Guide til implementering af ISO27001
|
|
- Anna Davidsen
- 8 år siden
- Visninger:
Transkript
1 Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015
2 Indhold 10 punkter til implementering af ISO Hvad er informations sikkerhed? 5 Overblik over forretningen 6 1. Ledelsens styring af informationssikkerhed 7 2. Politik for informationssikkerhed 8 3. Risikovurdering og -håndtering 9 4. Til- og fravalg SoA-dokumentet Leverandørstyring Hændelseshåndtering Beredskabsplanlægning Uddannelse og oplysning 15 Fra DS484 til ISO27001 hvad skal der til? Evaluering og opfølgning Planer for sikkerhedsaktiviteter 18 Modenhed som forudsætning for god styring af informationssikkerhed 19 Guide til implementering af ISO27001 September 2015 Henvendelse om publikationen: Digitaliseringsstyrelsen Landgreven København K Telefon Design BGRAPHIC Foto Colourbox ISBN Publikationen kan hentes på Digitaliseringsstyrelsens hjemmeside:
3 10 punkter til implementering af ISO27001 Informationssikkerhed er et værdiskabende element i enhver organisation og er med til at sikre, at informationssikkerhedsrisici håndteres. Styring af informationssikkerhed handler om at gøre det til en naturlig del af forretningens processer. Med National strategi for cyber- og informationssikkerhed 2014 er det blevet et krav, at statslige myndigheder skal implementere den internationale sikkerhedsstandard ISO/IEC 27001:2013 (herefter ISO27001) senest primo Dette krav og det øgede fokus på informationssikkerhed generelt har skabt et behov for en hjælp til implementering af ISO-standarden. Særligt er der blevet efterspurgt en model med konkrete anvisninger til, hvilke punkter der som minimum bør være opfyldt for at leve op til standarden. Ledelsens engagement Denne guide beskriver en forenklet model og koncentrerer sig særligt om 10 centrale punkter. Guiden indeholder således ikke en fyldestgørende liste over samtlige områder i standarden. De 10 punkter tager udgangspunkt i standardens kriterier for ledelsens engagement og involvering i styring af informationssikkerheden samt en række vigtige målsætninger i cyber- og informationssikkerhedsstrategien om hhv. håndtering af leverandører, hændelser og nødberedskab. Målet med guiden er dels at lette arbejdet med at implementere ISO27001, dels at skabe en forståelse for, hvad der er nødvendigt at gøre for at skabe professionel ledelsesmæssig styring af informationssikkerhed efter standardens principper. Guiden anviser en retning, men er ikke et implementeringskoncept, der skal gennemløbes slavisk. Alle organisationer er forskellige både i størrelse, kom pleksitet, organisering og opgavernes karakter. Ledelses mæssig styring af informationssikkerhed afhænger alene af den enkelte organisation, dens kultur og informationer og skal planlægges, tilrettelægges og udvikles herefter. Guiden er henvendt til topledelser og sikkerhedskoordinatorer i statslige organisationer, der står over for en førstegangsimplementering. Guiden kan også anvendes af private virksomheder mv. En god start For at komme godt i gang kan organisationen i en førstegangsimplementering vælge at gennemløbe de 10 punkter på et relativt overordnet niveau. Alternativt kan organisationen som opstart udvælge en mindre del af forretningen til det første gennemløb. Herefter vil der være opnået en viden og erfaring, der kan bruges i den videre udvikling til forbedring af informationssikkerhedsstyringen. Der bør dog foreligge en overordnet tidsplan for implementering i de øvrige forretningsområder. Helt afgørende forudsætninger for implemente ringen er, uanset fremgangsmåde, at arbejdet bakkes op af og er forankret i den øverste ledelse, er dokumenteret og baseret på den enkelte organisations risikoprofil. 3
4 Guidens opbygning Guiden gennemgår på et overordnet niveau de centrale punkter, der skal gennemløbes, etableres og dokumenteres i arbejdet med at implementere ISO Udover ledelsens opbakning til implementeringen forudsættes det, at der er etableret overblik over forretningen, opgaver og kontekst, før arbejdet sættes i gang. Overblikket indgår derfor ikke i de 10 centrale punkter. Punkterne er bygget op efter samme skabelon: : Hvilken værdi giver punktet organisationen? Ved alle punkter er der henvisninger til vejledninger og værktøjer på Digitaliseringsstyrelsens hjemmeside og de relevante afsnit i standarden eller Anneks A. Det anbefales, at man anskaffer sig selve standardens tekst hos Dansk Standard. Guiden er blevet til med input fra Dansk Standard, Center for Cybersikkerhed, Statens It, It-Branchen og medlemmer af Statens Informationssikkerhedsforum (SISF) og har været præsenteret for referencegruppen for statens tilsynskoncept. Digitaliseringsstyrelsen er dog ansvarlig for form og indhold alene. : Hvilket dokument og hvilken beslutning er udfaldet af punktet? Forudsætninger: Hvilket grundlag bygger punktet på? : Hvilken metode kan anvendes til punktet? Overblik over arbejdstrin OVERBLIK OVER FORRETNINGEN LEDELSENS STYRING AF INFORMATIONS- SIKKERHED POLITIK FOR INFORMATIONS- SIKKERHED PLANER FOR SIKKERHEDS- AKTIVITETER ÅRSHJUL TIL- OG FRAVALG SOA-DOKUMENTET RISIKOVURDERING OG -HÅNDTERING EVALUERING OG OPFØLGNING UDDANNELSE OG OPLYSNING LEVERANDØR- STYRING BEREDSKABS- PLANLÆGNING HÆNDELSES- HÅNDTERING 4
