Informationssikkerhedspolitik for Norddjurs Kommune

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "Informationssikkerhedspolitik for Norddjurs Kommune"

Transkript

1 Norddjurs Kommune Informationssikkerhedspolitik for Norddjurs Kommune Regler Kommunens regler for informationssikkerhed

2 Indholdsfortegnelse Regler 2 4 Risikovurdering og -håndtering Vurdering af sikkerhedsrisici Risikohåndtering Dokumentationskrav 5 5 Overordnede retningslinjer Informationssikkerhedsstrategi Formulering af informationssikkerhedspolitikken Løbende vedligeholdelse Styring af ressourcer 7 6 Organisering af informationssikkerhed Interne organisatoriske forhold Direktionens rolle Koordinering af informationssikkerhed Ansvarsplacering Godkendelsesprocedure ved anskaffelser Kontakt med myndigheder Fagligt samarbejde med grupper og organisationer Periodisk opfølgning Eksterne samarbejdspartnere Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhedsforhold i relation til kunder Samarbejdsaftaler 12 7 Styring af informationsrelaterede aktiver Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Ejerskab Accepteret brug af aktiver Klassifikation af alle informationer og data i Norddjurs Kommune Klassifikation Mærkning og håndtering af informationer og data 16 8 Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse Opgaver og ansvar Efterprøvning Aftale om ansættelse Ansættelsesforholdet Ledelsens ansvar Uddannelse Sanktioner Ansættelsens ophør Ansvar ved ansættelsens ophør Returnering af aktiver Inddragelse af rettigheder 18 9 Fysisk sikkerhed Sikre områder Fysisk afgrænsning Fysisk adgangskontrol Sikring af kontorer, lokaler og udstyr Beskyttelse mod eksterne trusler Arbejdsmæssige forhold i sikre områder Områder til af- og pålæsning med offentlig adgang Beskyttelse af udstyr Placering af udstyr Forsyningssikkerhed Sikring af kabler 21

3 9.2.4 Udstyrs og anlægs vedligeholdelse Sikring af udstyr uden for Norddjurs Kommunes overvågning Sikker bortskaffelse eller genbrug af udstyr Fjernelse af virksomhedens informationsaktiver Styring af netværk og drift Operationelle procedurer og ansvarsområder Driftsafviklingsprocedurer Ændringsstyring Funktionsadskillelse Adskillelse mellem udvikling, test og drift Ekstern serviceleverandør Serviceleverancen Overvågning og revision af serviceleverandøren Styring af driftsmiljøet Kapacitetsstyring Godkendelse af nye eller ændrede systemer Skadevoldende programmer og mobil kode Beskyttelse mod skadevoldende programmer Beskyttelse mod mobil kode Sikkerhedskopiering Sikkerhedskopiering Netværkssikkerhed Netværket Netværkstjenester Databærende medier Bærbare datamedier Destruktion af datamedier Beskyttelse af datamediers indhold Beskyttelse af systemdokumentation Informationsudveksling Informationsudvekslingsretningslinjer og -procedurer Fysiske datamediers sikkerhed under transport Elektronisk post og dokumentudveksling Virksomhedens informationssystemer Elektroniske forretningsydelser Offentligt tilgængelige informationer Logning og overvågning Opfølgningslogning Overvågning af systemanvendelse Beskyttelse af log-oplysninger Administrator- og operatørlog Fejllog Tidssynkronisering Adgangsstyring De forretningsmæssige krav til adgangsstyring Retningslinjer for adgangsstyring Administration af brugeradgang Registrering af brugere Udvidede adgangsrettigheder Adgangskoder Periodisk gennemgang af brugernes adgangsrettigheder Brugerens ansvar Brug af adgangskoder Uovervåget udstyr Beskyttelse af datamedier på den personlige arbejdsplads Styring af netværksadgang Retningslinjer for brug af netværkstjenester Autentifikation af brugere med ekstern netværksforbindelse Beskyttelse af diagnose- og konfigurationsporte 34

4 Opdeling af netværk Styring af netværksadgang Styring af systemadgang Sikker log-on Styring af adgangskoder Brug af systemværktøjer Styring af adgang til brugersystemer og informationer Begrænset adgang til informationer Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og datakommunikation Fjernarbejdspladser Anskaffelse, udvikling og vedligeholdelse af 36 informationsbehandlingsystemer 12.1 Sikkerhedskrav til informationsbehandlingssystemer Analyse og specifikation af krav til sikkerhed Korrekt informationsbehandling Validering af inddata Kryptografi Retningslinjer for brugen af kryptografi Styring af driftsmiljøet Sikkerhed ved systemtekniske filer Sikring af testdata Sikkerhed i udviklings- og hjælpeprocesser Ændringsstyring Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne Begrænsninger i ændringer til standardsystemer Lækage af informationer Systemudvikling udført af en ekstern leverandør Sårbarhedsstyring Sårbarhedssikring Styring af sikkerhedshændelser Rapportering af sikkerhedshændelser og svagheder Rapportering af sikkerhedshændelser Rapportering af svagheder Håndtering af sikkerhedsbrud og forbedringer Ansvar og forretningsgange At lære af sikkerhedsbrud Indsamling af beviser Beredskabsstyring Beredskabstyring og informationssikkerhed Informationssikkerhed i beredskabsstyringen Beredskab og risikovurdering Udarbejdelse og implementering af beredskabsplaner Rammerne for beredskabsplanlægningen Afprøvning, vedligeholdelse og revurdering af beredskabsplaner Overensstemmelse med lovbestemte og kontraktlige krav Overensstemmelse med lovbestemte krav Identifikation af relevante eksterne krav Ophavsrettigheder Sikring af virksomhedens kritiske data Beskyttelse af personoplysninger Beskyttelse mod misbrug af informationsbehandlingsfaciliteter Lovgivning vedrørende kryptografi Overensstemmelse med sikkerhedspolitik og -retningslinjer Overensstemmelse med Norddjurs Kommunes sikkerhedsretningslinjer Opfølgning på tekniske sikringsforanstaltninger Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer Sikkerhed i forbindelse med systemrevision Beskyttelse af revisionsværktøjer 47

