyn. Side 9 af 30

12 Fysisk sikring af netværk Center for IT & Digitalisering sikrer at krydsfelter og kabeltermineringer er sikret mod uautoriseret adgang. Center for IT & Digitalisering skal regelmæssigt kontrollere, om uautoriseret udstyr er blevet tilkoblet. Forsyningssikkerhed Chefen for Center for IT & Digitalisering har ansvaret for, at alle forsyninger som elektricitet, ventilation og køling har den fornødne kapacitet i rum med servere og krydsfelter, og løbende inspiceres for at forebygge uheld, der kan have indflydelse på informationsaktiverne. Chefen for Center for IT & Digitalisering har ansvaret for, at alle Data-og telekommunikationsforbindelser etableres via minimum to adgangsveje for forretningskritiske systemer. Tyverimærkning af it-udstyr Center for Økonomi & HR sikrer at der forefindes mærkningsudstyr til tyverisikring. Center for IT & Digitalisering sikrer at udstyr er tydeligt mærket, for at minimere risikoen for tyveri. Vedligeholdelse af udstyr og anlæg Center for IT & Digitalisering er ansvarlig for, at kun godkendte serviceleverandører udføre reparationer og vedligeholdelse. Center for IT & Digitalisering er ansvarlig for, at fortrolige data og personoplysninger slettes fra udstyr, der repareres eller vedligeholdes uden for kommunen. Det samme gælder ved salg af udstyr. Center for IT & Digitalisering er ansvarlig for, at der føres log over alle fejl og mangler samt reparationer og forbyggende vedligeholdelse. Center for IT & Digitalisering er ansvarlig for, at brugerkonti, der giver fjernadgang til vedligeholdelse, slettes eller deaktiveres, så snart de ikke længere er nødvendige. Brandsikring Chefen for Center for IT & Digitalisering er ansvarlig for, at serverrum sikres med veldimensioneret brandslukningsudstyr. Chefen for Center for IT & Digitalisering er ansvarlig for, at serverrum ikke benyttes som lager for brændbare materialer. Nødstrømsanlæg Chefen for Center for IT & Digitalisering er ansvarlig for, at alle serversystemer beskyttes med nødstrømsanlæg til at sikre hurtig og korrekt systemnedlukning i tilfælde af strømudfald. 6 Styring af netværk og drift Vedligeholdelse og opdatering af it-systemer er nødvendigt for at opretholde et passende sikkerhedsniveau for Faxe Kommune. Drift af it-systemer inkluderer elementer af overvågning af systemernes helbredstilstand, opdatering og sikkerhedskopiering af data. De fleste it-systemer i dag er afhængige af netværk, og derfor er administration, opbygning, sikring og vedligehold af netværk vitalt for Faxe Kommune. Den trussel som uautoriseret adgang indebærer, gør det nødvendigt med klare regler for brugen af Faxe Kommunes netværk, samt overvågning af infrastrukturen. Side 10 af 30

13 6.1 Operationelle procedurer og ansvarsområder Driftsafvikling Driftsafviklingsprocedurer Driftsafviklingsprocedurer for forretningskritiske systemer skal være dokumenterede, ajourførte og tilgængelige for driftsmedarbejderne i Center for IT & Digitalisering og andre med et arbejdsbetinget behov. Driftsafviklingsprocedurerne skal være i overensstemmelse med gældende regulering og lovgivning. Det påhviler systemejere, at sikre sig, at Center for IT & Digitalisering er i besiddelse af nødvendig dokumentation, til at sikre stabil systemdrift. Driftsansvar Center for IT & Digitalisering er ansvarlig for drift og administration af fælles it-systemer, samt fagspecifikke systemer, når dette er aftalt med systemejeren. Center for IT & Digitalisering er ansvarlig for disses sikkerhed, hvilket inkluderer efterlevelse af informationssikkerhedspolitikken inkl. regler og procedurer. Dokumentation Center for IT & Digitalisering, skal i samarbejde med systemejerne løbende vurdere dokumentationsbehov for alle væsentlige systemer og it-relaterede forretningsgange. Indkaldelse af medarbejdere i vagtordning og ekstra personale Chefen for Center for IT & Digitalisering, skal sikre, at der i tilfælde af behov for ekstraordinær drift, ved driftsforstyrrelser, sikkerhedshændelser og lignende, forefindes retningslinjer for tilkald af ekstra personale. Deaktivering af beskyttelsesmekanismer Det er under ingen omstændigheder tilladt at deaktivere eller omgå kommunens beskyttelsesmekanismer, herunder anti-virus produkter Styring af ændringer Retningslinier for ændringer Ændringer skal kun gennemføres, når de er forretningsmæssigt velbegrundede. Systemejeren har ansvaret for, at der foregår en entydig identifikation og registrering af væsentlige ændringer. Center for IT & Digitalisering er i forbindelse med generelle og grundlæggende systemer systemejer. Information omkring udførte ændringer skal formidles til interessenter. Center for IT & Digitalisering og systemejeren har ansvaret for, at der findes en nødprocedure til at mindske effekten af fejlslagne ændringer. Ændring på og af systemer Installation af programmer på arbejdsstationer Medarbejdere må installere programmer på kommunens arbejdsstationer forudsat at Center for IT & Digitalisering har godkendt programmet og leverandøren. Operativsystemer må kun installeres og ændres af Center for IT & Digitalisering. Side 11 af 30