5 Hvad er informations sikkerhed? Informationssikkerhed er en bred betegnelse for de samlede foranstaltninger til at sikre informationer i forhold til fortrolighed, integritet og tilgængelighed. I arbejdet indgår blandt andet organisering af sikkerheden, påvirkning af adfærd, arbejdsgange for håndtering af informationer, styring af leverandører og tekniske sikkerhedsløsninger. Ledelsens ansvar Den øverste ledelse har det overordnede ansvar for styring af informationssikkerhed i en organisation. Dette indebærer ansvaret for at etablere, implementere, vedligeholde og løbende forbedre informationssikkerheden. Ledelsen har også ansvaret for at fastlægge et passende risikoog sikkerhedsniveau og afgrænse opgaver samt prioritere ressourcer og sikkerhedsaktiviteter. På samme måde som ledelsen er involveret i andre kritiske forhold af økonomisk, politisk og strategisk betydning for forretningen. Dette stiller krav til, at ledelsen forholder sig til og godkender alle relevante forhold vedrørende informationssikkerhed, herunder bl.a. overordnede politikker, risikovurderinger, SoA-dokument, retningslinjer, procedurer, handlingsplaner mv. Med dette sikres, at arbejdet med informationssikkerhed er forankret i topledelsen. ISO27002 indeholder en uddybning af foranstaltningerne (de såkaldte kontroller) og tilhørende implementeringsvejledning, som kan implementeres efter behov. Kontrollerne er stort set enslydende med foranstaltningerne i den tidligere anvendte standard, DS484, men i modsætning hertil er tilgangen, at de kan til- og fravælges ud fra resultatet af risikovurderingen. Det betones, at listen i ISO27002 ikke er udtømmende, så der kan være organisationer, der skal indføre flere eller andre foranstaltninger. ISO27000 består af en ordliste med definitioner på begreber, der anvendes i standarden. Sikkerhed i balance Den enkelte organisations indsats på sikkerhedsområdet skal vægtes med udgangspunkt i en konkret vurdering mellem hensynene: Sikkerhed, brugervenlighed og økonomi. Det er vigtigt, at indsatsen er proportional med truslerne på det konkrete område. Sikkerhedstiltagene bør være pragmatiske og ikke indføres på bekostning af brugeroplevelsen og effektiviteten. Der skal således ikke arbejdes med sikkerhed for enhver pris, og risici vil aldrig kunne kontrolleres fuldstændigt. National strategi for cyber- og informationssikkerhed Øget professionalisering og mere viden ISO-standarden ISO27001 er en normativ standard, som beskriver et ledelsessystem til styring af informationssikkerhed. Bilaget (det såkaldte Anneks A) indeholder en liste med 114 mulige risikominimerende foranstaltninger, der skal vurderes og evt. indføres for at opnå et passende sikkerhedsniveau. December
6 Overblik over forretningen Fundamentet for arbejdet med informationssikkerhed er, at der er skabt et godt overblik over forretningen, dvs. et klart billede af hvilke informationer der er de mest kritiske for forretningen. Det kræver et kendskab til interne og eksterne forhold, som kan bidrage med at bestemme de primære forretningsområder og tilhørende processer. Det betyder, at der skal skabes klarhed over forretningens vigtigste områder i relation til fx borgere, virksomheder og myndigheder, samt hvilke love, bestemmelser, overordnede politikker, kontraktuelle forhold eller andet som organisationen kan være underlagt. I ISO-standarden betegnes det Organisationens kontekst og fremgår af afsnit 4. Forudsætninger Kendskab til organisationens mål, formål, ydelser, processer, resultatkontrakter og strategi samt love, myndighedskrav og eventuelle overordnede politikker fx fra departement eller koncern. Der kan fx gennemføres workshops med de forretningsansvarlige og andre interne interessenter. De vil kunne bidrage med det forretningsmæssige indblik og medvirke til at skabe en fælles forståelse af vigtige prioriteringer. Det er vigtigt, at der fokuseres bredt på informationer, og at det ikke blot kommer til at handle om it-systemer. Beskrivelse af forretningsprocesser, arbejdsområder, interessenter og systemer mv., som er essentielle for organisationen, herunder de ansvarlige for forretningsområderne (system- og risikoejere) mv. Dette udgør endvidere grundlaget for risikovurderingen. Vejledning i informations - sikkerhedsstyring (ISMS) Vejledningens afsnit om organisationens kontekst giver input til, hvordan man etablerer et overblik over forretningen. Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udvalgte love med krav til informationssikkerhed Her beskrives, hvilke love man typisk skal forholde sig til. Den enkelte organisation kan være underlagt krav, som ikke er beskrevet her. Guide til identifikation af kritiske forretningsprocesser Guiden beskriver, hvordan man kan afgrænse og nedbryde de kritiske processer for at lette overskueligheden. 6
