Forsvarsministeriets. informationssikkerhedsstrategi Trompet
|
|
- Pia Christoffersen
- 5 år siden
- Visninger:
Transkript
1 Forsvarsministeriets informationssikkerhedsstrategi Trompet
2 Forsvarsministeriets informationssikkerhedsstrategi Indhold Forord af departementschefen 2. Om informationssikkerhedsstrategiens tilblivelse 3. Visioner for informationssikkerhedsstrategien 4. Indsatsområder og igangværende initiativer 4.1 Governancestruktur 4.2 Koncernfælles Informationssikkerhedsudvalg 4.3 Måling af informationssikkerhedstilstanden 4.4 Initiativer i Forsvarsministeriets it-strategi Handleplan 6. Tiden efter Forsvarsministeriets informationssikkerhedsstrategi INITIATIV 1.1: Udarbejdelse af minimumskrav til myndighedernes beredskabskapacitet INITIATIV 1.2: Samordning af awareness-aktiviteter INITIATIV 2.1: Opfølgning på reduktion af angrebsflade INITIATIV 3.1: Implementering af governancestruktur INITIATIV 3.2: Etablering af informationssikkerhedsportal på intranettet INITIATIV 3.3: Styrkelse af egenkontrol INITIATIV 4.1: Samordning af leverandørstyring INITIATIV 5.1: Målsætning for informationssikkerhed
3 1. Forord af departementschefen Danmark er et af de mest digitaliserede lande i verden, og vores fortsatte vækst og velfærd er i meget høj grad afhængig af, at vi som nation kan sikre vores informationer og de teknologier, vi anvender til at behandle vigtige informationer. Gennem de seneste år har vi oplevet en række cyberangreb mod danske myndigheder, virksomheder og borgere, hvoraf nogle bl.a. har medført store økonomiske tab. Vi ser i dag generelt flere sårbarheder i itsystemerne, bl.a. fordi mange systemer nu kan tilgås fra internettet, hvor systemer og komponenter tidligere var isoleret på interne, lukkede netværk. Det er muligt at finde frem til værktøjer og teknikker på internettet, som udnytter sårbarheder i software og it-systemer, og disse former for angreb er blevet langt mere almindelige. Forsvarsministeriet har en central rolle i forsvaret af Danmark, også i forbindelse med forsvaret mod ødelæggende cyberangreb mod danske interesser i bred forstand. Vi har et ansvar over for vores internationale alliancepartnere for at leve op til aftaler og krav til sikring af den information, som vi deler med hinanden. Denne rolle og dette ansvar udgør grundlaget i denne informationssikkerhedsstrategi. Informationssikkerhedsstrategien skal binde Forsvarsministeriets it-strategi og øvrige koncernfælles forretningsstrategier sammen med styrelsernes egne forretningsstrategier og dermed sikre grundlaget for en overordnet prioritering og styring. Forsvarsministeriets informationssikkersstrategi udtrykker de visioner, prioriteringer og initiativer, som vi vil gennemføre i denne kommende tre-års periode med henblik på at kunne leve op til koncernens ansvar. Forsvarsministeriets informationssikkerhedsstrategi er ambitiøs og den væsentligste målsætning er at gøre koncernen yderligere robust over for potentielle angreb såvel som over for situationer, når angreb rammer. Herudover udtrykker strategien de nyeste principper for informationssikkerhed og dermed den retning, som koncernledelsen vil styre efter fremover. Informationssikkerhedsstrategien henvender sig dermed til alle ansatte i koncernen såvel som til interessenter og samarbejdspartnere inden for andre sektorer i det danske samfund. God læselyst! Thomas Ahrenkiel Departementschef 1
4 2. Om informationssikkerheds- strategiens tilblivelse forskel fra beskyttelse, definerer vi i denne sammenhæng forsvar, som vores evne til at handle reaktivt, når angreb rammer os. Det militære sikkerhedsområde ekskl. informationssikkerhed er forankret i Forsvarsministeriets Sikkerhedsudvalg, mens informationssikkerhedsområdet er forankret i Koncernfælles Informationssikkerhedsudvalg (KIU). Forsvarsministeriet varetager governanceniveauet for informationssikkerhedsområdet, og Koncernfælles Informationssikkerhedsudvalg refererer til Forsvarsministeriet. Forsvarets Efterretningstjenestes Center for Cybersikkerhed varetager opgaven som national itsikkerhedsmyndighed og som koncern itsikkerhedsmyndighed. Udarbejdelsen af informationssikkerhedsstrategien er igangsat med Koncernfælles Informationssikkerhedsudvalg som styregruppe og udført i en tværgående arbejdsgruppe med deltagere fra alle styrelser. Det har været et mål, at alle styrelser har været tæt involveret i arbejdet, fordi informationssikkerhedsstrategien understøtter det fælles perspektiv såvel i forhold til Forsvarsministeriets itstrategi, øvrige strategier som i forhold til styrelsernes egne forretningsmæssige strategier. Der skal rettes en stor tak til medlemmerne af den tværgående arbejdsgruppe, der har arbejdet med strategien. 3. Visioner for informationssikkerhedsstrategien På informationssikkerhedsområdet har Forsvarsministeriet defineret fem visioner, der alle skal sætte retning og sikre, at informationssikkerheden i koncernen understøtter og realiserer koncernens strategiske målbillede. Forsvarsministeriets visioner er, at: 1. Sikre et effektivt cyberforsvar og - beredskab Vi skal være i stand til at reagere, når angreb rammer vores systemer og vores brugere. Til 2. Beskytte internetvendte systemer mod cyberangreb Vi vil beskytte internetvendte systemer. Det vil sige systemer på netværk, hvorfra der er adgang til internettet. I denne sammenhæng definerer vi beskytte, som det at handle proaktivt inden et angreb rammer, ved at etablere foranstaltninger, der skal reducere risikoen for, at angrebet kan ramme. 3. Styrke styring og ledelse af informationssikkerhed Vi skal sikre, at styring af informationssikkerheden er forankret i koncernledelsen og myndighedernes ledelser. Organiseringen skal understøtte, at de relevante ledelsesniveauer kan fastlægge informationssikkerhedsmål, som er koordinerede både horisontalt og vertikalt, herunder fastlægge koordinerede processer, hvorved målene kan realiseres. 4. Arbejde helhedsorienteret med risikostyring Vi skal tage udgangspunkt i løbende vurderinger af risici frem for faste regler samt tage hensyn til eventuelle gensidige afhængigheder, når vi tager stilling til vores risikovillighed. Når en myndighed beslutter sin risikovillighed, kan beslutningen have konsekvenser både vertikalt og horisontalt. De vertikale konsekvenser rammer f.eks. over- og underordnede myndigheder samt leverandør- og forsyningskæder. Horisontalt set, kan beslutningen have betydning for sideordnede myndigheder inden for koncernen. 5. Være ambitiøs og praksissættende Vi vil være blandt de bedste til informationssikkerhed i Danmark og dermed være et eksempel til efterfølgelse. Disse visioner har et tidsperspektiv ud over den periode, som denne strategi omhandler. Derfor har 2