5

6 Regler 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici Overordnet risikovurdering Der skal være udført en overordnet risikovurdering af trusselsbilledet for Norddjurs Kommune. Risikovurderingen udarbejdes af ITsikkerhedsgruppen Risikovurderingen skal opdateres mindst en gang om året. Risikovurderingen skal omfatte alle væsentlige it-systemer. Om ISMS Norddjurs Kommunes ISMS (Information Security Management System) benytter den velkendte Plan - Do - Check - Act (PDCA) -model til at etablere, implementere, drive, overvåge, revurdere, vedligeholde og forbedre ISMS. 4.2 Risikohåndtering Risikoanalyse Der skal være udført en overordnet risikoanalyse for Norddjurs Kommune. Der skal udarbejdes en detaljeret risikoanalyse for alle forretningskritiske systemer. ISMS-anvendelsesområde Norddjurs Kommunes ISMS styrer informationssikkerhed for alle interne og eksterne aktiviteter i kommunens afdelinger. Overholdelse af standarder Sikkerhedssystemet overholder kravene i International Standard ISO/IEC 27002:2005, på de områder, hvor Norddjurs Kommunes risikovurdering retfærdiggør overensstemmelse og tilhørende sikkerhedsinvesteringer. Norddjurs Kommunes ISMS-politik: Indeholder rammerne for at opstille mål og skaber en samlet fornemmelse af retning og principper for handling med hensyn til informationssikkerhed. Tager hensyn til forretningsmæssige krav og lov- eller myndighedskrav samt kontraktlige sikkerhedsforpligtelser. Opstiller kriterier, som risiko vil blive vurderet imod. Er godkendt af direktionen. Side 2 af 47

7 Metode til risikovurdering og kriterier for risikovillighed Der benyttes en trusselsbaseret metode til risikovurdering. Forretningskonsekvens og sårbarhed vurderes på baggrund af fortrolighed, integritet og tilgængelighed. Risikovurderingsmetoden er passende for Norddjurs Kommunes ISMS og de fastlagte krav til sikring af forretningsoplysninger samt lov- og myndighedskrav. Den valgte metode til risikovurdering skal sikre, at risikovurderinger giver sammenlignelige og reproducerbare resultater. IT-sikkerhedsgruppen har udarbejdet kriterier for risikovillighed og identificeret de risikoniveauer, der kan accepteres. Identificering af risici Programmer, der falder inden for ISMS' anvendelsesområdet og disse programmers ejere er registreret på listen over programejere i Norddjurs Kommune. Trusler mod aktiver er identificeret i den generelle, tilbagevendende risikovurdering. Risikovurderingsrapporterne identificerer sårbarheder, som kan opstå af de udvalgte trusler. Risikovurderingsrapporterne identificerer de virkninger, som tab af fortrolighed, integritet og tilgængelighed kan have på aktiverne. Risikoanalyse og -evaluering indbefatter: En vurdering af de forretningsmæssige indvirkninger på Norddjurs Kommune, som kan følge af sikkerhedssvigt, under hensyntagen til konsekvenserne af tab af fortrolighed, integritet eller tilgængelighed af aktiverne. En vurdering af sandsynligheden for, at der sker sikkerhedssvigt i lyset af tilstedeværende trusler og sårbarheder samt indvirkninger, der er forbundet med aktiverne, og de iværksatte foranstaltninger. En vurdering af graderne af risici. Beslutning om, om risiciene kan accepteres eller kræver håndtering ud fra kriterierne for risikovillighed. Integration af informationssystemer Hvis integration mellem informationssystemer resulterer i en forøget risiko, skal denne vurderes og godkendes af IT-sikkerhedsgruppen. Risikohåndtering Programejerne vurderer mulighederne for risikohåndtering. Risikohåndtering kan bl.a. omfatte iværksættelse af passende foranstaltninger samt bevidst at acceptere risici. Udvælgelse af foranstaltninger Programmets ejer vælger styringsmål og foranstaltninger til risikohåndtering. Styringsmål og foranstaltninger vælges og implementeres for at opfylde de krav, der er identificeret ved risikovurderingen og risikohåndteringsprocessen idet der tages hensyn til kriterierne for risikovillighed. Side 3 af 47

8 Direktionens tilladelse til ISMS Der er indhentet tilladelse fra direktionen til at implementere og drive ISMS (Information Security Management System). Godkendelse af udækkede risici IT-sikkerhedsgruppen fremsender foreslåede udækkede risici til godkendes af direktionen. Erklæring om anvendelse og opfyldelse indeholder: Styringsmål og foranstaltninger valgt i ISO/IEC 27001:2005) og årsagerne til valget af dem. Erklæringen om anvendelse og opfyldelse revideres årligt, og når ændringer i organisationen, drift, teknologi mm. kræver en opdatering. Implementering og drift af ISMS Norddjurs Kommune har formuleret en risikohåndteringsplan, der identificerer de relevante ledelsestiltag, ressourcer, ansvar og prioriteringer for at styre informationssikkerhedsrisici. Norddjurs Kommune har implementeret risikohåndteringsplanen for at nå de identificerede styringsmål, der indbefatter overvejelser om finansiering og fordeling af roller og ansvar. Norddjurs Kommune har implementeret foranstaltninger, til at opfylde styringsmålene. Norddjurs Kommune har defineret, hvordan effekten af de valgte foranstaltninger måles. Norddjurs Kommune har implementeret uddannelses-/trænings- og bevidsthedsskabende programmer. Norddjurs Kommune leder løbende driften af ISMS. Norddjurs Kommune forvalter løbende ressourcer til ISMS. Norddjurs Kommune har implementeret procedurer og andre foranstaltninger, der gør det muligt omgående at afsløre sikkerhedshændelser og reagere på sikkerhedsbrud (se ISO/IEC 27001:2005). Norddjurs Kommune iværksætter procedurer til overvågning og revurdering og andre foranstaltninger for: Omgående at afsløre fejl i procesresultater Omgående at identificere fejlslagne og gennemførte forsøg på sikkerhedsovertrædelser samt sikkerhedsbrud At sætte IT-sikkerhedsgruppen i stand til at afgøre, om sikkerhedsaktiviteter delegeret til personer eller implementeret ved hjælp af informationsteknologi fungerer som forventet At hjælpe til at afsløre fejlslagne forsøg på sikkerhedsovertrædelser og dermed forhindre sikkerhedsbrud. Afgøre, om de iværksatte handlinger til at løse sikkerhedsbrud har været effektive Regelmæssig gennemgang af effekten af ISMS IT-sikkerhedsgruppen foretager mindst en gang om året gennemgang af effektiviteten af ISMS. Gennemgang af ISMS IT-sikkerhedsgruppen gennemgår løbende ISMS for at sikre, at anvendelsesområdet fortsat er fyldestgørende. Side 4 af 47