7 1 Ledelsens styring af informationssikkerhed Det er topledelsens ansvar at sikre et velfungerende ledelses- og styringssystem for informationssikkerhed (ISMS) gennem allokering af ressourcer, delegering af ansvar og opgaver mv. Hermed skabes der en tydelig oversigt over, hvem der er ansvarlig for de enkelte opgaver. Et ISMS er et samlet udtryk for de politikker, procedurer, processer, organisatoriske beslutningsgange og aktiviteter, som udgør komponenterne i organisationens styring af informationssikkerhed. I ISO-standarden er emnet beskrevet i afsnit 5.1 (Lederskab og engagement) og afsnit 5.3 (Roller, ansvar og beføjelser i organisationen). Beskrivelse af organisering, navne, opgaver, roller og ansvar i forhold til organisationens behov og prioritering af arbejdet med informationssikkerhed. Det gælder fx udpegning af informationssikkerhedskoordinator, informationssikkerhedsudvalg og formandskab, rap porteringer, brugernes ansvar, arbejdsgange, standarddagsordener for udvalgsmøder mv. Organiseringen skal godkendes af topledelsen. Forudsætninger At topledelsen viser engagement og lederskab i informationssikkerhedsarbejdet, og at der er skabt et overblik over forretningen. Styringen af informationssikkerhed bør tilpasses den enkelte organisation, så der tages hensyn til eksisterende arbejdsgange, organiseringer, ansvarsfordelinger mv. Det er en forudsætning for succes, at styringen af informationssikkerhed integreres i den eksisterende organisation. Det kan overvejes, om informationssikkerhed skal indgå i organisationens resultatkontrakter. Vejledning i informations - sikkerhedsstyring (ISMS) Vejledningen giver et overblik over de elementer og koncepter, der bør indgå i et ledelses- og styringssystem for informationssikkerhed. I afsnittet om ledelse beskrives organisering af informationssikkerhedsarbejdet. Vejledning i informationssikkerhedsstyring (ISMS) Februar
8 2 Politik for informationssikkerhed En informationssikkerhedspolitik er et strategisk styringsredskab og dermed en del af ledelsens styring, som skal være med til at sætte rammerne for informationssikkerheden. Det er topledelsens ansvar, at der defineres en politik, som anviser det ledelsesvalgte sikkerhedsniveau. Det er vigtigt, at politikken er afstemt med de forretningsmæssige mål og eksterne krav fra fx lovgivning og samarbejdspartnere. Informationssikkerhedspolitikken er omtalt i standardens afsnit 5.2 (Politik). Forudsætninger Overblik over forretningen, godt kendskab til formål og strategi samt eventuelle overordnede politikker. Ledelsen bør involveres i arbejdet med informationssikkerhedspolitikken, så det sikres, at dens vurderinger og beslutninger indgår. Politikken kan evt. skrives ud fra en eksisterende skabelon i organisationen. En informationssikkerhedspolitik for organisationen. Politikken skal kommunikeres til medarbejderne og relevante eksterne parter. Politikken skal godkendes af topledelsen. Vejledning i informations sikkerhedspolitik Vejledningen beskriver, hvordan man udarbejder en informationssikkerhedspolitik, herunder hvordan den kan passes ind i en organisations øvrige styringsdokumenter. Vejledning i informationssikkerhedspolitik Februar 2015 Informationssikkerhedspolitik stor model Eksempel på en model, der kan bruges til at opnå en stor detaljeringsgrad i udformningen af politikker for forretningen. Informationssikkerhedspolitik lille model Eksempel på en model for en mere overordnet politik. Modellen er tiltænkt en organisation, som ikke har behov for at udarbejde flere politikker for konkrete aspekter af it-anvendelsen. 8
9 3 Risikovurdering og -håndtering En risikovurdering handler om at identificere og analysere mulige trusler, sårbarheder og tilhørende konsekvenser og deres sandsynlighed i forhold til risikoen for tab af fortrolighed, integritet og tilgængelighed. Risiko vurderingen bruges til at kunne vurdere og håndtere risici. Arbejdet skal munde ud i en vurdering af, hvilke trusler der synes mest oplagte i forhold til at kunne påvirke forretningens evne til at nå sine mål. Dermed får ledelsen mulighed for at prioritere de indsatser, som giver organisationen et passende og ønsket niveau af informationssikkerhed. På denne baggrund udarbejdes en handlingsplan, der følger op på de risici, der vurderes som de vigtigste, og som ledelsen skal forholde sig til. Som led heri benyttes til- og fravalg i arbejdet med beslutningsdokumentet (SoA-dokumentet). Risikovurdering, fx med følgende elementer: Konsekvensvurdering af forretningsprocesser og tilhørende informationer Trusselsidentifikation og relevansbetragtning Sårbarhedsvurdering og vurdering af sandsynligheden for forretningsmæssige konsekvenser Liste over risici Forslag til risikoreducerende tiltag. Risikovurderingen og de aftalte aktiviteter i handlingsplanen skal godkendes af topledelsen. Risikovurdering er behandlet i standardens afsnit 6.1 (Handlinger til håndtering af risici og muligheder). Vejledning i it-risikostyring og -vurdering Vejledningen beskriver bl.a. risikovurderingsprocessen fra etablering af kontekst til vurdering, håndtering, opfølgning mv. Vejledning i it-risikostyring og -vurdering Februar