14 Planlægning, test og godkendelse af ændringer Ændringer skal planlægges og afprøves inden de sættes i drift. Ændringernes konsekvenser skal vurderes inden drift. Krav til indstillinger af internet-browser Internetbrowseren skal opsættes ifølge informationssikkerhedspolitikken. Medarbejderne må ikke ændre denne opsætning. Ændringer i forretningskritiske systemer Center for IT & Digitalisering sikrer at alle ændringer i forretningsskritiske systemer udføres efter godkendt procedure. Alle procedurer skal indeholde en alternativ plan til retablering af det forretningsskritiske system. Vilkårene for aktivering af den alternative plan skal ligeledes fremgå af proceduren. Ændring på og af systemer Sikring af serversystemer Center for IT & Digitalisering sikrer at alle sikkerhedsparametre i samtlige serversystemer, konfigureres optimalt for at forhindre misbrug. Forbudte og tilladte programmer Center for IT & Digitalisering skal vedligeholde en liste over tilladte programmer. Listen fremgår af Capa Installer's Softwarekatalog. Softwareopdateringer generelt Center for IT & Digitalisering skal forestå installation af alle større programrettelser i basisprogrammel og i generelle programmer, når det vurderes, at disse har positiv indflydelse på den samlede sikkerhed. Programrettelser til fagspecifikke systemer initieres af systemejer og godkendes af Center for IT & Digitalisering Funktionsadskillelse Adgang til produktionsdata Chefen for Center for IT & Digitalisering sikrer at systemadministratorers adgang til fortrolige data og personoplysninger begrænses og registreres. Chefen for Center for IT & Digitalisering sikrer at systemadministratorers adgang til fortrolige oplysninger begrænses. Sikring af forretningskritiske systemer Autorisation af en medarbejder til systemer kan kun ske ved en dokumenteret anmodning af dennes leder og følger gældende brugeroprettelsesprocedure. Brugeradministration Brugeradministration for systemadministratorer Adskillelse mellem udvikling, test og drift Adskillelse af udvikling, test og drift Chefen for Center for IT & Digitalisering sikrer at der er en funktionsadskillelse mellem udviklings-, test- og driftsmiljøet. Side 12 af 30

15 6.2 Ekstern serviceleverandør Overvågning af serviceleverandøren Center for IT & Digitalisering skal regelmæssigt overvåge serviceleverandørerne, gennemgå de aftalte rapporter og logninger samt udføre egentlige revisioner for at sikre, at aftalen overholdes, og at sikkerhedshændelser og -problemer håndteres på betryggende vis. Driftovervågning Netværksleverandøren skal kunne levere: De nødvendige teknologiske muligheder for autentifikation, kryptering og overvågning. De nødvendige tekniske opsætninger til at sikre opkoblinger i overensstemmelse med samarbejdsaftalen. Adgangskontrol, der sikrer mod uvedkommendes adgang. 6.3 Styring af driftsmiljøet Sikkerhed i systemplanlægning Informationssikkerhedspolitikken skal tages i betragtning ved design, aftestning, implementering og opgradering af nye it-systemer samt ved systemændringer. Kapacitetsplanlægning Driftsafdelingen i Center for IT & Digitalisering skal have procedurer, der minimerer risikoen for driftsstop som følge af manglende kapacitet. It-systemernes dimensionering skal afpasses efter kapacitetskrav. Belastning skal overvåges således at opgradering og tilpasning kan finde sted løbende. Dette gælder især for forretningskritiske systemer. Integration af informationssystemer Hvis integration af informationssystemer resulterer i en forøget risiko, skal denne vurderes og godkendes af chefen for Center for IT & Digitalisering inden ibrugtagning. 6.4 Skadevoldende programmer og mobil kode Antivirus-produkter på arbejdsstationer Center for IT & Digitalisering sikrer at der anvendes minimum to antivirusprodukter fra forskellige leverandører. Ét på mail-indgangene til kommunen og et andet på samtlige computere i kommunen. Opdatering skal ske minimum ugentligt. Kontrol af antivirus på arbejdsstationer Medarbejdere kan antage, at antivirus fungerer. Det er alene Center for IT & Digitaliserings ansvar at kontrollere korrekt funktion. Spyware Center for IT & Digitalisering skal sikre, at der regelmæssigt scannes for spyware på alle arbejdsstationer. Adware Center for IT & Digitalisering skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer. Side 13 af 30