9 Ajourføring af sikkerhedsplaner IT-sikkerhedsgruppen ajourfører løbende sikkerhedsplanerne for at tage resultater af overvågnings- og revurderingsaktiviteter i betragtning. Registrering af handlinger og hændelser Den øverste sikkerhedsansvarlige registrerer løbende handlinger og hændelser, der kunne have indflydelse på effekten af ISMS. Vedligeholdelse og forbedring af ISMS indbefatter: Implementering af de identificerede forbedringer af ISMS Iværksættelse af passende korrigerende og forebyggende handlinger i overensstemmelse med ISO/IEC 27001, samt at tage ved lære af de erfaringer, som Norddjurs Kommune og andre virksomheder har indsamlet i relation til informationssikkerhed Udmelding af handlinger og forbedringer til alle medarbejdere i en detaljeringsgrad, der passer til omstændighederne. Sikring af, at forbedringerne når de tilsigtede mål Proces for reaktion på hændelser Den øverste sikkerhedsansvarlige koordinerer en ledelsesproces, der sikrer en passende reaktion på sikkerhedshændelser. Ved gennemgang af risikovurderinger tages højde for følgende: Teknologi Identificerede trusler Effekten af iværksatte foranstaltninger Eksterne hændelser som fx ændringer af lov- eller myndighedsmiljø, ændrede kontraktlige forpligtelser eller ændringer i den sociale bevidsthed Gennemgang af risikovurderinger IT-sikkerhedsgruppen gennemgår risikovurderinger mindst én gang årligt. Gennemgang af risikovurderingen indbefatter udækkede risici og de identificerede acceptable risikoniveauer. 4.3 Dokumentationskrav ISMS-dokumentation omfatter: En dokumenteret ISMS-politik (se ISO/IEC 27001:2005) Anvendelsesområdet for ISMS (se ISO/IEC 27001:2005) Procedurer og foranstaltninger til støtte for ISMS Beskrivelse af metodikken til risikovurdering (se ISO/IEC 27001:2005) Risikovurderingsrapporten (see ISO/IEC 27001:2005) Risikohåndteringsplanen Registreringer krævet i den internationale standard ISO/IEC27001:2005 Netværksdokumentation IT-afdelingen skal løbende vedligeholde et opdateret netværksdiagram. Beskyttelse og styring af dokumenter ISMS-dokumenter skal beskyttes og opbevares på en forsvarlig måde. Side 5 af 47

10 Sikring af Norddjurs Kommunes lovbestemte data Norddjurs Kommunes lovbestemte data skal opbevares og behandles således at datatab, uautoriseret modifikation og forfalskning undgås. Rapportering af sikkerhedshændelser Rapportering om hændelser af betydning for sikkerheden skal fremsendes til Norddjurs Kommunes øverste sikkerhedsansvarlige. Denne afrapporterer mindst én gang om året til IT-sikkerhedsgruppen om antallet af sikkerhedshændelser, forsøg på sikkerhedsbrud m.v., samt reagerer på henvendelserne, når disse er af betydning for sikkerheden. Med dette menes, at tab af fortrolighed, dataintegritet og tilgængelighed af systemer skal rapporteres. Log-gennemgang It-afdelingen skal vedligeholde procedurer vedrørende gennemgang af sikkerhedslogs og krav i forbindelse med opfølgning på uregelmæssigheder. Styring af registreringer Ved udarbejdelse af ISMS, skal der tages hensyn til relevante lov- eller myndighedskrav og til kontraktlige forpligtelser. Der foretages de fornødne foranstaltninger for, at registreringer skal forblive læselige, og umiddelbart skal kunne identificeres og genfindes. De foranstaltninger, der er nødvendige for identifikation, opbevaring, beskyttelse, genfinding, opbevaringstid og disponering vedr. registreringer dokumenteres og implementeres. Der foretages registreringer af processens opretholdelse som beskrevet i ISO/IEC Overordnede retningslinjer. 5.1 Informationssikkerhedsstrategi Direktionen skal bevise sit engagement i: Fastlæggelse af en ISMS-politik. Fastlæggelse af roller og ansvarsområder for informationssikkerhed. At kommunikere vigtigheden af at opfylde informationssikkerhedskrav og efterleve informationssikkerhedspolitikken. At sørge for tilstrækkelige ressourcer til at etablere, implementere, drive, overvåge, gennemgå, vedligeholde og forbedre ISMS (se ISO/IEC 27001: ). At træffe beslutning om kriterier for accept af risici og acceptable risikoniveauer Formulering af informationssikkerhedspolitikken Definition på informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceduremæssige, lov- og regelmæssige kontroller. Sprog for informationssikkerhedspolitik Informationssikkerhedspolitikken for Norddjurs Kommune udarbejdes kun på dansk. Side 6 af 47

11 Vedligeholdelse af informationssikkerhedspolitikken. Informationssikkerhedspolitikken skal vedligeholdes af ITsikkerhedsgruppen. Godkendelse af den overordnede informationssikkerhedspolitik Den overordnede informationssikkerhedspolitik skal godkendes af Norddjurs Kommunes kommunalbestyrelse. Reglerne i informationssikkerhedspolitikken i Norddjurs Kommune skal hvert år godkendes af direktionen, efter indstilling fra ITsikkerhedsgruppen. Procedurerne i informationssikkerhedspolitikken udarbejdes af ITsikkerhedsgruppen. Procedurerne tager udgangspunkt i reglerne, og må ikke være i modstrid med disse. Offentliggørelse af informationssikkerhedspolitikken. Informationssikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere i Norddjurs Kommune Løbende vedligeholdelse Løbende vedligeholdelse af informationssikkerhedspolitik Revision af informationssikkerhedspolitikken. IT-sikkerhedsgruppen foretager revision af informationssikkerhedspolitikken mindst èn gang om året. 5.2 Styring af ressourcer Ressourceforbrug til sikringsforanstaltninger Ved implementering af sikringsforanstaltninger skal ressourceforbruget vurderes op mod den risiko, der forventes reduceret. Sikkerhedsforanstaltninger skal, samlet set, bidrage positivt til organisationen. Udgifter til specifikation, design, implementering, drift og vedligeholdelse skal vejes imod den forventede direkte og indirekte nedgang i udgifter som følge af sikkerhedshændelser. Direktionen fastlægger niveauet og sørger for de nødvendige ressourcer til at: Etablere, implementere, drive, overvåge, revurdere, vedligeholde og forbedre et ISMS. Sikre, at procedurer til informationssikkerhed understøtter de forretningsmæssige krav. Identificere og efterleve lov- og myndighedskrav og kontraktlige forpligtelser. Opretholde tilstrækkelig sikkerhed ved at anvende alle implementerede foranstaltninger korrekt. Foretage revurderinger efter behov og reagere hensigtsmæssigt i forhold til resultaterne af disse revurderinger. Side 7 af 47