10 Forudsætninger Et godt kendskab til organisationens processer og informationer, og hvordan de understøtter forretningen. Overblik over forretningen udgør grundlaget for risikovurderingen. Fra 2015 er det blevet et krav, at cybertrusler indgår i grundlaget for myndighedernes risikoledelse. Det er forretningen, som bedst ved, hvordan processerne fungerer, og hvilke informationer, der er i spil, hvor og hvornår. Forretningen skal derfor tage en aktiv rolle i risiko vurderingen og fx udarbejde konsekvensvurderingen for processer og informationer. Det danner grundlag for detaljeringsniveauet i det videre arbejde med risikovurderingen. Støtteaktiver som fx hardware og software, fysiske lokationer, interaktion med informationerne mv. skal identificeres og medtages i vurderingen af de trusler og sårbarheder, der vil kunne aktualiseres i risiko for tab af fortrolighed, integritet og tilgængelighed. Arbejdet med at identificere relevante trusler handler om at undersøge, hvad der kan true informationssikkerheden. Sårbarhedsvurderingen skal identificere evt. svagheder i organisationen, som kan udnyttes til at kompromittere informationernes fortrolighed, integritet eller tilgængelighed. Sandsynligheden for, at noget sker, kan anvendes til at udvælge passende sikkerhedskontroller og prioritere ressourcerne bedst muligt. 10
11 4 Til- og fravalg SoA-dokumentet Arbejdet med SoA-dokumentet (Statement of Applicability) er et led i håndteringen af risici. SoA en, som også kaldes beslutningsdokumentet, bruges til at træffe en række til- og fravalg til håndtering af de risici, der er identificeret gennem risikovurderingen. Et SoA-dokument består således af en liste med kontroller, der kan være relevante for en organisation at udføre som led i håndtering af risici. SoA er behandlet i standardens afsnit 6.1 (Handlinger til håndtering af risici og muligheder) og (Håndtering af informationssikkerhedsrisici). SoA-dokument, der indeholder en beskrivelse af de foranstaltninger, der skal gennemføres. Beskrivelsen skal indeholde begrundelser for, hvorfor visse kontroller evt. er blevet valgt fra. Forudsætninger En udarbejdet risikovurdering. Udarbejdelsen af SoA-dokumentet kan foregå enten i workshop- eller interviewform. Arbejdet ligger i forlængelse af de risici, man har identificeret under risikovurderingen. På baggrund af risikovurderingen besluttes det, hvilke muligheder man har for at håndtere de fundne risici, samt hvilke foranstaltninger man vil implementere. SoA en bruges til at verificere, at man ikke har undladt vigtige kontroller. Det udarbejdede SoA-dokuments tilvalg indgår som grundlag for handlingsplaner for konkrete aktiviteter, der skal implementere sikkerhedsforanstaltningerne. Resultatet af arbejdet med SoA-dokumentet skal godkendes af topledelsen. Guide til SoA-dokumentet Denne guide fungerer som generel vejledning i, hvordan man udarbejder et SoA-dokument og beskriver samtidig, hvordan man bruger Digitaliseringsstyrelsens SoA-skabelon. Guide til SoA-dokumentet - Statement of Applicability August 2014 SoA-skabelon Skabelonen udgøres af et Excel-ark, der indeholder listen med kontrollerne fra Anneks A. Ud fra hver kontrol er der felter, der kan udfyldes med begrundelser for til- og fravalg. 11
12 5 Leverandørstyring Mange statslige it-løsninger er outsourcet til eksterne leverandører, men selv om en løsning er outsourcet, er myndigheden stadig ansvarlig for styringen af informa tionssikkerheden. Med det følger et ansvar for at håndtere og stille krav til leverandørerne. Professionel leverandørstyring skal sikre, at organisationen får de rette ydelser og sikrer en tydelig ansvarsfordeling i håndtering af driften og ved hændelser. Derudover er det et krav, at der udarbejdes en databehandleraftale, hvis den eksterne leverandør håndterer personoplysninger direkte eller indirekte. Leverandørstyring behandles i afsnit 15 i Anneks A (Leverandørforhold). Politik eller retningslinjer for leverandørstyring, som fx indeholder krav om løbende vurderinger af sikkerhedsrisici hos centrale leverandører og underleverandører, risikovurdering inden kontraktindgåelse mv. Principperne for leverandørstyringen skal godkendes af topledelsen. Der bør etableres en ramme for selve leverandørstyringen, fx Tydelig ansvarsfordeling mellem kunde og leverandør ved hændelser, rapportering og beredskabssituationer Relevante krav til sikkerhedsforanstaltninger, herunder teknisk vedligehold (patching, antivirus, backup, retention time mv.), adgangsforhold og medarbejdernes rettigheder på systemer Kontraktuel styring, herunder ændringer i leverandørydelser, forhold ved opsigelse, forhold ved salg eller ophør af leverandørens virksomhed og krav ved brug og skifte af underleverandører Når rammerne for leverandørstyringen er etableret, bør det i samarbejde med de kontraktansvarlige i organisationen vurderes, om eksisterende og nye kontrakter lever op til rammerne, og om eventuelle afvigelser skal håndteres. I givet fald skal det beskrives i en handlingsplan. Forudsætninger Et godt kendskab til den eksisterende organisation og dennes processer, systemer, andre aktiver samt leverandører, kontrakter og øvrige eksterne krav. Anbefalinger til styrkelse af sikker heden i statens outsourcede it-drift Anbefalingerne fremgår af en rapport, som Digita li seringsstyrelsen og Center for Cyber sikkerhed skrev som opfølgning på CSC-sagen. Rapporten behandler de udfordringer, der er forbundet med at outsource itsystemer og er bygget på konkrete erfaringer. Det indgår som et initiativ i cyber- og informations sikker heds - strategien, at der følges op på myndighedernes efterlevelse og indarbejdelse af anbefalingerne i rapporten. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Datatilsynets beskrivelse af databehandleraftale På Datatilsynets hjemmeside findes beskrivelser af håndtering af personfølsomme informationer, herunder anbefalinger til udformning af data behandleraftaler. 12