16 Antivirus-produkter på servere Der skal være installeret antivirus-beskyttelse på alle serversystemer, hvor dette er muligt. Styring af antivirus Center for IT & Digitalisering skal kunne styre antivirus på alle systemer centralt. Med styring menes overvågning af, om alle antivirusprogrammer er aktivt kørende, tvungen opdatering, scanning, oprydning og generering af opfølgningslog. 6.5 Sikkerhedskopiering Sikkerhedskopiering af data på serversystemer Center for IT & Digitalisering er ansvarlig for opbevaring og sikkerhedskopiering af data på alle serversystemer. Sikkerhedskopiering af data på andre systemer Såfremt forretningskritiske data ikke opbevares på Faxe Kommunes serversystemer, er systemejer ansvarlig for etablering af relevant sikkerhedskopiering. Opbevaring af sikkerhedskopier på ekstern lokation Data til reetablering af forretningskritiske systemer skal opbevares i separate brandzoner. 6.6 Netværkssikkerhed Kablede netværk og netværk i almindelighed Sikring af netværk Center for IT & Digitalisering har det overordnede ansvar for at beskytte kommunens netværk. Adgang til aktive netværksstik Adgang til aktive netværksstik skal styres af Center for IT & Digitalisering. Installation af netværksudstyr Det er kun Center for IT & Digitalisering, der må installere netværksudstyr. Tilslutning af udstyr til netværk Medarbejdere må koble godkendt udstyr på det interne netværk uden yderligere aftale. Fjernstyring og administration Værktøjer til fjernadministration tillades for Center for IT & Digitalisering. Fjernadgang til brug for leverandører og support etableres og godkendes af Center for IT & Digitalisering. Værktøjer til fjernadministration tillades, hvis adgangen er krypteret ved hjælp af teknologier såsom SSH, VPN, eller SSL/TLS. Opdeling af netværk Center for IT & Digitalisering skal segmentere netværk for at etablere en passende adskillelse imellem forskellige tjenester, brugergrupper eller systemer. Mindste krav til netværkssegmentering er at Center for IT & Digitalisering etablerer en "demilitariseret zone" (DMZ) hvor offentligt tilgængelige servere placeres adskilt fra internt tilgængelige servere. Side 14 af 30

17 Kryptering af administrative netværksforbindelser Forbindelser, der benyttes til it-administration, skal krypteres, hvis de benytter offentlige eller usikre netværk, f.eks. internettet. Firewall-funktioner på servere Alle servere skal være beskyttet af firewall til at sikre, at der kun gives adgang til nødvendige services. Personlige firewalls Der skal benyttes firewalls på alle pc-arbejdspladser, som har adgang til Faxe Kommunes netværk Trådløse netværk Brug af trådløse lokalnetværk Det er tilladt at koble sig op på trådløse netværk, på hoteller mv. men ikke selv at installere udstyr som skaber et trådløst netværk. Adgang til trådløse netværk Medarbejdere skal autentificeres ved hjælp af et certifikat, før der gives adgang til kommunens trådløse netværk,f.eks. ved hjælp af IEEE 802.1x. Trådløse netværk for gæster Kommunen kan tilbyde trådløs netværkstjeneste som gæsteadgang. Adgang til trådløse netværk for gæster Gæster, hvis identitet er kendt, må få udleveret adgangskode til gæstenettet. Gæster, hvis identitet er kendt, må tilslutte eget udstyr til gæstenettet, forudsat at udstyret ikke generer andre systemer. Center for IT & Digitalisering skal skifte gæstenettets adgangskode hvert kvartal. Gæsters brug af kommunens trådløse netværk Netværket kan og må kun anvendes til internetadgang, og ikke til direkte adgang til interne systemer. Gæster får adgang til gæstenettet ved hjælp af en delt adgangskode Forbindelser med andre netværk Ansvar for internetforbindelser Det overordnede ansvar for internetforbindelserne ligger hos Center for IT & Digitalisering Adgang fra distancearbejdsplads Adgang gives kun for medarbejdere, der er autentificerede med brugernavn og adgangskode. 6.7 Databærende medier Side 15 af 30