12 Beskrivelser af sikkerhedsopgaver og ansvar skal omfatte: Medarbejderens ansvar for at overholde Norddjurs Kommunes informationssikkerhedspolitik. Medarbejderens ansvar for at beskytte Norddjurs Kommunes informationsaktiver mod misbrug. Medarbejderens ansvar for eventuelle specifikke sikkerhedsopgaver. Medarbejderens ansvar for egne handlinger. Medarbejderens ansvar for at rapportere sikkerhedshændelser og - trusler. Kompetenceudvikling af medarbejdere indbefatter: Fastsættelse af den nødvendige kompetence for medarbejdere, der udfører arbejde med indflydelse på ISMS. Uddannelse/træning eller gennemførelse af andre aktiviteter for at opfylde kompetencebehovet. Medarbejderes kompetenceudvikling Det sikres, at alle medarbejdere, der er tildelt ansvarsområder defineret i ISMS, er kompetente til at udføre de nødvendige opgaver. Det sikres, at alle berørte medarbejdere er bevidste om relevansen og vigtigheden af de informationssikkerhedsaktiviteter, de udfører. 6 Organisering af informationssikkerhed Placering af ansvar er vitalt for at sikre opmærksomhed på Norddjurs Kommunes informationsaktiver. Organisationsstrukturen i Norddjurs Kommune og samarbejde med eksterne partnere er yderst vigtig for at opretholde et tidssvarende sikkerhedsniveau. Kontrakter med partnere og andre aftaler er ligeledes et område, der har indflydelse på informationssikkerheden. Planlægning af interne ISMS-audit Norddjurs Kommune gennemfører interne ISMS-audit med planlagte mellemrum. Formålet er at evaluere styringsmål, foranstaltninger, processer og procedurer vedrørende ISMS. ISMS-audit afgør om styringsmål,foranstaltninger, processer og procedurer vedr. ISMS: Opfylder kravene i den internationale standard ISO/IEC27001:2005 og relevant lovgivning eller forskrifter. Opfylder de identificerede informationssikkerhedskrav. 6.1 Interne organisatoriske forhold Side 8 af 47

13 Evaluering af ISMS IT-sikkerhedsgruppen foretager minimum én gang om året evaluering af Norddjurs Kommunes ISMS for at sikre, at det fortsat er egnet, fyldestgørende og effektivt. IT-sikkerhedsgruppen vurderer muligheder for forbedring af og behovet for ændringer af ISMS, herunder informationssikkerhedspolitikken og - målene. Resultaterne af evalueringen af ISMS skal være entydigt dokumenteret, og der skal opretholdes registreringer (se ISO/IEC 27001:2005). Input til evalueringen omfatter: Resultater af ISMS evalueringer. Tilbagemeldinger fra medarbejdere og andre interessenter. Teknikker, produkter eller procedurer, der kunne blive benyttet i Norddjurs Kommune til forbedring af præstation og effekt af ISMS. Status for forebyggende og korrigerende handlinger. Sårbarheder eller trusler, der ikke er håndteret fyldestgørende ved den foregående risikovurdering. Anbefalinger om forbedringer. Output fra evalueringen omfatter beslutninger og handlinger i relation til følgende: Forbedring af effekten af ISMS. Ajourføring af risikovurderingen og risikohåndteringsplanen. Ændring efter behov af procedurer og foranstaltninger, der påvirker informationssikkerheden, for at reagere på interne eller eksterne hændelser, som kan indvirke på ISMS, herunder ændringer af:1) forretningsmæssige krav 2) sikkerhedskrav 3) forretningsprocesser, der påvirker de nuværende forretningsmæssige krav4) myndigheds- eller lovkrav 5) kontraktlige forpligtelser6) niveauer af risiko og/eller kriterier for accept af risici. Ressourcebehov Direktionens rolle Direktionens rolle Direktionen skal støtte Norddjurs Kommunes informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre en præcis placering af ansvar Koordinering af informationssikkerhed Organisationen af informationssikkerheden. IT-sikkerhedsgruppen har ansvaret for at sikre at informationssikkerheden er synlig, koordineret og i overensstemmelse med kommunens mål. Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen varetages af IT-sikkerhedsgruppen. Side 9 af 47

14 6.1.3 Ansvarsplacering Sikkerhedsansvar for programmer Den øverste sikkerhedsansvarlige har ansvar for at vedligeholde en liste over samtlige godkendte programmer i Norddjurs Kommune. Listen skal angive den ansvarlige ejer for hvert enkelt program Godkendelsesprocedure ved anskaffelser Anskaffelsesprocedurer Det skal sikres, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i sikkerhedspolitikken. Anskaffelser må ikke give anledning til forøget risiko for sikkerhedshændelser, med mindre at direktionen accepterer den øgede risiko. Ethvert nyt system skal risikovurderes inden ibrugtagning. Anskaffelse og installation af nyt informationsbehandlingsudstyr og - systemer skal godkendes af den øverste sikkerhedsansvarlige. Specifikation af sikkerhedskrav Sikkerhedskrav skal være dokumenteret i forbindelse med enhver nyanskaffelse eller IT-systemopgradering. Anskaffelser IT-afdelingen skal tilse, at kun kendt og sikkert udstyr eller software, med et defineret formål, anskaffes og sættes i drift. Udstyr og software må kun indkøbes fra leverandører som må forventes ikke at krænke tredje parts ophavsret Kontakt med myndigheder Kontakt med relevante myndigheder Ved brud eller mistanke om brud på sikkerheden skal der være etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder Fagligt samarbejde med grupper og organisationer Information om nye trusler, virus og sårbarheder Når nye sårbarheder annonceres, skal de vurderes for relevans og alvorlighed. Hvis nødvendigt skal passende reaktion, f.eks. installation af sikkerhedsrettelser, prioriteres for at mindske organisationens sårbarhed. IT-afdelingen skal informere relevante personer om nye trusler, som kan berøre de pågældende aftaleområder Periodisk opfølgning Norddjurs Kommune forbedrer løbende effekten af ISMS ved hjælp af: Informationssikkerhedspolitikken Analyse af overvågede hændelser Korrigerende og forebyggende handlinger Side 10 af 47

15 Proceduren for korrigerende handlinger definerer krav til: Identifikation af afvigelser. Fastlæggelse af årsagerne til afvigelser. Evaluering af, om der er behov for at sikre, at afvigelser ikke gentages. Fastlæggelse og implementering af nødvendige korrigerende handlinger. Revurdering af iværksatte korrigerende handlinger. Potentielle afvigelser Forebyggende handlinger skal være passende i forhold til effekten af de potentielle problemer. Afvigelser For at forhindre gentagelse af afvigelser fra kravene til ISMS, iværksætter IT-sikkerhedsgruppen handlinger til at fjerne årsagerne til dette. Proceduren for forebyggende handlinger definerer krav til: Identifikation af potentielle afvigelser og årsagerne til disse afvigelser. En bedømmelse af, om der er behov for tiltag til at forebygge afvigelser. Fastsættelse og implementering af forebyggende handlinger. Registrering af resultaterne af iværksatte handlinger (ISO/IEC 27001:2005). Revurdering af iværksatte forebyggende handlinger. 6.2 Eksterne samarbejdspartnere Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhed ved samarbejde med partnere Ved integration af Norddjurs Kommunes systemer og processer med tredjepart skal sikkerhedsrisici altid vurderes og dokumenteres. Der skal foreligge dokumentation for sikkerhedsrisikoen hvor tredjepart har fået godkendt adgang til Norddjurs Kommunes systemer. Information til eksterne partnere Relevante interessenter skal informeres om krav til efterlevelse af informationssikkerhedspolitikkerne i Norddjurs kommune. Outsourcing Brug af outsourcing må ikke forhøje risikoniveauet for Norddjurs kommune. Outsourcing-partnere Alle outsourcingpartnere skal bekræfte kendskab til Norddjurs kommunes informationssikkerhedspolitik. Inden indgåelse af aftaler skal sikkerhedsniveauet ved partneren afklares og sammenlignes med de krav der stilles i informationssikkerhedspolitikken Sikkerhedsforhold i relation til kunder Identifikation af brugerprofiler for eksterne brugere Eksterne brugerprofiler skal være tydeligt adskilt fra Norddjurs Kommunes fastansatte medarbejderes brugerprofiler. Side 11 af 47