13 6 Hændelseshåndtering En organisation bør have en ensartet og effektiv metode til at imødekomme brud på informationssikkerheden. Der skal følges op og evalueres på hændelser, så man kan igangsætte de rette organisatoriske, administrative og tekniske løsninger til at imøde komme samme typer hændelser fremover. Siden 1. september 2014 har det været et krav, at alle statslige myndigheder skal underrette Center for Cybersikkerhed ved større cybersikkerhedshændelser. Underretningspligten er indført for at skabe de bedst mulige forudsætninger for at udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af staten. Hændelseshåndtering behandles i afsnit 16 i Anneks A (Styring af informationssikkerhedsbrud). Procesbeskrivelse af, hvordan hændelser håndteres i organisationen og evt. eksterne parter underrettes. Forudsætninger Et godt kendskab til den eksisterende organisation og dennes processer, systemer, netværk, medarbejdere mv. Håndtering af sikkerhedshændelser vil typisk foregå på tværs af en organisation. Etableringen af en konkret proces for hændelseshåndtering kan fx indeholde følgende elementer: Fælles forståelse i organisationen og hos leverandører af, hvad en hændelse er, og hvilke der skal håndteres, kilder til opsamling af hændelser, overgang fra hændelse til beredskab Rapportering og vurdering af hændelsen, ansvarsfordeling, håndtering, evaluering og forbedring. Digst.dk Håndtering af hændelser Digst.dk indeholder et eksempel på en proces og en guide til, hvilke oplysninger der er vigtige i forbindelse med at indsamle til hændelses rapporteringen. 13
14 7 Beredskabsplanlægning En organisation har normalt truffet foranstaltninger til at imødekomme it-nedbrud eller andre situationer, som påvirker organisationens evne til at opretholde sin normale drift. Hvis foranstaltningerne ikke slår til, træder beredskabsplanen og eventuelle nødforretningsplaner i kraft. I standardens Anneks A bruges begrebet informationssikkerhedskontinuitet som et udtryk for beredskab. Dette handler om at etablere processer til så vidt muligt at bevare fortrolighed, integritet og tilgængelighed af information i kritiske situationer. Beredskabsplanlægning tager afsæt i at understøtte organisationens retablering af normal drift, men kan også baseres på hurtig genetablering til et lavere, men acceptabelt driftsniveau og begrænsning af følgevirkninger af en hændelse, fx ved brug af planer for nøddrift. Udgangspunktet for beredskabsplanlægning er beskrevet i afsnit 17 i Anneks A (Informationssikkerhedsaspekter ved nød-, beredskabs- og retableringsstyring). Beredskabsplan, der beskriver de forskellige processer, roller og procedurer, der indgår i en beredskabssituation. Planen bør indeholde beskrivelse af, hvornår et beredskab skal træde i kraft og afsluttes. Beredskabsplanen skal godkendes af topledelsen og være tilgængelig for relevante personer i organisationen. Forudsætninger Et godt kendskab til den eksisterende organisation og dennes processer, systemer, netværk, medarbejdere mv. Grundlaget for beredskabsplanlægning skal etableres. Overblik over forretningen kan danne basis for, hvilke kriterier der skal gælde for den videre beredskabsplanlægning, fx acceptabel nedetid til normal drift er genetableret, tab af data, overgangen fra hændelseshåndtering til beredskab, muligheder for nøddrift mv. Herefter kan selve arbejdet med beredskabsplanen begynde. Planen skal udarbejdes i samarbejde med de ansvarlige fra forretningen og koordineres med relevante leverandører for at sikre, at omkostningerne for beredskabet er i balance med forretningens afhængighed. Planen bør korrigeres efter behov og testes jævnligt. Det er en forudsætning for et godt beredskab, at retablering af kritiske informationer omfattes af testen. Resultatet af testen skal evalueres, og forbedringer skrives i handlingsplaner. Guide til bedre beredskabsstyring Guiden beskriver, hvordan man håndterer og forbedrer beredskabsplanlægningen i en organisation på baggrund af et selvevaluerings forløb. Guide til bedre beredskabsstyring April 2015 Vejledning til it-beredskab Vejledningen beskriver, hvordan organisationen kan styre og vedligeholde et passende it- beredskab. I vejledningen henvises til forskellige skabeloner. Digst.dk Beredskab Digst.dk indeholder en række skabeloner og andre værktøjer til brug for arbejdet med beredskabet. 14
15 8 Uddannelse og oplysning Organisationens medarbejdere skal have den fornødne viden om informationssikkerhed, så de til daglig udviser en adfærd, som understøtter organisationens mål for informationssikkerhed. I standarden behandles emnet i afsnit 7.3 (Bevidsthed). Informationsindsats eller andre aktiviteter, der kan fremme en adfærdskultur, som afspejler organisationens informationssikkerhedspolitik og risikoprofil, og som tager højde for aktuelle trusler fra fx internettet. Indsatsen kan fx have ledelsen som afsender. Forudsætninger Overblik over forretningen, risikovurdering og informationssikkerhedspolitik, regler, procedurer mv., der er rammesættende for medarbejdernes adfærd i organisationen. Uddannelse og oplysning kan planlægges og udføres på mange måder. Indsatsen bør lægges, hvor det giver mest værdi for forretningen under iagttagelse af forskelle i roller og ansvar for informationssikkerheden. Guide til awareness Guiden beskriver, hvordan man kan arbejde med oplysning om informationssikkerhed. Guide til awareness om informationssikkerhed Marts 2013 Din brug af it Denne pjece viser et eksempel på målrettet awareness mod medarbejderens brug af it-udstyr i det daglige. Hvad gør vi ved cyberangreb? Et eksempel på en pjece med anvisninger på, hvordan man som medarbejder skal forholde sig til cyberangreb. 15
16 Fra DS484 til ISO27001 hvad skal der til? Regeringen besluttede i 2010, at det skulle være muligt at vælge mellem den danske standard DS484 og den internationale standard ISO ISO-standarden blev obligatorisk for staten efter revidering og udgivelse på dansk i januar Mens DS484 ofte er blevet opfattet som en tjekliste for implementering af sikkerhed i it-miljøer, stiller ISOstandarden færre bindende krav til institu tionerne, og de organisatoriske, administrative og tekniske løsninger afhænger i højere grad af den enkelte institutions behov. Et kritikpunkt af DS484 har været, at den medførte omfattende administrative omkostninger for statens institutioner uden hensyntagen til risikoprofil. Med ISO27001 er det blevet muligt at tage udgangspunkt i en risiko vurdering af forretningens processer og aktiver og derfra udarbejde et beslutningsdokument, hvor der aktivt skal foretages en række til- og fravalg af en række sikkerhedskontroller. Groft sagt svarende til de kendte sikkerhedsforanstaltninger i DS484. Ledelsesforankring nødvendig Den afgørende forskel på de to standarder er dog hensynet til ledelsesforankringen. I ISO27001 for ventes det, at ledelsen tager styringen og etablerer et ledelsessystem for styring af informationssikkerhed (ISMS). Omdrejningspunktet i ISO27001 er ledelsessystemet og løbende etablering af forbedrede processer til styring af informationssikkerhed som en naturlig og integreret del af den daglige ledelse af forretningen. Arbejdet med DS484 kan stadig bruges. Sikker heds foranstaltningerne i DS484 kan i et vist omfang sidestilles med ISO Når risikovurderingen er gennemført, og beslutningsdokumentet (SoA) udarbejdet, er rammen sat for, hvilke kontroller der skal implementeres. ISO27001 rummer også mulighed for at anvende andre standarder udover ISO27002 i arbejdet med at implementere sikker hedskontroller. Dette kunne fx være Cobit, ISF, ITIL, PCI DSS og NIST. 16
17 9 Evaluering og opfølgning et med evaluering og opfølgning er at vurdere, om de besluttede kontroller er relevante og effektive, og om ISO27001 efterleves. Der bør ske en systematisk erfaringsopsamling i form af intern audit, dvs. et systematisk og planlagt eftersyn af informations sikker hedsstyringen, og om andre aktiviteter på sikkerhedsområdet er passende og optimale. I standarden er emnet behandlet i afsnit 9 (Evaluering) og 10.1 (Afvigelser og korrigerende handlinger). Evaluering og opfølgning, der gør status på sikkerhedsaktiviteter og indeholder anbefalinger til korrigerende handlinger og forbedring af informationssikkerheden. Dette skal godkendes af ledelsen. Forudsætninger Det er en forudsætning, at der er udarbejdet en oversigt over til- og fravalg med tilhørende handlingsplan, da evalueringen bl.a. tager udgangspunkt i, om tilvalgene er gennemført. Andre aktiviteter på sikkerhedsområdet indgår også i evalueringen. Evalueringen kan tilrettelægges med udgangspunkt i, men bør ikke været begrænset til, SoA-dokumentet og den tilhørende handlingsplan. Dette kan foregå som intern audit, fx gennem interview med de ansvarlige for de respektive punkter i SoA en. De indsamlede resultater evalueres, og der udarbejdes forslag til korrigerende handlinger, ændringer til eksisterende eller nye foranstaltninger. Hvis der findes store afvigelser, kan det være nødvendigt at lave en fornyet risikovurdering. Værktøj til selvevaluering Med dette værktøj kan man danne et overskueligt situationsbillede af, hvor langt en orga ni sation er nået i overgangen fra DS484 til ISO ISO27001 Benchmark Dette selvevalueringsværktøj kan bruges som en benchmark i forhold til de 114 kontroller i Anneks A. Målepunkter for informationssikkerhed Center for Cybersikkerhed har udgivet en vejledning, der kan hjælpe virksomheder i gang med at foretage konkrete målinger af deres indsats på informationssikkerhedsstyring. Målgruppen for vejledningen er primært virksomheder i energi-, tele- og den finansielle sektor, men målepunkterne kan også anvendes af virksomheder i andre brancher. 14. Overensstemmelse med lovbestemte og kontraktlige krav Informationssikkerhedsstyring (ISMS) 2. Dokumentation 13. Beredskabsstyring Risikovurdering og -håndtering 12. Styring af sikkerhedsbrud Politikker 11. Indkøb, udvikling og vedligeholdelse af informationsbehandlingssystemer 5.Organisering af informationssikkerhed 10. Adgangsstyring 6. Styring af informationsrelaterede aktiver 9. Styring af netværk og drift 7. Medarbejdersikkerhed 8. Fysisk sikkerhed 17
18 10 Planer for sikkerhedsaktiviteter Implementering og styring af informationssikkerhed er en kontinuerlig proces. Der er ikke forventninger om, at samtlige aktiviteter er varige og på forhånd etableret, men de skal indgå i handlingsplaner og løbende forbedres. Planer for tilbagevendende aktiviteter kan indgå i et såkaldt årshjul, fx punkterne i denne guide. Enkeltstående aktiviteter som implementering af ISO27001 skal også beskrives og formuleres i en handlingsplan. Planer for sikkerhedsaktiviteter er ikke eksplicit omtalt i ISO-standarden, men det er en gennemgående præmis, at sikkerhedsarbejdet udføres efter handlingsplaner, og at der sker planlagte, løbende evalueringer og forbedringer. Årshjul med etablering, opfølgning, evaluering og løbende forbedringer af tilbagevendende aktiviteter. Andre handlingsplaner, herunder plan for implementering af ISO27001, implementering af sikkerhedsforanstaltninger fra SoA-dokumentet, nødberedskab, test, evaluering, opfølgning, audit mv. Alle relevante aktiviteter og planer, der har større sikkerhedsmæssig eller økonomisk betydning for forretningen skal godkendes af topledelsen. Forudsætninger Et godt overblik over sikkerhedsarbejdets opgaver og tilbagevendende aktiviteter. Der skal etableres planer for, hvornår aktiviteterne skal gennemføres. Planerne kan være udarbejdet i Excel, Word, et projektværktøj eller et Gantt-diagram, alt efter hvad der passer ind i den enkelte organisation. I planen bør deadline, ansvarlig og status fremgå under de enkelte aktiviteter. Afrapportering og fremdrift kan fx ske på møder i informationssikkerhedsudvalget. Vejledning i informations - sikkerhedsstyring (ISMS) Vejledningen giver et overblik over de elementer, der bør indgå i et ledelses- og styringssystem for informationssikkerhed, herunder opfølgning og forbedring ud fra Plan-Do-Check-Act-modellen. Vejledning i informationssikkerhedsstyring (ISMS) Februar
19 Modenhed som forudsætning for god styring af informationssikkerhed Det ligger i ISO-standardens præmis, at informationssikkerhed skal styres på baggrund af en risikobaseret tilgang til informationssikkerheden. Udgangspunktet er, at det kun er den organisation med ansvaret for informationer, processer og systemer, der kan træffe beslutning om risici og prioritere ressourcerne derefter. Dette gælder, uanset om informationer, processer og systemer driftes internt eller er outsourcet. Hvis visse informationer eller et system er afgørende for organisationens drift, vil organisationen skulle prioritere sikkerheden for dette højere end for mindre afgørende systemer. Ressourcerne skal således allokeres til det mest kritiske. Af samme grund er det kun topledelsen, der kan vurdere, hvor dybdegående risikovurderingerne skal være, grundigheden i beredskabets tilrettelæggelse, og hvordan gode sikkerhedsrutiner skal etableres hos medarbejderne. Kvaliteten og dybden af en organisations implementering af ISO27001 er således op til den enkelte organisations ledelse at vurdere og beslutte. Det ligger dog fast i ISO27001, at alt relevant arbejde med informationssikkerhed skal dokumenteres, og at topledelsens beslutninger i disse sammenhænge tydeligt skal fremgå. Med dette sikres det, at ledelsen har truffet sine beslutninger på informationssikkerhedsområdet ud fra en risikobaseret tilgang og dette på et oplyst grundlag. Sammenhæng i styringen Mange organisationer kan siges allerede i dag at have opfyldt visse basispunkter i ISO27001, fx sikkerhedspolitik, risikovurdering og beredskabsplaner mv. gennem arbejdet med DS484. Implementering af ISO27001 handler imidlertid lige så meget om at skabe en integreret sammen hæng mellem den ledelsesmæssige styring af forretningen og informationssikkerhed som at have en sikkerhedspolitik, gennemførte risikovurderinger og styr på dokumentation og ledelsesgodkendelser. En sådan sammenhæng eller modenhed opnås ikke med en førstegangsimplementering. Modenhed opnås først, når man har været igennem flere risikovurderinger, handlingsplaner og årshjul og evalueret, om processerne passer til organisationen, herunder skabt en god kultur omkring den ledelsesmæssige styring af informationssikkerhed, så det skaber værdi for forretningen. Målet med en implementering er at etablere en systematisk og struktureret ledelsesmæssig styring af informationssikkerhed, som afhængig af organisation bliver integreret i eksisterende strukturer. 19
20 digst.dk
Vejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereVejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden
Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereLeverandørstyring: Stil krav du kan måle på
Leverandørstyring: Stil krav du kan måle på 1. Marts 2018 Rikke Saltoft Andersen, Teamleder, Kontor for Systemforvaltning Hovedbudskaber ISO 27001 standarden muliggør reference til standard leverancer
Læs mereMÅLING AF INFORMATIONSSIKKERHED
MÅLING AF INFORMATIONSSIKKERHED Beth Tranberg, Programleder betr@kl.dk 3370 3064 LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan 2016-2020 Programmet skal følge op på og dokumentere,
Læs mereDenne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereVejledning i etablering af forretningsoverblik. Januar 2018
Vejledning i etablering af forretningsoverblik Januar 2018 Indhold 1. Forretningsoverblikket 4 1.1 De interne forhold og interessenter 4 1.2 De eksterne forhold og interessenter 5 2. Kortlægning af processer
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereVejledning om evaluering af beredskab. April 2015
Vejledning om evaluering af beredskab April 2015 Vejledning om evaluering af beredskab Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs mereLedelsesforankret informationssikkerhed. med ISO/IEC 27001
Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereResultatet af undersøgelse af status på implementering af ISO27001-principper i staten
Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten 2017 INDHOLD RESULTAT AF MÅLING AF IMPLEMENTERINGSGRADEN AF ISO27001-PRINCIPPER INDLEDNING HOVEDKONKLUSION METODE
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereVirksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:
DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede
Læs mereINFORMATIONS- SIKKERHEDS- AKTIVITETER
ISO27001 PRINCIPPERNE SEPTEMBER 2017 INFORMATIONSSIKKERHED INFORMATIONS- SIKKERHEDS- AKTIVITETER KOMMUNALT ARBEJDE MED ØGET INFORMATIONSSIKKERHED Informationssikkerhedsaktiviteter Kommunalt arbejde med
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereKursus: Ledelse af it- sikkerhed
Kursus: Ledelse af it- sikkerhed Neupart tilbyder en kursusrække, som vil sætte dig i stand til at arbejde struktureret efter best practice og de internationale standarder for informationssikkerhed. Alle
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereVejledning i it-risikostyring og -vurdering. Februar 2015
Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereHvad er Informationssikkerhed
> Hvordan hænger GDPR og informationssikkerhed sammen? Dit arbejde med ISO 27000 understøtter din GDPR-compliance to separate øvelser med få indbyggede modsætninger 12 October, 2018 S 1 Hvad er Informationssikkerhed
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs merePOLITIK FOR INFORMATIONSSIKKERHED
POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereProgrambeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning
Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde
Læs mereKommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.
Baggrund Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484. Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder
Læs mereArbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87
Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereAnbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Denne publikation er udarbejdet
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereFællesregional Informationssikkerhedspolitik
Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik
Læs mereIMPLEMENTERING AF MILJØLEDELSE
IMPLEMENTERING AF MILJØLEDELSE MODUL 1 MODUL 2 MODUL 3 MODUL 4 TRIN 1 Indledende kortlægning TRIN 2 Ledelsens involvering i projektet TRIN 3 Projektplan TRIN 4 Projektopstart og organisering TRIN 5 Detailkortlægning
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereInformationssikkerhedspolitik. DokumentID / Dokumentnr /
Regionen - Tværregionale dokumenter - 1 Ledelse - 1.11 Informationssikkerhed Dokumentbrugere: Alle Læseadgang: Tværregionale dokumenter Udskrevet er dokumentet ikke dokumentstyret. Forfatter: Søren Lundgaard
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs mereGuide til bedre beredskabsstyring. April 2015
Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereSystemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?
Læs mereREGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED
11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereHvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?
Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret
Læs mereDe første 350 dage med den nye databeskyttelsesforordning
Baggrund Beskyttelse af data og informationssikkerhed er med EUs nye forordning om databeskyttelse blevet et væsentligt emne for mange virksomheder og organisationer. I forvejen har de statslige myndigheder
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereIt-beredskabsstrategi for Horsens Kommune
It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,
Læs mereGuide til awareness om informationssikkerhed. Marts 2013
Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereIt-sikkerhed - ledelsens ansvar
Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereISO Styr på Arbejdsmiljøet på din virksomhed
ISO 45001 Styr på Arbejdsmiljøet på din virksomhed Hvem er med Topledelsen Mellemledere Medarbejdere Eksterne Kunder Leverandører Besøgerne Outsoucering Kontractors Gevinst Styr på Arbejdsmiljøet Mindre
Læs mereKvalitetsledelse af jeres ydelser og services
Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for kvalitetsledelse på telefon 39 96 61 01 eller consulting@ds.dk. Kvalitetsledelse
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs mereVejledning i evaluering og opfølgning. Juni 2016
Vejledning i evaluering og opfølgning Juni 2016 Indhold Indledning 3 1. Metoder og værktøjer til overvågning, måling, analyse og evaluering 4 1.1 Formålet med overvågning, måling, analyse og evaluering
Læs mereInformationssikkerhedspolitik for Odder Gymnasium
Informationssikkerhedspolitik for Odder Gymnasium Version: 1.0 Maj 2018 Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:... 2 1.5
Læs mereDI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed
Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,
Læs mere