18 Afskaffelse og genbrug af medier Center for IT & Digitalisering er ansvarlig for, at datamedier, som f.eks. harddiske, disketter, cd'er, dvd'er, bånd og hukommelsesenheder der indleveres til Servicedesk, sikkerhedsslettes eller destrueres inden bortskaffelse. Hvis enheder ikke indleveres til Servicedesk, påhviler det medarbejderen, at sikre sig, at enhederne er sikkerhedsslettet inden bortskaffelse. Sletning skal foregå i overensstemmelse med proceduren for sikkerhedssletning. Hvis en ekstern leverandør benyttes til destruktion af virksomhedens datamedier, skal det sikres at leverandøren efterlever de aftalte sikkerhedskrav. Databærende medier Beskyttelse af følsomme og fortrolige data på datamedier Center for IT & Digitalisering skal etablere procedurer, der sikrer datamediers indhold mod uautoriseret adgang og misbrug af mediernes indhold. Krypteret USB-stick Krypteret mappe på pc'ens skrivebord Opbevaring og registrering af datamedier Systemejer skal sikre, at brugere er instrueret i at opbevare mediet i henhold til gældende procedurer. Databærende medier Beskyttelse af systemdokumentation Systemejer skal opbevare systemdokumentation i Faxe Kommunes ESDH-system. Afskaffelse eller genbrug af udstyr Når udstyr bortskaffes eller genbruges skal fortrolige data, personoplysninger og licensbelagte systemer overskrives. 6.8 Informationsudveksling Aftaler om informationsudveksling Center for IT & Digitalisering sikrer at der ved udveksling af information og software imellem kommunen og evt. tredje part foreligger en aftale herom. Spam-mail beskyttelse Center for IT & Digitalisering sørger for at s der opfylder Faxe Kommunes kriterier for spam-mails bortfiltreres. Medarbejderne skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis mailadresser, samt i forbindelse med modtagelsen af uønskede s. Side 16 af 30

19 Brug af kryptering i forbindelse med dataudveksling Adgangskoder skal sendes krypteret. Det kræves, at og data, der indeholder fortrolige informationer og personoplysninger, altid er krypteret under transmission. Det kræves, at der benyttes kryptering, når personhenførbare oplysninger transmitteres. Brug af kryptering i forbindelse med opbevaring af data Fortrolige data og personoplysninger skal altid være krypterede, når de opbevares på transportabelt udstyr, f.eks. på bærbare og håndholdte computere. 6.9 Logning og overvågning Kapacitetsovervågning Center for IT & Digitalisering sikrer sig at alle serversystemer overvåges i almindelig arbejdstid for tilstrækkelig kapacitet, for at sikre pålidelig drift og tilgængelighed. Større afvigelser fra normalkapacitet skal registreres og håndteres som en hændelse. Driftovervågning Registrering af driftsstatus Center for IT & Digitalisering skal registrere væsentlige forstyrrelser og uregelmæssigheder i driften af Kommunens systemer samt årsager hertil. Medarbejdere, der påvirkes af disse skal informeres om det og om hvornår man forventer, at driften er stabil igen. Overvågning af netværk Center for IT & Digitalisering skal have den nødvendige viden og redskaber til overvågning af Faxe Kommunes netværk, for eksempel til fejlretning samt detektering og sporing af sikkerhedshændelser. Center for IT & Digitalisering er ansvarlig for at overvåge brugen og sikkerheden af virksomhedens netværksinfrastruktur. Center for IT & Digitalisering er ligeledes ansvarlig for identificering, diagnosticering, løsning og rapportering af hændelser, samt for samarbejde med andre interessenter. Overvågning af internet-brug Center for IT & Digitalisering har mulighed for at logge den enkelte medarbejders anvendelse af internettet. Center for IT & Digitalisering har mulighed for at filtrere og begrænse internetadgang. Overvågning af tilgængelighed Center for IT & Digitalisering skal løbende overvåge alle forretningskritiske it-systemer og regelmæssigt dokumentere systemernes tilgængelighed. Driftovervågning Side 17 af 30

20 Opfølgningslogning Center for IT & Digitalisering skal logge sikkerhedshændelser på Faxe Kommuns væsentlige systemer. Center for IT & Digitalisering skal logge fejlhændelser på Faxe Kommunes væsentlige systemer. Administratorlog Aktiviteter udført af systemadministratorer- og operatører samt andre med særlige rettigheder skal logges, dette gælder også i forbindelse med systemkomponenter. Fejllog Fejl skal logges og analyseres, og nødvendige udbedringer og modforholdsregler skal gennemføres. Beskyttelse af log-oplysninger Kun personer, hvis arbejde kræver dette, må tillades adgang til logs. Sikkerhedslogning Alle produktionssystemer skal logge information om adgang, forsøg på adgang og alle anvendelser af personoplysninger, for at kunne spore uautoriseret aktivitet, herunder uberettiget anvendelse af personoplysninger. Loggen indeholder information om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen opbevares som udgangspunkt i 6 måneder, hvorpå den slettes, medmindre særlige forhold taler for at opbevare loggen i op til 5 år. Logfiler skal regelmæssigt gennemgås af relevante ledere. 7 Adgangsstyring Adgangen til at udføre handlinger på Faxe Kommunes it-systemer beskyttes af autorisationssystemer. Systemerne har til formål at sikre mod uautoriserede ændringer, ordrer, fejl og svindel. Faxe Kommunes medarbejdere er medvirkende til beskyttelse af informationsaktiverne gennem korrekt brug af autorisationssystemerne. 7.1 De forvaltningsmæssige krav til adgangsstyring Sikker log-on Center for IT & Digitalisering sikrer, at systemadgang beskyttes af en sikker log-on-procedure. Retningslinjer for adgangsstyring Center for IT & Digitalisering sikrer, at der foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret tre på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg i 30 min. Ved adgangs blokering kontakter Center for IT & Digitalisering brugeren med henblik på at identificere om hvorvidt der alene er tale om en fejl fra brugerens side eller om der reelt er tale om forsøg på uautoriseret adgang til pågældende system. Side 18 af 30