16 6.2.3 Samarbejdsaftaler Tilgængelighedshændelser Hændelser, der har indflydelse på tilgængelighed, skal afklares i henhold til gældende driftsaftaler - Service Level Agreement - (SLA). 7 Styring af informationsrelaterede aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 7.1 Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Administration af internet-domænenavne Ansvaret for registrering af hoveddomænenavne for Norddjurs Kommune ligger i IT-afdelingen. For øvrige domænenavne er ansvaret ved aftaleenheden. Identifikation af kritiske processer Alle forretningskritiske funktioner og disses relaterede processer, systemer og ejere skal være identificerede og dokumenterede. Registrering af it-udstyr IT-afdelingen registrerer det centralt placerede it-udstyr (servere mv.) med ejer, serienummer og placering Ejerskab Ansvar for adgangsrettigheder De programansvarlige har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med Norddjurs kommunes generelle adgangspolitik. Ansvar for klassifikation Programejerne har ansvaret for at dataindholdet er klassificeret. Data på mobile enheder Alle forretningsdata på mobile enheder skal være kopi af data beliggende på de centrale servere. Sikkerhedsansvar for it-funktioner Programejerne af de virksomhedskritiske systemer skal identificeres og gøres opmærksom på dette ansvar. IT-afdelingen har ansvaret og beføjelser til at sikre tilstrækkelig beskyttelse. Side 12 af 47

17 Ejere af data på mobile enheder På mobile enheder med en primær ejer er pågældende ansvarlig for data. På mobile enheder uden en primær ejer er det den medarbejder der senest har brugt den mobile enhed som er ansvarlig for at data fjernes fra enheden efter brug. Medarbejderne der bruger Norddjurs kommunes bærbare pc'er og andre mobile dataenheder er ansvarlige for at beskytte enhederne samt de data der behandles på disse. Ansvar for sikkerheden på it-platforme IT-afdelingen har ansvaret for administration af sikkerheden på de benyttede platforme Accepteret brug af aktiver Overvågning af sociale netværk Browsere på Norddjurs Kommunes PC'er gemmer blandt andet information om den enkelte medarbejders brug af sociale netværk, og medarbejderen må forvente, at Norddjurs Kommune kan få adgang til denne information. Download af filer fra internettet Medarbejderne må ikke hente filer fra Internettet, medmindre filerne specifikt scannes for virus umiddelbart efter hentning og inden de åbnes. Medarbejderne må hente filer fra leverandørers sites som IT-afdelingen specifikt har godkendt. Internetbaserede tjenester Medarbejderne må anvende internettjenester, der ikke er beskrevet i informationssikkerhedspolitikken, såfremt dette ikke indebærer forøgede sikkerhedsrisici for Norddjurs Kommune Download af programmer fra internettet Medarbejderne må ikke hente og installere programmer fra Internettet, medmindre der foreligger godkendelse af IT-afdelingen. Streaming via internet Medarbejderne må streame indhold fra Internettet, f.eks. lyd eller billede fra radio- og tv-tjenester eller film, såfremt dette sker uden gene for arbejdsrelateret netværksbrug og uden forøgede sikkerhedsrisici. Brug af messenger-programmer Medarbejderne må bruge messenger-programmer på netværket, f.eks. Microsoft Messenger eller Yahoo Messenger, såfremt dette sker uden gene for arbejdsrelateret netværksbrug og uden forøgede sikkerhedsrisici. Afvikling af programmer i forbindelse med internetsurfing Medarbejderne må afvikle browserbaserede programmer, f.eks. Netbankprogrammer, forudsat at Norddjurs Kommunes informationssikkerhedspolitik i øvrigt overholdes. Medarbejderne må afvikle browserbaserede programmer af typen ActiveX selvom disse ikke er digitalt signerede. Medarbejderne må afvikle browserbaserede programmer af typen Java selvom disse ikke er digitalt signerede. Side 13 af 47

18 Terminalsessioner til fjernstyring Medarbejderne må benytte krypterede sessioner, f.eks. Secure Shell (SSH) fra det interne netværk til andre netværk. Sikkerhedsindstillinger i web-browser Sikkerhedsindstillingerne i Web-browserne styres centralt af ITafdelingen og må ikke ændres. Medarbejderes private brug af internetadgang Norddjurs Kommunes internetadgang må anvendes til private formål, såfremt arbejdsrelateret brug ikke generes på nogen måde, og såfremt informationssikkerhedspolitikken overholdes. Adgang til surfing på internettet Internetadgangen må benyttes til internetbrowsing. Privat brug må ske i begrænset omfang, forudsat at det ikke blokerer for arbejdsrelateret brug af internettet og informationssikkerhedspolitikken iøvrigt overholdes. Medarbejderes private brug af Medarbejderne i Norddjurs Kommune skal markere private s med teksten "privat" i emne-feltet, eller alternativt gemme private mails i en folder hvor teksten "privat" indgår i folderens navn. Norddjurs Kommune forbeholder sig ret til at skaffe sig adgang til data og for medarbejdere, hvis dette sker af drifts- eller sikkerhedshensyn. Norddjurs kommune vil så vidt muligt forsøge at undgå at åbne eventuel privat -korrespondance. Medarbejderne må anvende mailsystemerne til privat brug i rimeligt begrænset omfang hvis dette ikke har indflydelse på Norddjurs Kommunes drift og sikkerhed i øvrigt. Mailsystemet i Norddjurs Kommune må ikke anvendes ifm erhvervsmæssig virksomhed. Ejerskab Alle mails betragtes som Norddjurs Kommunes ejendom. Sagsbehandling og journalisering af Sendte og modtagne mails skal håndteres på samme måde som almindelig papirbaseret post, indskannet post og fax. s med vigtig information skal arkiveres systematisk for at sikre lagring. Brug af previewfunktion til åbning af Medarbejderne i Norddjurs Kommune må anvende previewfunktionen i mailprogrammet. Vedhæftede filer Der må kun sendes eller åbnes vedhæftede filer til arbejdsrelaterede formål. Kun dokumentfiler, billedfiler og arkiver må vedhæftes og åbnes. Det gælder eksempelvis følgende filtyper: TXT, RTF, DOC, XLS, PPT, PPS, JPG, JPEG, PNG, GIF, TIFF, PS, EPS, PDF eller ZIP. Programfiler og kommandofiler må ikke vedhæftes eller åbnes. Det gælder eksempelvis følgende filtyper:.exe,.com,.scr,.pif,.bat, cmd,.vbs. IT-afdelingen blokerer for filtyper som vurderes som farlige eller uhensigtsmæssige. Side 14 af 47