5 Forsvarsministeriet, med afsæt i visionerne, defineret en række prioriteringer, som sætter relevante rammer for de konkrete initiativer, der skal realiseres i strategiperioden: 1. Prioriteringer i angående visionen om at Sikre et effektivt cyberforsvar og -beredskab : Cyberforsvarsindsatsen i forhold til koncernens internetvendte systemer skal styrkes. Det skal sikres, at koncernen besidder et aktivt og effektivt beredskab, når angreb rammer. Alle medarbejdere gennemgår awareness og træning i relation til funktion og opgaver, så de er opmærksomme, når angreb rammer. 2. Prioriteringer i angående visionen om at Beskytte internetvendte systemer mod cyberangreb : Gennem konsolidering af it-arkitekturen og proaktive sikkerhedstiltag vil vi reducere angrebsfladen mod koncernens internetvendte systemer. Vi vil gøre det muligt for os selv at kunne udnytte de nyeste sikkerhedsteknologier bl.a. gennem løbende tilpasning af itarkitektur og interfaces. 3. Prioriteringer i angående visionen om at Styrke styring og ledelse af informationssikkerhed : Informationssikkerhedsgovernance skal implementeres, så det sikres, at roller, ansvar og kompetencer etableres på relevante niveauer i koncernen. Styrelses- og myndighedschefer sætter koordinerede mål for informationssikkerheden. Styrelser og myndigheders opgaveløsning på informationssikkerhedsområdet skal placeres hensigtsmæssigt og tilpasses koncernens it-governance, så samarbejde mellem interessenter kan fungere effektivt. Myndighedernes egenkontrol skal styrkes. 4. Prioriteringer i angående visionen om at Arbejde helhedsorienteret med risikostyring : Helhedsorienteret risikostyring omfatter såvel vertikale som horisontale afhængigheder. Når flere styrelser deler informationer, inddrages risici affødt af gensidige afhængigheder. Informationssikkerheden skal styres på grundlag af vurdering af risici frem for på et fast defineret regelgrundlag. Kravene til informationssikkerhed skal afbalanceres med brugervenlighed og ressourceforbrug. Leverandørers ansvar for og bidrag til risikovurderinger og beredskab skal defineres og realiseres. Dette gælder også for underleverandører, deres underleverandører mv. Informationssikkerhedskrav skal implementeres i leverandørkontrakter på grundlag af CFCS vejledninger. 5. Prioriteringer i angående visionen om at Være ambitiøs og praksissættende : Vi vil være blandt de bedste til informationssikkerhed i Danmark. Direktiver, bestemmelser og vejledninger skal gennemarbejdes, så de kan anvendes bredt også uden for koncernen. Vi følger CFCS vejledninger. 3
6 4. Indsatsområder og igang- værende initiativer etableret i Koncernfælles Informationssikkerhedsudvalg med nedsættelse af en arbejdsgruppe med deltagere fra alle styrelser. Ud over førnævnte visioner og prioriteringer er der også andre forhold, som sætter relevante rammer for de konkrete initiativer, der skal realiseres i strategiperioden. Dette gælder ikke mindst en række indsatsområder og igangværende initiativer, som er beskrevet i det følgende. 4.1 Governancestruktur Forsvarministeriet har i sit Direktiv for den Militære Sikkerhedstjeneste inden for Forsvarsministeriets område af 1. juni 2017 fastlagt, at det overordnede ansvar for informationssikkerhed er forankret ved Forsvarsministeriet. Forsvarsministeriets informationssikkerhedsgovernance er det system af regler, praksis og processer, som informations-sikkerhed styres efter i Forsvarsministeriets koncern. Forsvarsministeriets informationssikkerhedsgovernance er et supplement til Forsvarsministeriets it-governance, FMIDIR 380-1, og styringen på området skal: understøtte den fortsatte digitalisering af koncernen, sikre, at der sættes klare mål for informationssikkerheden, og at der løbende følges op med relevant ledelsesinformation, ske hurtigt og effektivt på alle organisatoriske niveauer, tilpasse sig den hastige udvikling i trusselsbilledet og sårbarheder i forsvarets elektroniske informationssystemer og netværk. Der er igangsat en opdatering af strukturen for informationssikkerhedsgovernance med henblik på, at den tilpasses governancestrukturen på it-området som beskrevet i FMIDIR Arbejdet er 4.2 Koncernfælles Informationssikkerhedsudvalg Koncernfælles Informationssikkerhedsudvalg har til formål at styre informationssikkerheden på koncernniveau. Det er målet, at udvalget løbende orienteres om aktuelle cybertrusler med henblik på at igangsætte aktiviteter, der styrker informationssikkerheden på koncernniveau. Koncernfælles Informationssikkerhedsudvalg indtager en central position i den samlede governancestruktur og sikrer, at der med alle styrelsers deltagelse i udvalget er fælles fokus, retning og mål for informationssikkerheden. 4.3 Måling af informationssikkerhedstilstanden Der er igangsat et projekt om udarbejdelse af terminologi til beskrivelse af informationssikkerhedsmål og metode til måling af sikkerhedstilstanden i koncernen. Vi har et ønske om at kunne måle, om vores indsats på informationssikkerhedsområdet lever op til de mål, vi sætter os. En god sikkerhedstilstand er opnået, når indsatsen opfylder målsætningerne. For at kunne kommunikere de målsætninger, der er sat for informationssikkerheden på koncernniveau, må vi have et fælles sprog til at beskrive retning og mål for arbejdet, herunder for hvad der er et passende sikkerhedsniveau for vores organisation. Dernæst skal vi have en måde, hvormed vi kan måle, om vi går i den rigtige retning, og om vi når vores mål. 4.4 Initiativer i Forsvarsministeriets it-strategi Vi er i koncernen ved at realisere initiativet i Forsvarsministeriets it-strategi om at implementere standarden ISO/IEC 27001:2013 med det formål at styre og højne informationssikkerheden. 4
7 It-strategien beskriver andre initiativer, der kan have indflydelse på det generelle informationssikkerhedsniveau som f.eks. konsolideringsinitiativet om Omlægning af identitets- og rettighedsstyring for it-brugere, samt det yderst relevante udviklingsinitiativ Udvikling af kapacitet til forsvar mod trusler på internettet. De informationssikkerhedsrelaterede initiativer skal blandt andet ses i sammenhæng med it-strategiens vision Vores informationssikkerhed afspejler vores risikovillighed, samt it-strategiens styringsprincip om, at Vi tænker på informationssikkerheden fra start til slut. 5