21 Registrering af brugere Medarbejderne skal have unikt brugernavn og bruger-id. Der tillades ikke fælleslogin.systemejer skal autorisere brugeradgang.serviceleverandører skal anvende tilsvarende eller samme autorisationsprocedure som kommunens.systemejer har ansvaret for, at der vedligeholdes en brugerfortegnelse for systemet.center for Økonomi & HR tilser, at der findes procedure for at brugere eller brugeres rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion. Autorisation Brugerprofiler for konsulenter og deltidsansatte Deltidsansatte, vikarer, timelønnede eller eksterne konsulenter, herunder ifm. revisions-, drifts- og systemkritiske opgaver, må oprettes som brugere. Autorisation af brugeradgang følger proceduren for autorisation. Ophører ansættelses- og aftaleforholdet inddrages autorisationer og systemadgange lukkes øjeblikkeligt ligesom brugerprofilen nedlægges. Identifikation af brugerprofiler for eksterne brugere Bruger-ID skal udarbejdes efter en standard-navnekonvention. Dette gælder også for gæster, konsulenter og lignende således, at disse let kan identificeres. Standard kodeord og standard bruger-id'er må ikke anvendes på kommunens systemer. Disse skal ændres eller slettes. Medarbejderes omplacering Ved omplacering af medarbejdere skal alle rettigheder for pågældende bruger revurderes. Fratrædelse Når ansættelse eller midlertidige kontrakter ophæves, skal alle tilknyttede rettigheder trækkes tilbage. ID-kort og lignende skal afleveres, og ITudstyr skal inddrages inden sidste løn udbetales. Indenfor 2 uger efter fratrædelse skal systemejer meddele Center for IT & Digitalisering om kontoen kan lukkes. Autorisation Gennemgang af brugerprofiler Alle brugerprofiler og tilknyttede autorisationer skal gennemgås af systemejeren mindst en gang halvårligt for at identificere inaktive profiler eller tilsvarende, der skal fjernes eller ændres. Autorisation 7.2 Administration af brugeradgang Side 19 af 30

22 Retningslinjer for adgangskoder Ved brugeroprettelse eller nulstilling af adgangskode skal brugere tildeles en sikker, midlertidig adgangskode, som skal ændres umiddelbart efter første anvendelse. Center for IT & Digitalisering skal etablere og vedligeholde en procedure for, hvordan en brugers identitet fastlægges, før en ny midlertidig adgangskode må udleveres. Midlertidige adgangskoder skal være unikke, må ikke genbruges og skal opfylde de almindelige krav til adgangskoder. En bruger må som minimum ikke kunne vælge en adgangskode, der er identisk med én af de 24 senest benyttede adgangskoder. Krav til skift af adgangskode Adgangskoder skal skiftes efter højst 90 dage. Krav til indhold af adgangskode Adgangskoder skal indeholde kombinationer fra mindst tre af følgende kategorier: store bogstaver, små bogstaver, tal og specialtegn. Der må ikke benyttes brugernavn, navn eller datoer som en del af adgangskoden. Krav til længde af adgangskode Adgangskoder skal indeholde mindst 8 tegn. 7.3 Brugerens ansvar Adgangskoder er strengt personlige Adgangskoder er strengt personlige og må ikke deles med andre. Overdragelse af adgangskode Som udgangspunkt er det ikke tilladt at overdrage kodeord. Servicedesk må dog i forbindelse med nulstilling af kodeord overdrage det midlertidige kodeord telefonisk (som ændres ved første log-in). Brug af autologin funktioner Automatisk login eller systemer, hvor adgangskoder gemmes i genveje eller på funktionstaster, må ikke benyttes. På eksterne websites må browserens indbyggede funktion anvendes, såfremt denne er beskyttet med adgangskode. Valg af sikre adgangskoder Det er medarbejderens ansvar at vælge tilstrækkeligt sikre adgangskoder i adgangskontrolsystemerne. Brug af adgangskodebeskyttet pauseskærm Medarbejdere skal aktivere adgangskodebeskyttet skærmlås, når arbejdsstationen forlades og den er uden for synsvidde. Adgangskodebeskyttet skærmlås skal aktiveres på pc-arbejdspladser efter 10 minutters inaktivitet. Genbrug af adgangskode Det er ikke tilladt at benytte den samme adgangskode på interne og eksterne systemer. Side 20 af 30

23 7.4 Styring af netværksadgang Autentificering ved adgang til netværket Center for IT & Digitalisering sikrer, at fjernadgang til det interne netværk, beskyttes ved hjælp af VPN med individuelle certifikater. 7.5 Styring af systemadgang Begrænset netværkstid Center for IT & Digitalisering sikrer, at brugersystemer med særlig høj risiko, skal kræve fornyet autentifikation med fastlagte intervaller. Udvidede adgangsrettigheder Center for IT & Digitalisering sikrer, at udvidede adgangsrettigheder kun tildeles i begrænset omfang og alene ud fra et arbejdsbetinget behov. Center for IT & Digitalisering sikrer, at udvidede adgangsrettigheder registreres. Center for IT & Digitalisering sikrer, at udvidede adgangsrettigheder ikke sættes i kraft, før den fornødne autorisation er indhentet. Autorisation Skift af administratoradgangskode ved fratrædelse Chefen for Center for IT & Digitalisering sikrer at, hvis en person med kendskab til administrative adgangskoder fratræder, ændres disse adgangskoder med det samme. Ændring af administrative adgangskoder Chefen for Center for IT & Digitalisering sikrer, at administrative adgangskoder følger samme minimumsregler som øvrige adgangskoder. Chefen for Center for IT & Digitalisering sikrer, at administrative adgangskoder ændres hvis udenforstående får kendskab til disse. Administration af arbejdsstationer Medarbejdere må ikke have administratorrettigheder på de arbejdsstationer, de benytter. Dispensation gives kun af chef for Center for IT & Digitalisering. 7.6 Styring af adgang til brugersystemer og informationer Adgangsbegrænsning til informationer Systemejere er ansvarlige for at applikationssystemer har adgangskontrol implementeret, for at hindre uautoriseret adgang til data og funktionalitet jvf. politik defineret af systemejere. Detailopsætning og specificering, afhænger af form og indhold af data. Begrænset adgang til informationer Systemejer sikrer sig at brugere og medarbejdere med supportfunktioner kun får adgang til systemfunktioner og informationer, hvis dette er forretningsmæssigt begrundet. Side 21 af 30

24 7.7 Mobilt udstyr og fjernarbejdspladser Fortrolige data på mobile enheder Den sikkerhedsansvarlige direktør kan tillade, at der må opbevares fortrolige data og personoplyninger på mobile enheder, under forudsætning af, at informationssikkerhedspolitikken forskrifter overholdes. Hjemmearbejdspladser Den sikkerhedsansvarlige direktør kan tillade, at der gives adgang til kommunens interne netværk, fra hjemmearbejds- eller fjernarbejdspladser, når informationssikkerhedspolitikken i øvrigt overholdes. Adgang til data på kommunens netværk Medarbejdere er ansvarlige for, at der ved fjernadgang til data på Faxe Kommunes netværk, kun gemmes data på lokale harddiske eller andre eksterne medier, hvis data er beskyttet efter informationssikkerhedspolitikken. Adgang til applikationer på kommunens netværk Der gives kun adgang til systemer på internt netværk, som er sikkerhedsgodkendt. Opbevaring af fortrolige data og personoplysninger på privat pc m.v. Medarbejdere er ansvarlige for, at der ikke behandles eller opbevares fortrolige data og/eller personoplysninger på andet udstyr end udstyr tilhørende Faxe Kommune. Medarbejdere er ansvarlige for at der på personligt ejet it-udstyr som pc, PDA, bærbare harddiske, memorysticks, MP3-afspillere, minidisks, cdeller dvd-brændere ikke anvendes til kopiering eller opbevaring af fortrolige data. Brug af bærbare medier til fortrolige data Brugerne er ansvarlige for at fortrolige data og personoplysninger krypteres når de opbevares eller transporteres på bærbare medier, f.eks. USB-hukommelse, PDA'er, cd'er, dvd'er eller disketter. Center for IT & Digitalisering stiller krypteringsmekanismer til rådighed. Sikkerhedskontroller for fjernopkoblet udstyr Center for IT & Digitalisering sikrer, at mobile enheder sikres med antivirus, firewall og adgangskontrolsystemer. Center for IT & Digitalisering sikrer, at disse foranstaltninger opdateres løbende. 8 Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Indkøb, udvikling og implementering af nye systemer i Faxe Kommune skal foregå kontrolleret for at undgå en unødvendig forøgelse af risiko for informationssikkerheden. Når løsninger implementeres bør informationssikkerhedsovervejelser altid indgå som en integreret del af processen. 8.1 Sikkerhedskrav til informationsbehandlingssystemer Side 22 af 30

25 Anskaffelsesprocedurer Det påhviler rekvirenten at sikre, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i informationssikkerhedspolitikken. Nyanskaffelser skal godkendes af Center for IT & Digitalisering inden ibrugtagning. Anskaffelser må ikke give anledning til forøget risiko for sikkerhedshændelser, medmindre chefen for Center for IT & Digitalisering accepterer dette. Anskaffelse og installation af nyt informationsbehandlingsudstyr- og systemer skal godkendes af chefen for Center for IT & Digitalisering. Anskaffelse af IT-udstyr Anskaffelser Center for IT & Digitalisering skal tilse, at kun kendt og sikkert udstyr eller software, med et defineret formål, anskaffes og sættes i drift. Udstyr og programmel må kun indkøbes via Center for IT & Digitalisering eller efter Center for IT & Digitaliserings godkendelse. Installering af software på standard-pc Anskaffelse af IT-udstyr Specifikation af sikkerhedskrav Såfremt en overordnet risikovurdering retfærdiggør aktiviteten, skal sikkerhedskrav dokumenteres i forbindelse med enhver systemanskaffelse eller systemopgradering. Dette gælder både for kundetilpassede systemer og standardsystemer. Center for IT & Digitalisering inddrages i arbejdet, der udføres i fællesskab med systemejer. 8.3 Kryptografi Kryptering af harddiske Indholdet af harddiske på bærbare computere skal krypteres såfremt der er mulighed for at de indeholder personfølsomme data jfr. persondataloven. Godkendelse af krypteringsprodukter Der må kun anvendes krypteringsværktøjer og algoritmer, der er godkendt af Center for IT & Digitalisering, til beskyttelse af hemmelige og klassificerede data. Nøglehåndtering I Center for IT & Digitalisering skal der være etableret et nøglehåndteringssystem, som understøtter kommunens anvendelse af kryptografi. I Center for IT & Digitalisering er der udnævnt en LRA som er ansvarlig for den digitale signatur i kommunen. Side 23 af 30

26 8.4 Styring af driftsmiljøet Sikring af testdata Center for IT & Digitalisering sikrer, at data til test udvælges, kontrolleres og beskyttes omhyggeligt. Chefen for Center for IT & Digitalisering godkender at data fra driftsmiljøet kopieres til et testmiljø. Chefen for Center for IT & Digitalisering sikrer, at kopiering og brug af data fra driftsmiljøet til test, logges for at sikre kontrolsporet. 8.5 Sikkerhed i udviklings- og hjælpeprocesser Center for IT & Digitalisering er ansvarlig for samtlige punkter i afsnit 8.5, med mindre andet er angivet i underpunkt. Ændringer i standardsystemer Ændringer i eksternt leverede systemer skal begrænses til nødvendige, og aftalte ændringer. Ændringsstyring Systemdokumentation skal opdateres ved hver ændring. Driftsdokumentation og arbejdsgange for brugerne skal holdes opdateret, således at de stadig er gældende efter ændringen. Implementeringen af ændringen skal foretages på et aftalt tidspunkt, så den ikke forstyrrer de involverede centres ydelser. Sikring af systemudviklingsmiljøerne Udviklingsmiljøer skal sikres mod trusler som uautoriseret adgang, ændringer og tab. Adgangskontrol for kildetekst Kildetekst til applikationer under udvikling skal beskyttes med adgangskontrolsystemer for at sikre integriteten. Sikkerhed i systemudvikling Softwareudvikling skal baseres på best practice og indbefatte informationssikkerhed gennem hele softwareudviklingens livscyklus. Sikring af udviklingsmiljøer Udviklingsmiljøer skal specielt sikre integritet i udviklingsprocessen, herunder sikring mod tab af data. Gennemgang af systemer efter ændringer Når driftsmiljøerne ændres skal forretningskritiske systemer gennemgås og testes for at sikre, at det ikke har utilsigtede afledte virkninger på Faxe Kommunes daglige drift. 8.6 Sårbarhedsstyring Side 24 af 30

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Hørsholm Kommune. Regler 3.3. Slutbruger

Hørsholm Kommune. Regler 3.3. Slutbruger Hørsholm Kommune Regler 3.3 Slutbruger 17-11-2016 Indholdsfortegnelse 6 Organisering af informationssikkerhed 1 6.1 Interne organisatoriske forhold 1 6.1.4 Godkendelsesprocedure ved anskaffelser 1 6.1.5

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Middelfart Kommune IT-SIKKERHEDSPOLITIK. IT-sikkerhedspolitik for Middelfart Kommune. Regler

Middelfart Kommune IT-SIKKERHEDSPOLITIK. IT-sikkerhedspolitik for Middelfart Kommune. Regler Middelfart Kommune IT-SIKKERHEDSPOLITIK IT-sikkerhedspolitik for Middelfart Kommune Regler 11-10-2007 Organisation og implementering Placering af ansvar er vitalt for at sikre opmærksomhed på Middelfart

Læs mere

FYSISK SIKKERHED. Bilag 10-1

FYSISK SIKKERHED. Bilag 10-1 FYSISK SIKKERHED Bilag 10-1 Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6 1. FYSISK SIKKERHED Kundens

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 03-05-2011 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12 Skanderborg Kommune Regler Nedenstående regler er udfærdiget på kravene i ISO 27002:2005 : 2014-02-12 Indholdsfortegnelse 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici 4.2 Risikohåndtering

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Frederikshavn Kommune. Informationssikkerhed Version 1.0 Regler

Frederikshavn Kommune. Informationssikkerhed Version 1.0 Regler Frederikshavn Kommune Informationssikkerhed Version 1.0 Regler 13-11-2007 1 Risikovurdering og -håndtering Overordnet risikovurdering Der skal være udført en overordnet risikovurdering der indeholder konsekvensvurdering