19 Phishing og bedrageri Selvom Norddjurs Kommune udfører indholdscanning af alle s, skal medarbejderne alligevel være opmærksomme på "phishing" og "social engineering", der for eksempel kan betyde at medarbejdere kan modtage tilsyneladende oprigtige s, der forsøger at franarre personlige eller fortrolige oplysninger, eller forsøger at få medarbejderen til at foretage uønskede handlinger. Adware Adware-beskyttelse baseres på medarbejderradfærd, sikkerhedsindstillinger i internetbrowser samt begrænsninger i medarbejderens muligheder for softwareinstallation. Installation af trådløst udstyr Medarbejderne må ikke installere og bruge trådløs udstyr på Norddjurs Kommunes interne netværk. Norddjurs Kommunes IT-afdeling opstiller og driver trådløs udstyr, som giver adgang til kommunens interne og eksterne netværk (adskilt). Forbindelse til fremmede trådløse netværk Medarbejdere må forbinde deres mobile udstyr til fremmede trådløse netværk, forudsat at godkendt firewall er aktiveret. Kontrol af antivirus på arbejdsstationer Medarbejderne skal løbende kontrollere, at antivirus programmet er aktivt på deres computere. Autentificering Medarbejderne skal være opmærksomme på at de, via messengerprogrammer, kan udsættes for "social engineering". Det vil sige at andre personers forsøger at udnytte medarbejderens hjælpsomhed til at få informationer, koder m.v. Informationsudveksling med eksterne parter Messenger-programmer må bruges til at udveksle alle former for information, forudsat at medarbejderen har fået sikkerhed for autenticiteten af modparten. Afsendere og modtagere Messenger-kommunikation må anvendes både imellem medarbejdere i Norddjurs Kommune og eksterne personer, f.eks. kunder og samarbejdspartnere. Krav til indstillinger af internet-browser MS Internet Explorer og andre browsere skal opsættes jævnfør informationssikkerhedspolitikken. Medarbejderne må ikke ændre denne opsætning. 7.2 Klassifikation af alle informationer og data i Norddjurs Kommune Klassifikation Side 15 af 47

20 Informationer og data skal klassificeres som følger: Offentligt: Materiale, der frit må udleveres til offentligheden. Fortroligt: Materiale, der er tilgængeligt for en begrænset gruppe personer. Personhenførbart: Data er relateret til et individ, f.eks. en kunde, en borger, en patient eller en medarbejder. Forretningskritisk: Informationer der er vigtige for kerneområdet i forretningen. Høj tilgængelighed og stor pålidelighed er kritisk, uanset hvilket fortrolighedsniveau der iøvrigt kræves Mærkning og håndtering af informationer og data Fortrolige data på mobile enheder Der må ikke opbevares fortrolige data på mobile enheder, medmindre disse er beskyttet med godkendt krypteringsværktøj. Fortrolige informationer i offentlige rum Fortrolige informationer må ikke efterlades uden opsyn i offentlig tilgængelige rum. Medarbejderne skal udvises stor forsigtighed ved omtale af fortrolige informationer i offentlige rum. Elektroniske dokumenter Elektroniske kopier af dokumenter med fortrolige eller følsomme oplysninger, f.eks. indscannede dokumenter og faxer, må kun behandles og lagres på Norddjurs Kommunes eget IT-udstyr. 8 Medarbejdersikkerhed Informationssikkerheden i kommunen afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre kommunen gennem ansættelse af de rigtige medarbejdere. Medarbejdere skal uddannes i informationssikkerhed i relation til deres jobfunktion og modtage nødvendige informationer. Endvidere er det nødvendigt med regler, der beskriver sikkerhedsforhold når et ansættelsesforhold slutter. 8.1 Sikkerhedsprocedure før ansættelse Opgaver og ansvar Ansvar for sikkerhed I stillings- og funktionsbeskrivelser for medarbejdere med adgang til forretningskritiske data og systemer skal sikkerhed indgå i beskrivelsen Efterprøvning Baggrundscheck af medarbejdere skal som minimum omfatte: En personlig reference. Ansøgerens curriculum vitæ. Uddannelser og professionelle kvalifikationer. Identitetskontrol. Side 16 af 47

21 Verifikation af referencer Den ansættelsesansvarlige er ansvarlig for gennemgang og kontrol af oplysninger givet af medarbejdere og ansøgere inden ansættelse. Kravet til kontrol er større for ansøgere til stillinger med højt ansvarsniveau. Børne- og straffeattest For alle medarbejdere der ansættes indenfor børn- og ungeområdet skal der indhentes børneattest og udvidet straffeattest. Blanketterne indhentes af Norddjurs Kommune efter samtykke fra medarbejderen. Eventuelle bemærkninger vurderes i forhold til ansættelsens art og omfang. Baggrundscheck af konsulenter Den ansættelsesansvarlige skal tilse, at der foretages baggrundscheck af konsulenter Aftale om ansættelse Ansættelsesaftalen skal som minimum indeholde og uddybe: Tavshedserklæring. Medarbejderens ansvar i forbindelse med informationsbehandling. Ansvarsplacering når der arbejdes udenfor Norddjurs Kommunes egne områder eller udenfor normal arbejdstid, f.eks. i forbindelse med arbejde hjemmefra. Hvis en medarbejder ignorerer Norddjurs Kommunes krav til sikkerhed, kan det, efter en konkret vurdering, få ansættelsesmæssige konsekveser. 8.2 Ansættelsesforholdet Ledelsens ansvar Det er aftaleenhedernes ansvar at alle medarbejdere: Er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med informationssikkerhed, før de tildeles adgang til Norddjurs kommunes systemer og data. Er gjort bekendt med nødvendige retningslinjer, således at de opnår et opmærksomhedsniveau, så de er i stand til at leve op til Norddjurs Kommunes informationssikkerhedspolitik Uddannelse Social Engineering Medarbejdere skal, når de behandler fortrolige informationer, være passende opmærksomme på begrebet "social engineering" dvs. kunsten at aflure fortrolige informationer uden at blive opdaget. F.eks. kan denne form for bedrag udføres via , telefon og/eller messengerprogrammer. Sikkerhedsuddannelse for IT-medarbejdere Alle IT-medarbejdere skal uddannes i sikkerhedsaspekterne af deres job, for bl.a. at mindske risiko for hændelser i forbindelse med privilegeret adgang. Uddannelse i klassificering af informationer Alle medarbejdere i Norddjurs Kommune skal modtage instruktioner om, hvorledes data og dokumenter klassificeres. Side 17 af 47