8 5. Handleplan Koncernen har med afsæt i nærværende strategis visioner og prioriteringer udvalgt konkrete initiativer til gennemførelse i løbet af strategiperioden, der løber fra 1. januar 2018 til 31. december For overblikkets skyld er initiativerne oplistet i tabellen herunder med angivelse af de koordinerende og bidragende myndigheder knyttet til initiativerne. I annekserne til nærværende strategi er samtlige initiativer beskrevet separat. Visioner Initiativer Koordinerende myndighed 1. Sikre et effektivt cyberforsvar 1.1 Udarbejdelse af mini- CFCS og beredskab mumskrav til myndigheder- nes beredskabskapacitet Bidragende myndigheder Alle 2. Beskytte internetvendte systemer mod cyberangreb 3. Styrke styring og ledelse af informationssikkerhed 1.2 Samordning af awareness-aktiviteter 2.1 Opfølgning på reduktion af angrebsflade 3.1 Implementering af governancestruktur CFCS CFCS FMN Alle FMN, VFK, FMI samt alle andre Alle 4. Arbejde helhedsorienteret med risikostyring 5. Være ambitiøs og praksissættende 3.2 Etablering af informationssikkerhedsportal på intranettet 3.3 Styrkelse af egenkontrol 4.1 Samordning af leverandørstyring 5.1 Målsætning for informationssikkerhed CFCS CFCS CFCS CFCS FMI samt alle andre Alle FMI samt alle andre Alle Hvor der under Bidragende myndigheder er anført alle, skal det betragtes som et tilbud om bidrag. Gennemførelse af initiativerne vil ikke kræve lovgivning. Hvor der herudover eksplicit er anført en myndighed, er denne en obligatorisk bidragyder. Økonomien for samtlige initiativer vil være inden for de deltagende parters egen ramme. 6. Tiden efter Forsvarsministeriets informationssikkerhedsstrategi Nærværende strategi udløber med udgangen af 2020 samtidig med Forsvarsministeriets it-strategi. Ved udformningen af strategi på informationssikkerhedsområdet for 2021 og fremefter vil Forsvarsministeriet samordne den med udarbejdelsen af den næste it-strategi samt relevante nationale og internationale tiltag, der måtte ske i perioden. Forsvarsminsteriet vil bl.a. overveje mulighederne for at undersøge, om strategien har haft en positiv effekt, og hvilke indsatsområder som har givet størst effekt, forankre test af informationssikkerhedsberedskab i koncernstrategien, koncentrere indsatsen i forhold til afvikling af legacy systemer. 6
9 INITIATIV 1.1: Udarbejdelse af minimumskrav til myndighedernes beredskabskapacitet Koordinerende myndighed Center for Cybersikkerhed. Initiativets indhold Indledningsvis bemærkes det, at nærværende initiativ skal samordnes med det igangværende governancearbejde i koncernarbejdsgruppen for denne opgave. Organisering Der er delvis angivet organisering under Initiativets indhold. Udestående spørgsmål om organisering afklares af FMN. Tidsplan Initiativet løber fra det tidspunkt, CFCS igangsætter initiativet og frem til udgangen af Minimumskrav skal være endeligt udarbejdede og godkendt senest ved udgangen af Der skal iværksættes en tværgående koncernarbejdsgruppe under ledelse af CFCS med henblik på udarbejdelse af minimumskrav til myndighedernes beredskabskapacitet på informationssikkerhedsområdet. Dette arbejde vil, mht. indhold og tidsplan, i stor udstrækning afhænge af udviklingen af CFCS 24/7 cybersituationscenter. Minimumskravene skal afspejle myndighedernes forskellighed. CFCS vurderer løbende, hvornår et kommissorium og en konkret arbejdsplan kan annonceres. Koncernen holdes orienteret kvartalsvist herom. Baggrund For at sikre et bredt løft i hele koncernen skal der udarbejdes minimumskrav til beredskabskapacitet gældende for samtlige myndigheder. Dette skal sikre et effektivt samspil mellem centrale og decentrale beredskaber på tværs af hele koncernen og derigennem styrke beredskabet. Målgruppe Samtlige myndigheder. Effektmål Som en del af initiativet skal der udarbejdes metrikker for måling af beredskabets effektivitet både under øvelser og skarpe situationer. 7
10 INITIATIV 1.2: Samordning af awareness-aktiviteter Koordinerende myndighed Center for Cybersikkerhed. Initiativets indhold Der skal iværksættes en generel samordning af koncernens arbejde med bruger-awareness om informationssikkerhed på grundlag af det vedtagne Koncept for koordination og opfølgning på awareness vedrørende informationssikkerhed i Forsvarsministeriets koncern. Målet er at samle vejledninger og rådgivning om bruger-awareness i koncernen på den fælles informationssikkerhedsportal (Se initiativ 2.2), således at koncernfælles mål og temaer for awareness-aktiviteter baseret på det aktuelle trusselsbillede kan tilgås af myndighederne ét sted. På den baggrund etableres: Fælles awareness-bibliotek for koncernens myndigheder på informationssikkerhedsportalen. Central udmelding af temaer for årets awareness-aktiviteter i lokale ISMS. Fælles awareness-bibliotek CFCS skal sammen med myndighederne og den primære it-leverandør i koncernen udarbejde et awareness-bibliotek om awareness for brugere på området for informationssikkerhed på den koncernfælles informationssikkerhedsportal på intranettet. Portalen skal indeholde generelle vejledninger om awarenes-arbejdet ved myndighederne, vejledninger til brugerne om sikker adfærd til beskyttelse af koncernens informationer, rådgivning til myndigheder om etablering af lokale awarenessprogrammer og udformning af lokale informationssikkerhedsinstrukser til brugerne. Central udmelding af temaer for årets awareness-aktiviteter i lokale ISMS CFCS skal i samarbejde med Koncernfælles Informationssikkerhedsudvalg årligt samt ad hoc efter behov fastlægge overordnede mål eller temaer for koncernens awareness-aktiviteter i lyset af det aktuelle trusselsbillede. I tillæg til dette skal informationssikkerhedsportalen støtte myndighedernes arbejde med de målrettede, koncernudmeldte awareness-aktiviteter gennem et katalog af tilgængelige ressourcer på området i koncernen f.eks. information om relevante kurser, mulighed for bestilling af penetrationstests mv., gennemførelse af øvelser og evt. bistand hertil, gode råd og videndeling om erfaringer myndighederne imellem. Baggrund MIL.DK-sagen tydeliggjorde, at en af de største trusler for koncernen fortsat er brugeradfærd. Bevidstheden om sikker adfærd på informationssikkerhedsområdet skal højnes, og myndighederne i koncernen skal gennem målrettede aktiviteter sikre, at brugerne har den fornødne viden til at agere hensigtsmæssigt over for trusler mod informationssikkerheden. Som led i koncernens ISO-arbejde er awareness et vigtigt indsatsområde, som bør gives central støtte og retning med bistand fra CFCS og den koncernfælles it-leverandør. Der er forinden strategiperioden udarbejdet et awareness-koncept i koncernen. Målgruppe Samtlige myndigheder. Effektmål Nogle awareness-aktiviteter er uegnede til effektmåling, mens andre er oplagte at måle på f.eks. awarenessniveauet før og efter en awarenesskampagne rettet mod hele medarbejderstaben. Som et led i tilrettelæggelsen af en awareness-kampagne skal det overvejes, om der er behov og mulighed for, at en awareness-kampagne efterfølges af en test samt ledelsesopfølgning. Ved at facilitere fælles målsætninger og temaer for aktiviteter i lyset af trusselsbilledet samt synliggøre 8
11 ressourcer og rådgivning på området for alle koncernmyndighederne, sikres det, at initiativet bidrager til en generel reduktion af it-risici forbundet med de koncernfælles it-systemer. Organisering Der er delvis angivet organisering under Initiativets indhold. Udestående spørgsmål om organisering afklares af FMN. Tidsplan Initiativet skal være afsluttet ultimo
12 INITIATIV 2.1: Opfølgning på reduktion af angrebsflade Koordinerende myndighed Center for Cybersikkerhed. Initiativets indhold Der skal nedsættes en midlertidig arbejdsgruppe i koncernen. Som minimum vil den bestå af FMN, CFCS, VFK og FMI. I løbet af en periode på tre måneder skal arbejdsgruppen analysere igangværende konkrete initiativer til reduktion af angrebsfladen mod internetvendte systemer. I lyset af koncernens ambition om at vi vil være blandt de bedste til informationssikkerhed i Danmark, skal arbejdsgruppen vurdere og tage stilling til, hvad vi kan gøre i form af selvstændige initiativer til reduktion af angrebsfladen for koncernen. Effektmål Såfremt nye initiativer besluttes jf. afsnittet om initiativets indhold, skal effektmål beskrives individuelt for disse initiativer. Organisering CFCS er koordinerende myndighed for dette initiativ. Udestående spørgsmål om organisering afklares af FMN. Tidsplan Indledningsvis vil der være en analyseperiode på tre måneder. Ved en eventuel beslutning om nye initiativer på baggrund af analysen vil implementeringen heraf skulle foregå med afslutning ultimo Ved en eventuel beslutning og plan for nye initiativer på baggrund af ovenstående skal disse implementeres skridtvist i en hensigtsmæssig rækkefølge inden for den resterende del af strategiperioden. Baggrund De koncernfælles it-systemer, som er sikkerhedsgodkendt til behandling af klassificeret information, driftes på interne netværk, der er sikret mod uautoriseret adgang. Derimod har cyberangreb mod koncernfælles internetvendte systemer i en række tilfælde været succesfulde, og det har været muligt for uautoriserede aktører at skaffe sig adgang til ansattes informationer af tjenstlig og privat karakter. Selvom disse informationer ikke er klassificerede, kan der være informationer, som koncernen ikke ønsker at offentliggøre. Der er derfor behov for at beskytte de mange adgange til og fra internettet ved at reducere angrebsfladen, herunder f.eks. ved at reducere antallet af koncernens mange internetadgange. Målgruppe Samtlige myndigheder. 10
13 INITIATIV 3.1: Implementering af governancestruktur Koordinerende myndighed Forsvarsministeriet. Initiativets indhold Der er forinden strategiperioden nedsat en midlertidig governancearbejdsgruppe i koncernen. for alle koncernmyndighederne sikres det, at initiativet bidrager til en generel reduktion af it-risici forbundet med de koncernfælles it-systemer. Organisering Udestående spørgsmål om organisering afklares af FMN. Tidsplan Initiativet skal være afsluttet ultimo Hovedformålet med nærværende initiativ 2.1 er at sikre en strategisk forankring og udførelse af den nødvendige implementeringsopgave, der skal igangsættes, når de fornødne krav til governancestruktur er defineret af koncernarbejdsgruppen. I forbindelse med implementeringen skal to overordnede principper om forankring og samarbejde følges: Roller, ansvar, kompetence og opgaveløsning skal forankres ved de relevante og hensigtsmæssige ledelsesniveauer. Beslutninger om informationssikkerhed skal gennemføres og implementeres hurtigt og effektivt. Governance-strukturen skal derfor implementeres således, at samarbejdet mellem myndighederne er tæt, og at der er veldefinerede og hensigtsmæssige snitflader mellem forretningsansvarlige, forretningsrepræsentanter og it-ansvarlige i itserviceudvalgene. Baggrund Forsvarsministeriets koncern er en stor organisation, sammensat af vidt forskellige myndigheder og, med en række indbyrdes afhængigheder inden for informationssikkerhed. En implementeret governancestruktur er derfor af vital betydning for koncernen. Målgruppe Samtlige myndigheder. Effektmål Initiativet er overvejende procesorienteret, hvilket umiddelbart begrænser den direkte effektmålbarhed. Ved at sikre en hensigtsmæssig implementering af governancestruktur på området 11
14 INITIATIV 3.2: Etablering af informationssikkerhedsportal på intranettet Koordinerende myndighed Center for Cybersikkerhed. Initiativets indhold CFCS skal sammen med forretningen og den primære it-leverandør i koncernen etablere en koncernfælles informationssikkerhedsportal på intranettet under hensyntagen til samordning af eksisterende portalfunktioner, hvor det er relevant. Portalen skal støtte myndighedernes arbejde med informationssikkerhed bl.a. gennem et katalog af tilgængelige services og ressourcer på området i koncernen, herunder information om: vejledninger og skabeloner forvaltningsgrundlag vejledning til underretning om sikkerhedsbrud samt overblik KPI er på performance, uddannelse osv. relevante kurser mulighed for rådgivning mulighed for bestilling af penetrationstests mv. leverandørers anvendelse/tilslutning til Netsikkerhedstjenesten leverandørers anvendelse af branchestandarder gennemførelse af øvelser og evt. bistand hertil gode råd og videndeling om erfaringer myndighederne imellem om awareness for brugere på informationssikkerhedsområdet vil det være naturligt at anvende en separat del af portalen til et beredskabskatalog, herunder med beredskabsrelateret information om myndighedernes: status for implementering af minimumskrav til beredskab planer organisation kontaktlister øvelsesaktiviteter. Baggrund Der er et ønske fra myndighederne om at vide, hvor man skal henvende sig for at få hjælp til informationssikkerhedsarbejdet. Der er behov for et fælles sted at slå op, for at få overblik over ressourcer, tjenester og ekspertiser inden for koncernen generelt samt specifikt for itsikkerhedsmyndigheden, CFCS. Målgruppe Samtlige ansatte i koncernen. Effektmål Initiativet er overvejende procesorienteret, hvilket umiddelbart begrænser den direkte effektmålbarhed. Ved at synliggøre ressourcer og rådgivning på området for alle koncernmyndighederne vil initiativet kunne bidrage til en generel reduktion af it-risici forbundet med de koncernfælles it-systemer. Organisering Der er delvist angivet organisering under Initiativets indhold. Udestående spørgsmål om organisering afklares af FMN. Tidsplan Initiativet skal være afsluttet ultimo I takt med koncernens opbygning af et stærkere, samlet cyber- og informationsssikkerhedsberedskab, 12
15 INITIATIV 3.3: Styrkelse af egenkontrol Koordinerende myndighed Center for Cybersikkerhed. Initiativets indhold Myndighedernes egenkontrol skal styrkes. CFCS skal rådgive og støtte myndighederne i disses bestræbelser, herunder en hensigtsmæssig planlægning og tilrettelæggelse af egenkontrollen. Samtlige myndigheder fortsætter det daglige arbejde med egenkontrol samtidig med, at: CFCS og FMN i første halvår af 2018 gennemfører en analyse af, hvordan de oven for nævnte mål kan opnås, resultatet af analysen implementeres i resten af strategiperioden. Disse opgaver udføres i dialog med myndighederne. Baggrund Tilsynet med informationssikkerheden udgør et vigtigt element i governance for informationssikkerheden. På vegne af departementet og som it-sikkerhedsmyndighed fører Center for Cybersikkerhed tilsyn med informationssikkerheden i koncernen. Departementet fører tilsyn med, at centerets tilsyn udføres tilstrækkeligt og effektivt. Tilsynet med informationssikkerheden gennemføres med det formål at vurdere, om informationssikkerheden ved styrelser og øvrige myndigheder i koncernen er tilrettelagt således, at informationers tilgængelighed, fortrolighed og integritet sikres i overensstemmelse med bestemmelsesgrundlaget og de fastsatte mål for informationssikkerheden. It-sikkerhedsmyndighedens årlige tilsyn vil fortsat have fokus på koncernstyrelsernes styring af informationssikkerheden ved egen og underlagte myndigheder. Tilsynet vil dog i strategiperioden gradvist bevæge sig mod flere udvidede tilsyn ved udvalgte myndigheder og med udvalgte temaer ud fra kriterierne risiko og væsentlighed. Koncernens styrelser og øvrige myndigheder prioriterer - som minimum årligt - at gennemføre egenkontrol af informationssikkerheden inden for eget myndighedsområde i henhold til gældende bestemmelsesgrundlag. Ud af den samlede mængde tilsynsaktiviteter i koncernen udgøres størstedelen således af egenkontrol lokalt hos myndighederne. I forbindelse med denne store opgave har myndighederne behov for rådgivning og støtte til at tilrettelægge deres egenkontrol hensigtsmæssigt. Målsætning Minimumsmålsætninger fremgår under Initiativets indhold. Målgruppe Samtlige myndigheder. Effektmål Initiativet er overvejende procesorienteret, hvilket umiddelbart begrænser den direkte effektmålbarhed. Ved at sikre en hensigtsmæssig egenkontrol på området for alle koncernmyndighederne, sikres det, at initiativet bidrager til en generel reduktion af it-risici forbundet med koncernens it-systemer. Der vil imidlertid kunne måles kvantitativt på mængden af egenkontrol, der er gennemført af myndighederne. Organisering CFCS er koordinerende myndighed for dette initiativ. Udestående spørgsmål om organisering afklares af FMN. Tidsplan Initiativet skal være afsluttet ultimo I 1. halvdel af 2018 gennemføres analysedelen. Resultatet heraf implementeres indtil udgangen af
16 INITIATIV 4.1: Samordning af leverandørstyring Koordinerende myndighed Center for Cybersikkerhed. Initiativets indhold Der iværksættes en samordning af koncernens arbejde med leverandørstyring i forhold til itservices, herunder it-produkter, -systemer og -drift. Dette sker både i forhold til interne og eksterne leverandører. Der skal især være fokus på følgende områder: Fastlæggelse af gensidige informationssikkerhedsforpligtelser i kontrakter dvs. både for leverandørerne og forretningen. Indhentning og audit af relevant information fra leverandører for bl.a. at sikre leverandørernes efterlevelse af ISO serien, hvor det er relevant, og andre branchestandarder. Erkendelse af risikobilledet og kontinuerlig stillingtagen til dets udvikling i takt med ændrede trusler, sårbarheder, sandsynligheder, modforanstaltninger mv. Denne stillingtagen skal tillige omfatte inddragelse af risici affødt af gensidige afhængigheder på tværs af koncernen, dvs. både i forhold til side-, over- og underordnede myndigheder samt leverandører. For hvert af disse tre punkter er der på forhånd opstillet følgende målsætninger: Fastlæggelse af gensidige informationssikkerhedsforpligtelser i kontrakter CFCS skal sammen med forretningen og den primære it-leverandør i koncernen udarbejde en vejledning til fastlæggelse af kontraktlige forpligtelser om informationssikkerhed og dokumentation på området. For interne leverancer i koncernen skal der som udgangspunkt fastlægges forpligtelser om informationssikkerhed svarende til leverancer fra eksterne leverandører. Indhentning og audit af relevant information fra leverandører CFCS skal sammen med forretningen og den primære it-leverandør i koncernen udarbejde en vejledning til indhentning og audit af relevant information fra leverandører. Erkendelse af risikobilledet og kontinuerlig stillingtagen til dets udvikling For at forretningen bedre kan forstå og afspejle risici fra leverandørlaget i vurderingen af informationssikkerhedsrisici, skal FMI etablere og vedligeholde et fælles dokumentationsbillede gældende for koncernfælles it-systemer leveret af FMI. I dokumentationsbilledet skal der tillige indgå andre it-systemer, der har eget it-serviceudvalg. Det er leverandørerne af disse it-systemer, der leverer væsentlige indholdsdele til dokumentationsbilledet for de pågældende systemer. Dokumentationsbilledet kan for eksempel bestå af servicedeklarationer og bør som minimum omfatte sårbarhedsvurderinger og opdateret dokumentation for implementering af kontroller (VFKBST / ISO Annex A kontroller). Hvor det er relevant, bør information om implementering af kontroller på baggrund af CFCS vejledninger og trusselsvurderinger tillige indarbejdes i dokumentationsbilledet. Det er tanken, at forretningen skal kunne kombinere leverandørlagets systemrisici med de risici, som forretningen identificerer i relation til forvaltning og anvendelse af systemerne. Det skal overvejes, hvorledes dokumentation for risikostyringen i koncernfælles it-systemer stilles til rådighed for myndighedernes egen risikostyring, herunder muligheder for at dette sker gennem itbaserede værktøjer. Baggrund Koncernen har i de seneste år oplevet en stigende kompleksitet i arbejdet med leverandørstyring, som bl.a. skyldes øget diversitet i systemporteføljer, - 14
17 platforme og -processer samt øget kompleksitet af værdikæder, trusselsbilleder, risikomitigering mv. Målgruppe Samtlige myndigheder. Effektmål Ved at facilitere en samordning af arbejdet med leverandørstyring, resulterende i højnet kvalitet af dette arbejde, må det forventes, at initiativet bidrager til en generel reduktion af risici forbundet til de koncernfælles IT-systemer. hvorvidt der er stillet oplysninger til rådighed om sårbarheder/modforanstaltninger mv. for koncernen. Organisering Der er delvist angivet organisering under Initiativets indhold. Udestående spørgsmål om organisering afklares af FMN. Tidsplan Initiativet skal være afsluttet ultimo Det skal som minimum kunne måles, hvorvidt der er implementeret og dokumenteret kontroller / foreligger opdaterede servicedeklarationer, samt 15
18 INITIATIV 5.1: Målsætning for informationssikkerhed Koordinerende myndighed Center for cybersikkerhed. Initiativets indhold Med afsæt i ISO/IEC skal myndighederne sætte mål for informationssikkerhedsarbejdet, og muligheden for at måle, om målsætninger er nået, skal forbedres. Der skal udvikles følgende: 1. Et metodeapparat til at fastlægge, hvad et passende informationssikkerhedsniveau for en organisation er. 2. En terminologi til at beskrive det ønskede informationssikkerhedsniveau eller målsætning for informationssikkerhed. 3. Metode til at måle hvor langt man er fra at opfylde målene som et udtryk for sikkerhedstilstanden. Baggrund Myndigheder i Forsvarsministeriets koncern har i stigende grad behov for at betrygge sig selv og eksterne interessenter i, at deres indsats i forhold til informationssikkerhed bibringer dem et passende sikkerhedsniveau. Derfor er der et behov for at udvikle en model for, hvordan man kan måle sikkerhedstilstanden ved en given myndighed samt sammenligne resultaterne på tværs i organisationen. Målgruppe It-sikkerhedschefer og sikkerhedsofficer ved alle myndigheder i koncernen. Effektmål De forventede gevinster ved at gennemføre initiativet er, at forsvaret dels vil kunne vurdere, om informationssikkerhedsindsatsen er tilstrækkelig, dels at kunne vurdere, om det anvendte ressourceforbrug er passende. Dette giver mulighed for, at potentialer i ressourceoptimering kan identificeres og realiseres. Organisering CFCS udarbejder udkast til metoder og terminologi som pilottestets. Denne opgave færdigbearbejdes i samarbejde med én myndighed. Tidsplan Initiativet løber i hele 2018, således at udkast til metoder udvikles i første kvartal, pilot gennemføres i andet og tredje kvartal, og metoderne udrulles i resten af koncernen i fjerde kvartel. 16
Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereIndholdsfortegnelse. Forord Side Om it-strategiens tilblivelse og struktur Side Visioner for it Side 33
Forsvarsministeriets it-strategi 2016-2019 Indholdsfortegnelse Forord Side 01 1 Om it-strategiens tilblivelse og struktur Side 02 2 Visioner for it Side 33 3 Igangværende it-initiativer og kommende indsatsområder
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereNationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder
Nationale cybersikkerhedsinitiativer Peter Munch Jensen, sektionsleder Agenda Baggrund: Den nationale cyber- og informationssikkerhedsstrategi og forsvarsforliget 2018-2023 Status på den sektorspecifikke
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereMål- og resultatplan for Materiel- og Indkøbsstyrelsen 2019
Mål- og resultatplan for Materiel- og Indkøbsstyrelsen 2019 Version 1.0 20.12.2018 Indhold Indledning 3 Det strategiske målbillede 3 Strategiske pejlemærker 3 Mål for 2019 5 Opfølgning 7 Påtegning 8 Indledning
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereMål- og resultatplan for Forsvarsministeriets Regnskabsstyrelse 2019
Mål- og resultatplan for Forsvarsministeriets Regnskabsstyrelse 2019 December 2018 Indhold Indledning 1 Det strategiske målbillede 2 Strategiske pejlemærker 2 Mål for 2019 3 Opfølgning 5 Påtegning 7 Mål-
Læs mereNår selskaber har en klar IT-strategi og anskaffer systemer med fokus på behov, værdi og sammenhæng.
IT Når selskaber har en klar IT-strategi og anskaffer systemer med fokus på behov, værdi og sammenhæng. Fra strategi til resultater i forsyningssektoren 2 Når selskaber har en klar IT-strategi og anskaffer
Læs mereDigitaliseringsstrategi
gladsaxe.dk Digitaliseringsstrategi 2015-2018 Gladsaxe Kommune er med stor fart i gang med at forandre og effektivisere opgaveløsningen og skabe mere velfærd for borgerne ved at udnytte mulighederne gennem
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereProgrambeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning
Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereMål- og Resultatplan for Værnsfælles Forsvarskommando 2018
Mål- og Resultatplan for Værnsfælles Forsvarskommando 2018 Indhold 1. Indledning... 3 2. Strategisk målbillede... 4 Den koncernfælles mission og vision... 4 Det strategiske målbillede... 4 2.1. Strategiske
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereIT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs mereMålbillede for kontraktstyring. Juni 2018
Målbillede for kontraktstyring Juni 2018 1 Introduktion Opstilling af målbillede Målbilledet for kontraktstyringen i Signalprogrammet (SP) definerer de overordnede strategiske mål for kontraktstyring,
Læs mereStyringsdokument for Statens Administration 2014
Styringsdokument for Statens Administration 2014 Statens Administrations strategiske målbillede Statens Administrations mission og vision Statens Administration arbejder inden for Finansministeriets mission
Læs mereMINIUDGAVE AF DIGITALISERINGS- POLITIKKEN
MINIUDGAVE AF DIGITALISERINGS- POLITIKKEN 2014-17 Visionen Visionen for politikken er: DETTE ER EN KORT GENNEMGANG AF DIGITALISERINGSPOLITIKKENS FORMÅL, OPBYGNING OG INDHOLD, SOM SKAL ANSES SOM ET SUPPLEMENT
Læs mereEuropaudvalget 2017 KOM (2017) 0476 Offentligt
Europaudvalget 2017 KOM (2017) 0476 Offentligt EUROPA- KOMMISSIONEN Bruxelles, den 4.10.2017 COM(2017) 476 final NOTE This language version reflects the corrections done to the original EN version transmitted
Læs mereTillid og sikkerhed om data
INDSATSOMRÅDE 4 Tillid og sikkerhed om data 58 Sundhedsvæsenet har i dag et generelt højt niveau af informationssikkerhed. Men med den hastige udvikling i digitale løsninger og datamængder og med et skærpet
Læs mereHOLBÆK KOMMUNES STRATEGI FOR VELFÆRDSTEKNOLOGI. Version 1 (2013)
HOLBÆK KOMMUNES STRATEGI FOR VELFÆRDSTEKNOLOGI Version 1 (2013) INDHOLD Indhold... 2 Forord... 3 1 Om Holbæk Kommunes Strategi for velfærdsteknologi... 4 1.1 Strategiens sammenhæng til øvrige strategier...
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereMål- og resultatplan
Mål- og resultatplan Indhold Strategisk målbillede for Statens Administration 3 Strategiske pejlemærker 4 Mål for 2018 6 Gyldighedsperiode og rapportering 8 Påtegning 8 Bilag 1: Kvartalsvis opfølgning
Læs mereVejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden
Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets
Læs mereMål- og resultatplan
Mål- og resultatplan Indhold Strategisk målbillede 3 Mission og vision 3 Strategiske pejlemærker 4 Mål for 2015 6 Mål for kerneopgaver 6 Mål for intern administration 7 Gyldighedsperiode og opfølgning
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereMål- og resultatplan for Forsvarsministeriets Materiel- og Indkøbsstyrelse 2018
Mål- og resultatplan for Forsvarsministeriets Materiel- og Indkøbsstyrelse 2018 Sagsnummer: 2017/003909 Version: 0.5 1 Indhold 1. Indledning... 3 2. Strategisk målbillede... 3 2.1 Strategiske pejlemærker...
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereVejledning til ansøgning om deltagelse i et længerevarende Task Force forløb. Ansøgningsfrist d. 18. maj 2015 kl. 12
Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold Socialstyrelsen Den Permanente Task Force på området udsatte børn og unge Vejledning til ansøgning om deltagelse i et længerevarende Task
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereDigitaliseringsstrategi
Digitaliseringsstrategi Godkendt i xx den xx.xx.2010 Digitalisering i Viborg Kommune skal understøtte en helhedsorienteret og effektiv service over for borgere og virksomheder effektivisere de kommunale
Læs mereDI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed
Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereMÅLING AF INFORMATIONSSIKKERHED
MÅLING AF INFORMATIONSSIKKERHED Beth Tranberg, Programleder betr@kl.dk 3370 3064 LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan 2016-2020 Programmet skal følge op på og dokumentere,
Læs mereDIGITALISERINGS- OG IT-STRATEGI
DIGITALISERINGS- OG IT-STRATEGI SKANDERBORG KOMMUNE 2017-2020 Strategiens formål og baggrund Med Digitaliserings- og IT-strategien skal borgere, virksomheder og medarbejdere i Skanderborg Kommune opleve
Læs mereDriftsaftaleopfølgning pr. 31. marts 2014 på Socialområdet
Dato: 27. maj 2014 Brevid: 2309476 Driftsaftaleopfølgning pr. 31. marts 2014 på Socialområdet I dette notat gives en endelig opfølgning på Driftaftale for Socialområdet 2013 og den afledte effekt for målopfyldelsen
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereOverblik over opgaver - organisation og styring
Sagsnr.: 2014/0004936 Dato: 23. juni 2014 Titel: Overblik over opgaver - organisation og styring Sagsbehandler: Pia Lægaard Andersen, Direktionskonsulent 1. Indledning Dette notat har til formål at skabe
Læs mereVision og strategi for DIGITALISERING & VELFÆRDSTEKNOLOGI for SÆH-forvaltningen
Vision og strategi for DIGITALISERING & VELFÆRDSTEKNOLOGI for SÆH-forvaltningen 2016-2020 VISION PERSPEKTIVER OVERORDNEDE MÅL ORGANISERING ROLLER OG ANSVAR INDSATSER BAGGRUND I Hjørring Kommune vil vi
Læs mereVejledning til ansøgning om deltagelse i et længerevarende Task Force forløb. Ansøgningsfrist d. 23. oktober 2015 kl. 12
Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold Socialstyrelsen Den Permanente Task Force på området udsatte børn og unge Vejledning til ansøgning om deltagelse i et længerevarende Task
Læs mereMålbillede for risikostyring i signalprogrammet. Juni 2018
Målbillede for risikostyring i signalprogrammet Juni 2018 1 Introduktion Opstilling af målbillede Målbilledet for risikostyringen i Signalprogrammet (SP) definerer de overordnede strategiske mål for risikostyring,
Læs mere2. Fødevareministeriet er en koncern
Ministeriet for Fødevarer, Landbrug og Fiskeri Fødevareministeriets effektiviseringsstrategi 1. Indledning 2. udgave af Fødevareministeriets effektiviseringsstrategi er udarbejdet i 2007. Effektiviseringsstrategien
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mere12.1. Stærkere koordination og implementering & 12.2. Klar ansvarsfordeling og tæt samarbejde på velfærdsområderne
Side 1 af 5 12.1. Stærkere koordination og implementering & 12.2. Klar ansvarsfordeling og tæt samarbejde på velfærdsområderne Målsætning Organiseringen af det tværoffentlige arbejde med digitalisering
Læs mereBUSINESS CASE OG GEVINSTREALISERING
BUSINESS CASE OG GEVINSTREALISERING Business casen er rygraden i ethvert forretningsprojekt. Om det handler om at købe et nyt IT system, en virksomhed eller om at outsource dele af sin IT-drift, ja, så
Læs mereMål- og resultatplan for Forsvarsministeriets Materiel- og Indkøbsstyrelse 2017
Mål- og resultatplan for Forsvarsministeriets Materiel- og Indkøbsstyrelse 2017 Sagsnummer: 2016/101549 Version: 1.0 1 Indhold 1. Indledning...3 2. Strategisk målbillede...3 2.1 Strategiske pejlemærker...4
Læs mereIntroduktion til redskaber
December 2007 Indholdsfortegnelse Indledning...1 Projekt "Sammenhængende Børnepolitik"...1 Lovgrundlag...2 Vejledning til redskabssamlingen...3 Hvordan bruges redskabssamlingen?...3 Læsevejledning...4
Læs mereMål- og resultatplan
Mål- og resultatplan Indhold Strategisk målbillede 3 Mission og vision 3 Strategiske pejlemærker 4 Mål for 2016 7 Mål for kerneopgaver 7 Gyldighedsperiode og opfølgning 9 Påtegning 9 Model for kvartalsvis
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereDirektionen udarbejder oplæg til overordnet politik for det samlede klima- og miljøområde
initierede temaer Eget mål Klima og miljø Direktionen udarbejder oplæg til overordnet politik for det samlede klima- og miljøområde Direktionen sikrer, at de politisk vedtagne handleplaner iværksættes.
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereTrusselsvurdering Cyberangreb mod leverandører
Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereDepartementschef Michael Dithmer. Økonomi- og Erhvervsministeriet
DIREKTØRKONTRAKT Mellem direktør Lone Møller Sørensen Statens Byggeforskningsinstitut og departementschef Michael Dithmer, Økonomi- og Erhvervsministeriet indgås følgende direktørkontrakt. Resultatmålene
Læs mereUdtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne
Til Sundheds- og Ældreministeriet Dato: 1. februar 2018 Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne Region Hovedstaden har kontinuerligt
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereBalancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder.
It-strategi 1.0 Indledning Flere og flere forretningsprocesser i kommunerne stiller krav til it-understøttelse, og der er store forventninger til at den offentlige sektor hænger sammen inden for it-området.
Læs mereKommissorium for styrket decentral forvaltningsorganisering
KØBENHAVNS KOMMUNE Økonomiforvaltningen Center for Økonomi NOTAT 17-01-2013 Kommissorium for styrket decentral forvaltningsorganisering Som opfølgning på Strukturudvalgets rapport fra 2. halvår 2012 besluttede
Læs mereUdvidet job- og personprofil. Stillingen
Udvidet job- og personprofil Stillingen Faaborg-Midtfyn Kommune er den geografisk største kommune på Fyn. Kommunen har ca. 52.000 indbyggere fordelt over ca. 65 større og mindre byer, der alle har det
Læs mereOdsherred Kommune. Strategi for velfærdsteknologi 2012 2016
Odsherred Kommune Strategi for velfærdsteknologi 2012 2016 Godkendt i Byrådet 30. oktober 2012 Indhold 1 INDLEDNING 3 2 STRATEGIGRUNDLAGET OG HANDLINGSPLAN 4 3 VISION 5 4 PEJLEMÆRKER OG PRINCIPPER 7 4.1
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs mereStrategi for Telepsykiatrisk Center ( )
Område: Psykiatrien i Region Syddanmark Afdeling: Telepsykiatrisk center Dato: 30. september 2014 Strategi for Telepsykiatrisk Center (2014-2015) 1. Etablering af Telepsykiatrisk Center Telepsykiatri og
Læs mereNår forsyningsselskaber har en klar IT-strategi og anskaffer systemer med fokus på behov, værdi og sammenhæng.
IT Når forsyningsselskaber har en klar IT-strategi og anskaffer systemer med fokus på behov, værdi og sammenhæng. Fra strategi til resultater i forsyningssektoren 2 Når forsyningsselskaber har en klar
Læs mereKommissorium for analyse og ny strategi i Ældre og Sundhed, Frederikssund Kommune
8. december 2015 Kommissorium for analyse og ny strategi i Ældre og Sundhed, Frederikssund Kommune 1. Baggrund for analysen I Ældre og Sundhed har opgaverne udviklet sig meget over de senere år. Ældrebefolkningen
Læs mereOversigt over udviklingsmål i aftalen for ældre og Handicap
Oversigt over udviklingsmål i aftalen for ældre og Handicap 1. Processen for formulering af målene i aftalen Kontrakt og aftaleprocessen på ældre og handicapområdet har haft følgende forløb og deltagere:
Læs mereVIDEN FOR VERDEN VORES ORGANISATION / INDSATS 12.1 STRATEGI FOR DET ADMINISTRATIVE OMRÅDE
VIDEN FOR VERDEN VORES ORGANISATION / INDSATS 12.1 STRATEGI FOR DET ADMINISTRATIVE OMRÅDE Marts 2016 FORORD Formålet med strategien for de administrative områder på AAU er at opfylde den overordnede ambition
Læs mereSikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded
Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering
Læs mereStrategisk. Guide til strategisk kompetenceudvikling. for strategisk kompetenceudvikling
Guide til strategisk kompetenceudvikling Som myndighedschef er det dit ansvar at sørge for, at din myndighed har en kompetenceudviklingsstrategi. Vi har udarbejdet en guide, hvor du kan få inspiration
Læs mereInformationssikkerhedspolitik. DokumentID / Dokumentnr /
Regionen - Tværregionale dokumenter - 1 Ledelse - 1.11 Informationssikkerhed Dokumentbrugere: Alle Læseadgang: Tværregionale dokumenter Udskrevet er dokumentet ikke dokumentstyret. Forfatter: Søren Lundgaard
Læs mereProgrambeskrivelse - Digitalt kompetente kommuner
Programbeskrivelse - Digitalt kompetente kommuner August 2016 1. Formål og baggrund Programmets formål er at understøtte kommunernes arbejde med digital kompetenceudvikling. Det vil i første omgang ske
Læs mereKlyngestyregruppe. Klynge-temagruppe for børn, unge og familien. Faste grupper. Ad hoc grupper
Kommissorium for Klyngestyregruppe for Midtklyngen 2016 [AS 2. UDKAST] Baggrund Med Sundhedsaftalen 2015-2018 er der sat en fælles politisk retning for udviklingen af det sammenhængende og nære sundhedsvæsen
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereHolbæk i fællesskab Koncernledelsens strategiplan
Holbæk i fællesskab Koncernledelsens strategiplan 2016+ Indledning Holbæk står, som mange andre kommuner i Danmark, overfor både økonomiske og komplekse samfundsudfordringer. Det klare politiske budskab
Læs mereMål- og resultatplan
Mål- og resultatplan Indhold Strategisk målbillede for Digitaliseringsstyrelsen 3 Strategiske pejlemærker 4 Mål for 2018 7 Mål for kerneopgaver 7 Gyldighedsperiode og rapportering 10 Påtegning 10 Side
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereMål- og resultatplan
Mål- og resultatplan Indhold Strategisk målbillede 3 Mission og vision 3 Strategiske pejlemærker 4 Mål for 2018 7 Mål for kerneopgaver 7 A. Driftskvalitet 7 B. Informationssikkerhed 7 C. Effektiv it-drift
Læs mereOverordnet stillingsbeskrivelse for ledelsen på Præhospitalet
Koncern HR, Stab 21.05.13/PG Overordnet stillingsbeskrivelse for ledelsen på Præhospitalet God ledelse er en forudsætning for et effektivt og velfungerende sundhedsvæsen, som er karakteriseret ved høj
Læs mereMål- og resultatplan
Mål- og resultatplan Indhold Strategisk målbillede for Moderniseringsstyrelsen 3 Strategiske pejlemærker 4 Mål for 2016 5 Policylignende kerneopgaver 5 Mål for intern administration 6 Gyldighedsperiode
Læs mereFra ad hoc-tilgang til en struktureret CSR-indsats
Tryksag 541-643 Gode råd Her er nogle gode råd til, hvordan I griber CSR-processen an. Kom godt i gang med standarder > > Sæt et realistisk ambitionsniveau > > Sørg for, at CSR er en integreret del af
Læs mereStrategi for fremme af socialøkonomi i Horsens Kommune
Strategi for fremme af socialøkonomi i Horsens Kommune 2016-2020 Motivation hvorfor fremme socialøkonomi og hvad er visionen I Horsens Kommune ønsker vi at fremme socialøkonomiske løsninger på de samfundsmæssige
Læs mereDigitaliseringsstrategi 2011-2015
Digitaliseringsstrategi 2011-2015 Dokumentnr.: 727-2011-34784 side 1 Dokumentnr.: 727-2011-34784 side 2 Resume: Digitaliseringsstrategien for Odder Kommune 2011-2015 er en revidering af Odder Kommunes
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereRoller og ansvar Grundlaget for ledelse i en ny organisationsstruktur
Roller og ansvar Grundlaget for ledelse i en ny organisationsstruktur NOTAT HR-stab Arbejdet med en mere klar og tydelig ledelse er med dette oplæg påbegyndt. Oplægget definerer de generelle rammer i relation
Læs mereWorkshop om den fællesstatslige programmodel
Workshop om den fællesstatslige programmodel 1 Agenda 10.45 10.50 Velkommen 10.50 11.15 Præsentation af den fællesstatslige programodel 11.15 11.30 Afklarende spørgsmål (Ultra kort) 11.30 12.00 Debat:
Læs mereDen politiske styregruppes repræsentanter fra Morsø Kommune er 2 politiske repræsentanter
Krav 6. Hvordan parterne følger op på aftalen. Der er indgået følgende aftaler om organisering af opfølgningen af sundhedsaftalerne. Målsætningen er en sammenhængende opgavefordeling mellem de involverede
Læs mereDigitaliseringsstrategi i Vejle Kommune
Digitaliseringsstrategi i Vejle Kommune 2017-2021 2 KOMMUNIKATIONS DIGITALISERINGS Digitaliseringsstrategi Forord Digitalisering er et vilkår i dagens samfund. Nye digitale teknologier har præget samfundets
Læs mereEffektiv digitalisering. - Digitaliseringsstyrelsens strategi 2012-2015. April 2012
April 2012 Effektiv digitalisering - Digitaliseringsstyrelsens strategi 2012-2015 Baggrund Danmark står med væsentlige økonomiske udfordringer og en demografi, der betyder færre på arbejdsmarkedet til
Læs mereODSHERRED KOMMUNE Direktionen 23. marts 2010 EFFEKTIVISERINGSSTRATEGI FOR ODSHERRED KOMMUNE FOR Side 1
EFFEKTIVISERINGSSTRATEGI FOR FOR 2010-2013 Side 1 EFFEKTIVISERINGSSTRATEGI FOR FOR 2010-2013 Indledning og formål Nulvækst i den offentlige økonomi, stadig større forventninger til den kommunale service
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mere