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Informationssikkerhedspolitik for Norddjurs Kommune

Informationssikkerhedspolitik for Norddjurs Kommune Norddjurs Kommune Informationssikkerhedspolitik for Norddjurs Kommune Regler Kommunens regler for informationssikkerhed 24-11-2011 Indholdsfortegnelse Regler 2 4 Risikovurdering og -håndtering 2 4.1 Vurdering

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Procedure om IT brug og IT sikkerhed

Procedure om IT brug og IT sikkerhed Procedure om IT brug og IT sikkerhed Godkendt i MED-Hovedudvalget den 28. september 2015 1 Procedure om IT brug og IT sikkerhed Denne procedure omhandler den overordnede tilgang til håndtering af IT- brug

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

Billund Kommune. IT sikkerhedsregulativ v.1.0. Billund Kommune

Billund Kommune. IT sikkerhedsregulativ v.1.0. Billund Kommune IT sikkerhedsregulativ v.1.0 Billund Kommune Billund Kommune Januar 2011 1 Indholdsfortegnelse Indholdsfortegnelse... 2 Indledning... 3 Kapitel 1: Organisering... 4 Kapitel 2: Medarbejdersikkerhed... 5

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Vesthimmerlands Kommune

Vesthimmerlands Kommune Vesthimmerlands Kommune It-sikkerhedshåndbog Kommunens samlede it-sikkerhedshåndbog 2014 RISIKOVURDERING OG -HÅNDTERING... 1 Vurdering af sikkerhedsrisici... 1 Overordnet risikovurdering... 1 Risikohåndtering...

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

IT-sikkerhed i Køge Kommune. IT med omtanke

IT-sikkerhed i Køge Kommune. IT med omtanke IT-sikkerhed i Køge Kommune Indhold Din pc 4 Adgangskode 5 Virus 6 Sikkerhedskopiering 7 Medarbejder signatur 7 E-mail og sikkerhed 8 Internettet 9 Dine bærbare enheder 10 Mere om følsomme data 11 Denne

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Rammekontraktbilag M. Regulativ for it-sikkerhed

Rammekontraktbilag M. Regulativ for it-sikkerhed Rammekontraktbilag M Regulativ for it-sikkerhed 2 Indholdsfortegnelse Kapitel 1 - Regulativets anvendelsesområde, formål og omfang... 4 Kapitel 2 - Definitioner... 4 Kapitel 3 - Organisatoriske forhold...

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Uddybende it-sikkerhedsregler

Uddybende it-sikkerhedsregler Københavns Kommune Koncernservice Uddybende it-sikkerhedsregler 2015-02-05 Indholdsfortegnelse 6 Organisering af it-sikkerhed 6.1 Interne organisatoriske forhold 6.2 Organisering af aftaler med eksterne

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Region Midtjylland Informationssikkerhedshåndbog Retningslinjer Region Midtjyllands regler for informationssikkerhed 1.0 11-03-2013 Indholdsfortegnelse Retningslinjer 2 1 Indledning 2 2 Termer og definitioner

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Retningslinjer vedrørende brugeransvar

Retningslinjer vedrørende brugeransvar Retningslinjer vedrørende brugeransvar Maj 2017 Trafikselskabet Movia Gammel Køge Landevej 3 2500 Valby Tlf. 36 13 14 15 moviatrafik.dk Movia Design/Mette Malling 05.17. Fotos: Movia Indhold Pas på vores

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Tavshedserklæring og Code of Conduct

Tavshedserklæring og Code of Conduct Tavshedserklæring og Code of Conduct Erklæringen underskrives af den enkelte konsulent, inden arbejdet påbegyndes. Det er ordregiver i Landbrugs- og Fiskeristyrelsen, der er ansvarlig for, at erklæringen

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

En introduktion til. IT-sikkerhed 16-12-2015

En introduktion til. IT-sikkerhed 16-12-2015 En introduktion til 16-12-2015 1 En rettesnor for din brug af IT I Dansk Supermarked Group forventer vi, at du er orienteret om, hvordan du skal bruge IT, når du er ansat hos os. I denne guide kan du læse

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Retningslinjer vedrørende brugeransvar

Retningslinjer vedrørende brugeransvar Retningslinjer vedrørende brugeransvar Maj 2016 Trafikselskabet Movia Gammel Køge Landevej 3 2500 Valby Tlf. 36 13 14 15 moviatrafik.dk Movia Design/Mette Malling 05.16. Fotos: Movia Indhold Pas på vores

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Uddybende it-sikkerhedsregler

Uddybende it-sikkerhedsregler Københavns Kommune Koncernservice Uddybende it-sikkerhedsregler 2015-04-29 Indholdsfortegnelse 6 Organisering af it-sikkerhed 6.1 Interne organisatoriske forhold 6.2 Organisering af aftaler med eksterne

Læs mere