22 Uddannelse i informationssikkerhedspolitikken Alle nye medarbejdere modtager senest på første arbejdsdag information om Norddjurs Kommunes informationssikkerhedspolitik. Alle medarbejdere skal have træning i Norddjurs Kommunes informationssikkerhedspolitik og baggrundsviden omkring denne. Alle medarbejdere skal kvittere for at de har læst og forstået Norddjurs Kommunes informationssikkerhedspolitik. Medarbejdere der anvender Norddjurs Kommunes IT-systemer skal holdes informeret om procedurer og politikker for adgangskoder Sanktioner Overtrædelse af sikkerhedsretningslinjerne Det er ikke tilladt at forsøge at omgå Norddjurs Kommunes informationssikkerhedspolitik. Medarbejderne må ikke foretage uautoriseret afprøvning af informationssikkerheden. Hændelser, hvor medarbejdere er involverede, bliver af ledelsen håndteret konsekvent i overensstemmelse med gældende lovgivning og personalepolitik, og kan efter en konkret vurdering få ansættelsesmæssige konsekvenser. 8.3 Ansættelsens ophør Ansvar ved ansættelsens ophør Fratrædelse Når en medarbejder fratræder og/eller midlertidige kontrakter ophæves, skal alle tilknyttede rettigheder trækkes tilbage Returnering af aktiver Returnering af aktiver ved aftrædelse Medarbejderen skal ved ophør af ansættelsesforholdet aflevere alle de aktiver, som er udleveret af Norddjurs Kommune, eksempelvis mobiltelefon, bærbar PC, stationær PC, printer, kommunikationsudstyr, ID-kort, nøgler mv., medmindre der indgås aftale med medarbejderen om køb af udstyret til markedspriser Inddragelse af rettigheder Inddragelse af systemadgang mv. ved fratrædelse Adgangsrettigheder skal inddrages i forbindelse med en medarbejders fratrædelse eller afskedigelse. Der skal forefindes en liste over fratrådte medarbejdere for de seneste seks måneder. Side 18 af 47

23 Tavshedserklæring ved fratrædelse Alle kommunens medarbejdere har ved ansættelsen underskrevet en tavshedserklæring og er gjort opmærksom på, at denne også er gældende efter ansættelsesforholdets ophør. For alle andre med adgang til kommunens systemer gælder, at disse skal underskrive tavshedserklæring, og ved deres underskrift bekræfte at denne også er gældende når adgangen til systemerne ophører. 9 Fysisk sikkerhed Fysisk sikkerhed og adgangsregler for gæster er naturlige elementer i Norddjurs Kommunens informationssikkerhedspolitik. Fysisk sikkerhed omfatter blandt andet døre, vinduer, alarmer - samt tyverisikring af Norddjurs Kommunes fysiske aktiver, eksempelvis IT-udstyr. Systemer til adgangskontrol er ligeledes et element af fysisk sikkerhed, der sikrer at kun personer med legalt ærinde får adgang til Norddjurs Kommunens område. 9.1 Sikre områder Fysisk afgrænsning Indbrudsalarmer Norddjurs Kommune skal anvende tilstrækkelige alarmsystemer i lokaler med IT-udstyr der indeholder fortrolige informationer. Aflåsning af lokaler og bygninger Alle døre og vinduer med adgang til/fra bygningerne skal lukkes og låses ved arbejdstids ophør. Døre til sikrede lokationer i bygningerne skal ligeledes aflåses. Sidste medarbejder der forlader et område er ansvarlig for sikring af dette Fysisk adgangskontrol Adgang for serviceleverandører Serviceleverandører må kun få adgang til sikre områder når dette er absolut påkrævet. Gæsters adgang Værten har ansvaret for gæsters færden. Gæster skal afhentes, følges rundt og følges til udgang af værten. Adgang til serverrum og hovedkrydsfelter Adgang til Norddjurs Kommunes serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse eller ved overvåget adgang af medarbejdere fra IT-afdelingen. Ansvar for den fysiske adgangskontrol IT-chefen har ansvaret for den fysiske adgangskontrol for serverrum. Adgangskontrollen til Norddjurs Kommunes serverrum sker via kode til alarmsystem. Side 19 af 47

24 9.1.3 Sikring af kontorer, lokaler og udstyr Sikring af kontorer, lokaler og udstyr. Kontorer og andre lokaler, hvor der opbevares systemer med følsomme og forretningskritiske data, skal kunne låses Beskyttelse mod eksterne trusler Brandsikring Serverrummet skal sikres med nødvendigt brandslukningsudstyr. Serverrummet må ikke benyttes som lager for brændbare materialer. Opbevaring af sikkerhedskopier på ekstern lokation Datamedier til retablering af forretningskritiske systemer skal opbevares på et, for Norddjurs Kommune, eksternt opbevaringssted. Reserveanlæg og -udstyr samt datamedier med sikkerhedskopier skal opbevares i sikker afstand for at undgå skadevirkninger fra et uheld på det primære anlæg Arbejdsmæssige forhold i sikre områder Optageudstyr i sikre områder Uautoriseret optageudstyr er ikke tilladt i sikre områder Områder til af- og pålæsning med offentlig adgang Af- og pålæsningsområder Af- og pålæsningsområder skal indrettes, så risiko for uautoriseret adgang til Norddjurs Kommunes øvrige områder mindskes. Modtaget materiale skal inspiceres før materialet viderebringes fra aflæsningsområdet. Indkommende og udgående leverancer skal, så vidt muligt, adskilles fysisk. 9.2 Beskyttelse af udstyr Adgang til bærbare computere Adgang til data på bærbare computere beskyttes med kodeord. Der må ikke opbevares personhenføre data på bærbare computere, medmindre der sker kryptering af dataene Placering af udstyr Placering af udstyr Udstyr skal placeres eller beskyttes så risikoen for skader og uautoriseret adgang minimeres. Udstyr, der benyttes til at behandle kritiske/følsomme informationer, skal placeres så informationerne ikke kan ses af uvedkommende. Køling Serverrummene i Norddjurs Kommune skal sikres med veldimensionerede køleanlæg. Side 20 af 47

25 Miljømæssig sikring af serverrum Serverrummene i Norddjurs Kommune, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger Forsyningssikkerhed Nødstrømsanlæg Alle forretningskritiske systemer skal beskyttes med nødstrømsanlæg med kapacitet til mindst 15 minutters uafbrudt drift Sikring af kabler Sikring af kabler Kabler til datakommunikation skal beskyttes mod uautoriserede indgreb og skader Udstyrs og anlægs vedligeholdelse Vedligeholdelse af udstyr og anlæg Programejerne skal vedligeholde udstyret efter leverandørens anvisninger. Reparationer og vedligeholdelse på IT-udstyr må kun udføres af godkendte personer. Norddjurs Kommune skal overholde fornødne sikkerhedskrav hvis udstyr repareres eller vedligeholdes uden for Norddjurs Kommune. Kritiske/følsomme informationer skal slettes fra udstyr der repareres eller vedligeholdes uden for Norddjurs Kommune Sikring af udstyr uden for Norddjurs Kommunes overvågning Opsyn med mobile enheder Mobile enheder må ikke efterlades uden opsyn i uaflåste rum. Adgang til data på mobile enheder skal beskyttes med en adgangskode. Udstyr med klassificerede informationer skal anvende harddisk kryptering Sikker bortskaffelse eller genbrug af udstyr Bortskaffelse eller genbrug af udstyr Når informationsudstyr bortskaffes eller genbruges, skal kritiske/følsomme informationer og licensbelagte systemer fjernes eller overskrives. Overskrivning foregår i henhold til datatilsynets regler Fjernelse af virksomhedens informationsaktiver Fjernelse af udstyr fra Norddjurs Kommune Udstyr må kun fjernes fra arbejdspladsen, hvis der foreligger en aftale herom. Udstyr, der indeholder fortrolige data, må kun fjernes efter behørig godkendelse fra pågældende dataejer. Udlån af udstyr skal være tidsbegrænset. Side 21 af 47

26 10 Styring af netværk og drift Vedligeholdelse og opdatering af it-systemer er nødvendigt for at opretholde et passende sikkerhedsniveau for Norddjurs Kommune. Drift af IT-systemer inkluderer elementer af overvågning af systemernes helbredstilstand, opdatering og sikkerhedskopiering af data. De fleste IT-systemer i dag er afhængige af netværk, og derfor er administration, opbygning, sikring og vedligeholdelse af netværk vitalt for Norddjurs Kommune. Den trussel, som uautoriseret adgang indebærer, gør det nødvendigt med klare regler for brugen af Norddjurs Kommunes netværk samt overvågning af infrastrukturen Operationelle procedurer og ansvarsområder Driftsafviklingsprocedurer Driftsafviklingsprocedurer Driftsafviklingsprocedurer for forretningskritiske systemer skal være dokumenterede, ajourførte og tilgængelige for driftsafviklingspersonalet og andre med et arbejdsbetinget behov. Driftsansvar IT-afdelingen er ansvarlig for drift og administration af fælles IT-systemer samt disses sikkerhed. Dette inkluderer efterlevelse af sikkerhedspolitikker, regler og procedurer. Dokumentation IT-afdelingen skal løbende vurdere dokumentationsbehov for alle væsentlige systemer og it-relaterede forretningsgange. Deaktivering af beskyttelsesmekanismer Det er under ingen omstændigheder tilladt at deaktivere eller omgå Norddjurs Kommunes beskyttelsesmekanismer, herunder antivirus produkter Ændringsstyring Side 22 af 47

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Hørsholm Kommune. Regler 3.3. Slutbruger

Hørsholm Kommune. Regler 3.3. Slutbruger Hørsholm Kommune Regler 3.3 Slutbruger 17-11-2016 Indholdsfortegnelse 6 Organisering af informationssikkerhed 1 6.1 Interne organisatoriske forhold 1 6.1.4 Godkendelsesprocedure ved anskaffelser 1 6.1.5

Læs mere

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017 Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12 Skanderborg Kommune Regler Nedenstående regler er udfærdiget på kravene i ISO 27002:2005 : 2014-02-12 Indholdsfortegnelse 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici 4.2 Risikohåndtering

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 03-05-2011 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

FYSISK SIKKERHED. Bilag 10-1

FYSISK SIKKERHED. Bilag 10-1 FYSISK SIKKERHED Bilag 10-1 Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6 1. FYSISK SIKKERHED Kundens

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Frederikshavn Kommune. Informationssikkerhed Version 1.0 Regler

Frederikshavn Kommune. Informationssikkerhed Version 1.0 Regler Frederikshavn Kommune Informationssikkerhed Version 1.0 Regler 13-11-2007 1 Risikovurdering og -håndtering Overordnet risikovurdering Der skal være udført en overordnet risikovurdering der indeholder konsekvensvurdering

Læs mere

Procedure om IT brug og IT sikkerhed

Procedure om IT brug og IT sikkerhed Procedure om IT brug og IT sikkerhed Godkendt i MED-Hovedudvalget den 28. september 2015 1 Procedure om IT brug og IT sikkerhed Denne procedure omhandler den overordnede tilgang til håndtering af IT- brug

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Middelfart Kommune IT-SIKKERHEDSPOLITIK. IT-sikkerhedspolitik for Middelfart Kommune. Regler

Middelfart Kommune IT-SIKKERHEDSPOLITIK. IT-sikkerhedspolitik for Middelfart Kommune. Regler Middelfart Kommune IT-SIKKERHEDSPOLITIK IT-sikkerhedspolitik for Middelfart Kommune Regler 11-10-2007 Organisation og implementering Placering af ansvar er vitalt for at sikre opmærksomhed på Middelfart

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Region Midtjylland Informationssikkerhedshåndbog Retningslinjer Region Midtjyllands regler for informationssikkerhed 1.0 11-03-2013 Indholdsfortegnelse Retningslinjer 2 1 Indledning 2 2 Termer og definitioner

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Politik <dato> <J.nr.>

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Faxe Kommune Informationssikkerhedspolitik Regler 14-07-2014 Indholdsfortegnelse Regler 2 1 Overordnede retningslinjer 2 1.1 Informationssikkerhedspolitik 2 1.1.1 Formulering af informationssikkerhedspolitik

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001) IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Billund Kommune. IT sikkerhedsregulativ v.1.0. Billund Kommune

Billund Kommune. IT sikkerhedsregulativ v.1.0. Billund Kommune IT sikkerhedsregulativ v.1.0 Billund Kommune Billund Kommune Januar 2011 1 Indholdsfortegnelse Indholdsfortegnelse... 2 Indledning... 3 Kapitel 1: Organisering... 4 Kapitel 2: Medarbejdersikkerhed... 5

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Vesthimmerlands Kommune

Vesthimmerlands Kommune Vesthimmerlands Kommune It-sikkerhedshåndbog Kommunens samlede it-sikkerhedshåndbog 2014 RISIKOVURDERING OG -HÅNDTERING... 1 Vurdering af sikkerhedsrisici... 1 Overordnet risikovurdering... 1 Risikohåndtering...

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere