Holbæk Kommunes I-SIKKERHEDSHÅNDBOG

Størrelse: px
Starte visningen fra side:

Download "Holbæk Kommunes I-SIKKERHEDSHÅNDBOG"

Transkript

1 Holbæk Kommunes I-SIKKERHEDSHÅNDBOG Sidst redigeret oktober 2013

2 Indhold 1 INDLEDNING OG FORMÅL ANSVAR OG ORGANISATION STYRING AF AKTIVER MEDARBEJDERSIKKERHED FYSISK SIKKERHED STYRING AF NETVÆRK OG DRIFT ADGANG TIL DATA ANSKAFFELSE OG UDVIKLING STYRING AF I-SIKKERHEDSHÆNDELSER NØDBEREDSKAB FOR IT-ANVENDELSEN REGELSÆT OG LOVGIVNING OVERSIGT OVER BILAG

3 1 INDLEDNING OG FORMÅL I-sikkerhedshåndbogen (informationssikkerhedshåndbogen) dokumenterer, sammen med i- sikkerhedspolitik (informationssikkerhedspolitik) og -retningslinjer, kravene til styring af informationssikkerheden i Holbæk Kommune. Retningslinjerne fungerer som bilag til i- sikkerhedshåndbogen, og den overordnede struktur. Omfanget af retningslinjer fremgår af bilagsoversigten. På konkrete områder er retningslinjerne udmøntet i operationelle instrukser, som beskriver håndteringen inden for det pågældende område. Håndbogen er et redskab for sikkerhedsorganisationen og endvidere en reference til brug for udarbejdelse af dokumentation af systemer og forretningsgange. I-sikkerhedskoordinatoren vedligeholder i-sikkerhedshåndbogen. 2

4 2 ANSVAR OG ORGANISATION Kommunaldirektøren er Holbæk Kommunes øverste sikkerhedsansvarlige. Det ledelsesmæssige ansvar varetages af en styregruppe bestående af direktøren for stabe som formand, chefen for Borger- og organisationsservice, lederen af it-afdelingen. Styregruppen har det overordnede ansvar for, at i-sikkerhedspolitikken gennemføres hensigtsmæssigt og effektivt. Styregruppens rolle er at: Yde aktiv støtte til gennemførelse af de besluttede initiativer og sikre, at der opnås accept på alle ledelsesniveauer. Behandle spørgsmål af principiel karakter og fastlægge principperne for opfyldelse af politikkens målsætning. Foretage en årlig vurdering af politikken og de tilknyttede retningslinjer, herunder om de lever op til de aktuelle forretningsmæssige behov og eksterne forpligtelser udtrykt i lovgivning og aftaler. Sikre, at det besluttede sikkerhedsniveau efterleves og indgår i relevante handlingsplaner. Styregruppen vurderer endvidere løbende behovet for fornyet risikovurdering udover den årlige vurdering. Ændringer i i-sikkerhedspolitikken besluttes endeligt af Byrådet, mens ændringer af retningslinjer i bilagene godkendes af styregruppen efter indstilling fra i-sikkerhedskoordinatoren. For væsentlige informationsaktiver - systemer, informationer, processer mv. - skal der udpeges ejere, som har ansvaret for, at retningslinjerne for anvendelse og forvaltning af det pågældende aktiv overholdes i alle forretningsgange og i hele aktivets levetid: Systemejere har ansvaret for sikkerheden i og omkring systemerne - systemernes egenskaber, brug, drift, omgivelser og vedligeholdelse. Systemejerne fastlægger de sikkerhedsmæssige krav til systemet på baggrund af forretningsmæssige behov, lovbestemte krav, kontraktlige krav og dataejeres krav. Systemejere har endvidere ansvaret for at følge op på efterlevelsen af kravene. Dataejere har ansvaret for sikkerheden omkring dataanvendelse, distribution og opbevaring. Dataejer fastlægger ligeledes kravene på baggrund af forretningsmæssige behov, lovbestemte krav og kontraktlige krav. Procesejere, dvs. chefer med ansvar for bestemte forretningsfunktioner, som anvender systemer og data, har ansvaret for, at system- og dataejeres krav efterleves i de pågældende forretningsfunktioner. Ejere af de fysiske aktiver har ansvaret for beskyttelsen af de fysiske aktiver og for at system- og dataejeres krav til fysisk sikring efterleves. Procedurer mm. udarbejdes og vedligeholdes af de pågældende ejere, evt. i samarbejde med i- sikkerhedskoordinatoren. Det operationelle ansvar for den daglige styring er placeret hos chefgruppen, hvis rolle er: at sikre information om i-sikkerhed og retningslinjer til alle medarbejdere at sørge for, at der udarbejdes og vedligeholdes procedurer, der sikrer i-sikkerhedsniveauet og overholdelse af retningslinjerne koordinering og opfølgning på overholdelse af retningslinjer og procedurer løbende vedligeholdelse af det overordnede risikobillede at holde sig ajour med den generelle udvikling på i-sikkerhedsområdet. Derudover har alle medarbejdere ansvar for at holde sig orienteret om og efterleve reglerne for korrekt og accepteret brug af kommunens informationsaktiver. Opmærksomheden henledes på, at Holbæk kommune er at betragte som en myndighed og alle informationer og data derfor overordnet set ejes af kommunen. I praksis betyder kommunes ejerskab, at informationer og data skal stilles til rådighed enheder imellem, såfremt der måtte være 3

5 et arbejdsmæssigt behov. Ansvaret for informationer og data er uddelegeret til de enkelte systemog dataejere. 2.2 Placering af ansvar i organisationen Ansvaret for overholdelse af i-sikkerhedspolitikken følger kommunens organisatoriske opbygning. Direktører, chefer, afdelingsledere og institutionsledere er dermed ansvarlige for i-sikkerheden inden for eget ansvarsområde. Herudover har Holbæk Kommune en række medarbejdere, som er ansvarlige for delelementer i forbindelse med i-sikkerheden. Ansvar for informationsaktiver (systemer og data) skal placeres entydigt. Placering af ansvar/ejerskab foretages ud fra følgende overvejelser: Hvem i kommunen, der har det primære ansvar for fagområdet/afdelingen, som systemet/data anvendes i Hvem der har ansvaret for de forretningsprocesser, som systemet/data anvendes i. Hvilke forretningsprocesser er mest afhængige af systemet/data? Hvem der har kompetencen til og ansvaret for at fastlægge værdien af systemet/data. Hvilken afdeling/område der vil lide størst skade, hvis systemets/datas sikkerhed kompromitteres. Om der er flere ejere. Eventuelt af elementer af systemet/data Ejere er som udgangspunkt cheferne. Ejere kan uddelegere dele af opgaven, men vil altid have ansvaret. Ofte er der i praksis sammenfald mellem system-, data- og procesejerrollen. Oversigten over systemejere og dataejere vedligeholdes af it-afdelingen, forretningskonsulenter og i-sikkerhedskoordinatoren i fællesskab. 2.3 Ejere af fysiske aktiver Som udgangspunkt ejes de fysiske aktiver af lederen af it-afdelingen. De fysiske sikkerhedsforanstaltninger skal etableres på en måde, som ikke forringer medarbejdersikkerheden. 2.4 Lederen af it-afdelingen Lederen af it-afdelingen er sparringspartner i de fleste forhold omkring håndtering af sikkerheden og har ansvaret for at drift, vedligeholdelse og udvikling er tilrettelagt på en måde, så ejernes krav efterleves. Lederen af it-afdelingen skal påse, at der til stadighed er etableret forretningsgange og procedurer i it-afdelingen, som støtter overholdelsen af i-sikkerhedspolitikken, i- sikkerhedshåndbogen og bilagene. Lederen af it-afdelingen varetager ejerskabet af den fysiske og logiske infrastruktur, it-arkitekturen, serverrum mm. 2.5 Opfølgning og kontrol Efterlevelsen af reglerne i sikkerhedshåndbogen og bilagene afprøves mindst en gang årligt af i- sikkerhedskoordinatoren. Afvigelser rapporteres i den årlige opfølgning og i særlige tilfælde straks til styregruppen for i-sikkerhed. 2.6 Samarbejdsaftaler Hvis it-driften - eller andre dele af kommunens it-anvendelse - overlades til eksterne samarbejdspartnere, skal der foreligge en konkret samarbejdsaftale, hvor leverandørens 4

6 sikkerhedshåndtering er beskrevet. Det skal sikres, at kommunens sikkerhedsregler ikke kompromitteres ved samarbejdet. Retningslinjer for eksterne leverandører er beskrevet i bilag D1. 3 STYRING AF AKTIVER Alle væsentlige informationsaktiver i Holbæk Kommune skal være kortlagt og identificeret, og der skal være udpeget en ansvarlig ejer. Informationsaktiver er både hardwarebaseret it-udstyr samt programmer og applikationer og data, der anvendes i forbindelse med programmerne. Informationer, der befinder sig på papir eller andet medie er ligeledes omfattet. Alle væsentlige aktiver i kommunen skal indgå i en fælles fortegnelse, hvor alle relevante karakteristika er angivet. Registreringen skal sikre en entydig identifikation af de enkelte aktiver og sikre overblik samt styring af opgradering og moderniseringsprojekter. Med henblik på at tilrettelægge en betryggende sikkerhed for det enkelte aktiv, skal aktivets betydning for kommunen vurderes, og der skal foretages en klassifikation af aktiverne på baggrund af sikkerhedskravene. Den administrative, fysiske og logiske sikkerhed skal herefter tilrettelægges med udgangspunkt i klassifikationen. Retningslinjer for fysisk sikkerhed er endvidere beskrevet i kapitel 5. 4 MEDARBEJDERSIKKERHED Alle medarbejdere skal være opmærksomme på deres særlige ansvar i forbindelse med anvendelse af kommunens informationsaktiver og it-baserede infrastruktur. Alle medarbejdere skal have kendskab til - og arbejde i overensstemmelse med - kommunens i- sikkerhedspolitik og retningslinjer. 4.1 Ansættelsesforholdet Informationssikkerheden i kommunen afhænger af medarbejderne. Det skal derfor sikres, at medarbejderne har de fornødne kompetencer og er bekendt med retningslinjerne. Endvidere er der i i-sikkerhedshåndbogen og bilagene beskrevet retningslinjer for hvordan itbrugere og it-medarbejdere skal håndtere sikkerhedshændelser og risici. 4.2 Ledelsens ansvar Kommunens chefgruppe har ansvaret for, at alle it-brugere har kendskab til - og arbejder efter de retningslinjer der er relevante for den enkelte bruger. I-sikkerhedskoordinatoren udmønter i-sikkerhedspolitikken i de fornødne kontroller og i- sikkerhedstiltag. 4.3 Viden Det skal sikres, at alle it-brugere forstår og accepterer retningslinjerne inden de gives adgang til systemer og data. Relevante retningslinjer skal være formidlet til alle it-brugere. Alle medarbejdere, der arbejder med kommunens it-udstyr, skal have kendskab til kommunens i-sikkerhedsregler og forretningsgange. 5

7 4.4 Sanktioner Den enkelte medarbejder har selv ansvar for at efterleve retningslinjerne og følge fastlagte forretningsgange. Det skal derfor fremhæves, at overtrædelse af i-sikkerhedspolitikken samt relaterede bilag, betragtes som en tjenesteforseelse, som efter omstændighederne, kan medføre sanktioner. Hvis en medarbejder opdager trusler imod kommunens aktiver eller er bekendt med brud på sikkerheden, skal dette meddeles nærmeste leder hurtigst muligt. Styregruppen skal altid orienteres om brud på sikkerheden til brug for den løbende opdatering af risikobilledet og rapportering til Direktionen. 4.5 Ansættelsens ophør Når den enkelte it-bruger fratræder sin stilling, skal der være etableret konsekvente forretningsgange, der dels sikrer betryggende sletning af autorisationer samt at kommunens itaktiver returneres. Retningslinjer for adgangsstyring fremgår i bilag A9/B10/C4*. (* angiver, at der er tale om det samme bilag, som fremgår i flere søjler) 5 FYSISK SIKKERHED Den fysiske sikkerhed omkring et informationsaktiv skal afspejle den værdi, funktionalitet og følsomhed aktivet repræsenterer. De fysiske installationer skal sikres mod uautoriseret adgang, ulykker, hærværk, tyveri og forsyningssvigt. Den fysiske sikkerhed skal stå i et naturligt forhold til de værdier, som skal beskyttes. Kravene til sikring af centralt udstyr er således højere end kravene til sikring af udstyr i kontormiljøerne. Den fysiske sikkerhed er tilrettelagt ud fra en risikovurdering og skal som minimum overholde retningslinjerne, som de er beskrevet her samt i relaterede bilag. Den fysiske sikkerhed skal i relevant omfang være dokumenteret således, at styregruppen for i-sikkerhed - som en del af den generelle it-risikostyring - kan planlægge sikkerhedsprocedurer i forhold til den fysiske sikkerhed. Den fysiske sikkerhed skal afvejes i forhold til mulige driftsforstyrrelser og driftstab. I praksis betyder det, at kravene til den fysiske sikkerhed er opdelt i 3 sikkerhedsniveauer: Sikkerhedsniveau 1: Omfatter centralt udstyr, herunder udstyr i centrale serverrum - servere og kommunikationsudstyr, samt krydsfelter. Sikkerhedsniveau 2: Omfatter almindeligt it-udstyr i kommunens lokaler, herunder primært pc er, printere og tilsvarende periferiudstyr. Sikkerhedsniveau 3: Omfatter decentrale arbejdspladser og bærbare pc er udenfor kommunens lokaler, herunder distance- og politiker pc er, bærbare pc er samt USBnøgler, tablets, PDA er og lignende. Fastsættelse af det fysiske sikkerhedsniveau indebærer mindst retningslinjer for; Serverrum, herunder placering, adgangskontrol, alarmsystemer samt andre tekniske løsninger, som køleanlæg, nødstrømsanlæg og automatiske brandslukningssystemer. Kabling og krydsfelter, herunder placering og sikkerhed. Pc-udstyr i kommunens lokaler, herunder hensigtsmæssig placering i forhold til både arbejdsmiljø og i-sikkerhed. Lokalerne skal være betryggende sikret - enten døgnbemandet eller aflåst udenfor normal arbejdstid. Pc-udstyr på andre lokationer end kommunens, herunder hensigtsmæssig placering i forhold til arbejdsmiljø og i-sikkerhed. 6

8 Kassation og destruktion af udstyr, skal foretages miljømæssigt forsvarligt og finde sted efter betryggende sletning af data. Registrering af aktiver og forsikringer. Registrering - af alle enheder der repræsenterer en væsentlig værdi. Registrering - af alle licensforhold. Alt it-udstyr er dækket af kommunens interne forsikring, bemærk dog at der er en selvrisiko. Retningslinjer for den fysiske sikkerhed, er uddybende beskrevet i følgende bilag: Bilag A5, fysisk sikkerhed, servere og netværk. Bilag B1, it-brugere Bilag B4, distancearbejdspladser. Bilag B5, bærbare enheder. Bilag A7/B8*, destruktion af datamedier. 6 STYRING AF NETVÆRK OG DRIFT Holbæk Kommune driftsafvikler et fælles netværk således, at alle kommunens it-brugere kan opnå hurtig og sikker adgang til systemer og data. Samtidig skal der være etableret sikkerhedsforanstaltninger således, at uvedkommende ikke kan opnå adgang til kommunens itsystemer. Holbæk Kommunes it-drift er tilrettelagt med betryggende forretningsgange og procedurer, ligesom der altid foretages den fornødne dokumentation. For alle væsentlige dele af it-anvendelsen, skal der være etableret dokumenterede driftsafviklingsprocedurer, der sikrer konsekvent og stabil drift af systemer og data. Endvidere skal der være etableret funktionsadskillelse på væsentlige områder. Ændringer i it-anvendelsen skal være dokumenteret. Lederen af it-afdelingen følger løbende op på styringen af netværk og drift. 6.1 Netværk IT-afdelingen har ansvaret for Holbæk Kommunes overordnede it-infrastruktur samt lokalnet på alle kommunens lokationer. Alle eksterne kommunikationsforbindelser skal godkendes af lederen af it-afdelingen, som vedligeholder oversigter over netværk og datakommunikation. I forbindelse med pc ere som er tilkoblet Holbæk Kommunes netværk, må der ikke tilsluttes til andre netværk, med mindre der gives tilladelse af it-afdelingen. 6.2 Eksterne leverandører I særlige tilfælde kan eksterne leverandører få adgang til Holbæk Kommunes systemer og i- infrastruktur. Retningslinjer for eksterne leverandørers adgang fremgår i bilag D Sikkerhedskopiering Der tages sikkerhedskopi af alle væsentlige systemer og data. For hvert enkelt system skal der tages stilling til frekvensen af sikkerhedskopiering, og hvordan sikkerhedskopier skal opbevares. Kravene til sikkerhedskopiering fastlægges af systemejerne. Der skal foretages en teknisk stikprøvekontrol af kopieringsrutinerne mindst en gang om året, eller i forbindelse med omlægning af rutinerne. 7

9 Procedurer for sikkerhedskopiering og reetablering skal beskrives således, at procedurerne til enhver tid kan udføres af udvalgte it-medarbejdere i kommunen. Sikkerhedskopier opbevares på en forsvarlig måde. Uddybende retningslinjer for sikkerhedskopiering er beskrevet i bilag A Firewall Adgangen fra eksterne netværk - herunder internet - til Holbæk Kommunes netværk er sikret således, at det kun er autoriserede it-brugere, som kan opnå adgang. Lederen af it-afdelingen er ansvarlig for, at adgangen til netværket er beskyttet med en firewall, herunder betryggende administration af firewall samt vedligeholdelse af firewallsoftware, overvågning af firewall, logning af trafikken samt aftestning af funktionaliteten. Retningslinjer for administration og håndtering af firewall er uddybende beskrevet i bilag A Sikring af datamedier mod uautoriseret adgang Alle databærende medier skal beskyttes mod uautoriseret adgang. Der er derfor etableret forretningsgange for autorisation til data og systemer, ligesom fysiske datamedier skal være beskyttet. Den enkelte it-bruger skal identificere sig over for systemerne, inden adgangen kan etableres. Sammen med identificeringen skal der ligeledes angives et personligt password eller tilsvarende autentifikationsløsning. Retningslinjer for anvendelse af passwords samt beskyttelse af dataadgang er beskrevet i bilag B Destruktion af data Bortskaffelse af data skal finde sted under betryggende forhold. Hvis der er tale om personhenførbare data eller andre former for følsomme data, skal det sikres, at data ikke bliver tilgængelige for uvedkommende. Uddybende retningslinjer for destruktion af data fremgår i bilag A7/B8*. Uanset om data gemmes på manuelle- eller elektroniske medier, er retningslinjerne gældende. 6.7 E-post og internet E-post og internet betragtes som strategiske værktøjer, som har til formål at sikre en fleksibel-, bruger- og borgervenlig it-anvendelse i Holbæk Kommune. Med henblik på at beskytte kommunen mod skader forårsaget af e-post og internet, er der beskrevet retningslinjer for anvendelse af e-post og internet i bilag B2 og bilag B Sikker e-post og anvendelse af digitale signaturer og certifikater Digitale signaturer og certifikater anvendes til adgangskontrol - logon - til en række offentlige tjenester og i forbindelse med afsendelse og modtagelse af elektroniske meddelelser, hvor der skal være sikkerhed for identitet (hvem der er afsender/modtager), autenticitet (at indholdet ikke er ændret), fortrolighed (via kryptering). Retningslinjer for anvendelse af digitale signaturer fremgår af bilag B6. 8

10 6.9 E-handel Det skal sikres, at data og informationer, som udveksles i forbindelse med elektronisk handel over offentlige netværk, er beskyttet mod svig og svindel, kontraktlige uoverensstemmelser samt autoriseret adgang og ændringer. Dette skal primært sikres via tekniske løsninger samt betryggende forretningsgange for tildeling af adgang til at disponere og foretage e-handel på vegne af Holbæk Kommune Offentligt tilgængelige data Holbæk Kommune stiller en række data til rådighed for borgere og virksomheder på kommunens hjemmeside. Tilgængeligheden skal tilrettelægges således, at data ikke kan forvanskes, ligesom data ikke må være offentligt tilgængelige ud over, hvad lovgivningen tillader Overvågning og logning It-afdelingen foretager overvågning af kommunens væsentligste installationer. Der er etableret registrering af system- og dataanvendelsen (logning) for alle væsentlige systemer og data samt systemer og data der indeholder personhenførbare informationer. Systemejere tager stilling til logningsniveauet. Logningen skal som minimum være i overensstemmelse med kravene i Persondataloven. Retningslinjer for logning er beskrevet i bilag B11/C5*. 7 ADGANG TIL DATA Det er kun autoriserede brugere, der må have adgang til kommunens interne data. Der føres kontrol med anvendelsen af data for at forhindre fejl i forbindelse med databehandlingen. Endvidere skal det sikres, at data, som anvendes i kommunen, er korrekte. Indsatsen for styring af adgang koncentreres særligt om de data, som: Er særlig værdifulde Er følsomme Er nødvendige for den daglige drift og forretningsprocesser Har (væsentlig)betydning for kommunes mål, omdømme og økonomi Dataejere fastsætter sikkerhedsniveauet og har ansvaret for at finde balancen mellem behovet for at anvende data og den risiko, der knytter sig til anvendelse, transport og opbevaring. 7.1 Adgang til it-systemer og netværk Kun personer med et tjenstligt behov kan få adgang til Holbæk Kommunes interne it-systemer. Systemejerne er ansvarlige for at definere, hvilke systemer kommunens medarbejdere skal have adgang til og hvilke rettigheder, de skal have. Systemejerne fastlægger hvilke systemer og informationer, borgere og eksterne brugere skal have adgang til. Autorisationsproceduren skal være tilrettelagt på en sådan måde, at risikoen for fejl minimeres. Endvidere skal der være en forretningsgang der sikrer, at autorisationer gennemgås med faste intervaller. Adgangsrettigheder kan udelukkende tildeles efter godkendelse af systemejerne, som også har ansvaret for, at det til enhver tid kun er brugere med tjenstlig behov, der har adgang. 9

11 Retningslinjer for adgangsstyring, herunder tildeling, ændring og sletning af autorisationer, er beskrevet i bilag A9/B10/C4*. 7.2 Logon-procedure Der skal være etableret en logonprocedure som sikrer, at brugeroplysninger ikke kan blive tilgængelige for uvedkommende. Forbindelser til kommunens netværk og systemer via åbne netværk, herunder internet, skal tilsvarende sikres således, at brugeroplysninger og passwords aldrig bliver tilgængelige for uvedkommende. Autentifikation skal være tilrettelagt således, at i-sikkerheden har optimal styrke samtidig med, at den enkelte it-bruger oplever mindst mulig ulempe. Det er den enkelte it-brugers ansvar at behandle it-udstyr og informationer på betryggende vis således, at data og systemer ikke bliver tilgængelige for uvedkommende. Derfor skal den enkelte pc være beskyttet med logisk og fysisk adgangskontrol. Anvendelse af passwords skal som minimum overholde retningslinjerne i bilag B Udskrivning Ved udskrivning fra kommunens systemer skal det sikres, at fortroligt og personfølsomme oplysninger ikke bliver tilgængelige for uvedkommende. Betryggende håndtering af fortroligt og personfølsomt print er uddybende beskrevet i bilag B Intern kontrol For alle systemer skal der tages stilling til, hvilke interne kontroller, der skal udføres i forbindelse med databehandlingen, og hvem der er ansvarlig. Systemejerne skal sikre, at procedurerne iværksættes. Systemejernes opgaver er uddybende beskrevet i bilag C Virus Holbæk Kommune råder over forskellige værktøjer, som beskytter it-systemer og netværk imod virusangreb. Udover anvendelse af opdaterede værktøjer, motiveres it-brugerne til varetagelse af god it-skik. Uddybende retningslinjer for tilrettelæggelse af virusberedskab er beskrevet i bilag A4 mens betryggende adfærd til imødegåelse af virus, fremgår i bilag B Distance- og politiker pc er Distancearbejdspladsernes pc er kan være netopkoblede eller enkeltstående pc arbejdspladser, som er placeret i hjemmet eller andre steder, herunder også bærbare pc er og tablets. Retningslinjer for anvendelse af distancearbejdspladser i Holbæk Kommune fremgår i bilag B Bærbart udstyr I Holbæk Kommune anvendes i stigende omfang bærbart udstyr, herunder bærbare pc er, tablets, USB-sticks, PDA er/smartphones og lignende. Personhenførbare informationer og fortrolige oplysninger må ikke lagres på bærbart udstyr og på private Cloud-løsninger. Retningslinjer for den type udstyr er beskrevet i bilag B5. 10

12 8 ANSKAFFELSE OG UDVIKLING Ved anvendelse af fast definerede forretningsgange og standarder skal det sikres, at de systemer eller driftsmiljøer der anskaffes, udvikles eller vedligeholdes, er pålidelige og effektive. It-afdelingen skal i samarbejde med systemejerne sikre, at anskaffede systemer og driftsmiljøer etableres på en sådan måde, at retningslinjerne i i-sikkerhedshåndbogen og bilagene overholdes. Systemejerne har ansvaret for, at de systemer, der anskaffes og udvikles inden for deres ansvarsområde sikres i et tilfredsstillende omfang. Inden et system anskaffes skal systemejeren sikre, at de sikkerhedsmæssige krav til systemet, i hele systemets levetid, identificeres. Kravene identificeres på baggrund af en risikovurdering. Systemer må ikke ibrugtages, før der er foretaget aftestning, hvor omfanget afhænger af væsentlighed og risiko. Systemejer skal godkende omfanget af test, og når resultatet foreligger, er det systemejeren, som beslutter, hvorvidt testresultatet er tilfredsstillende. Efterfølgende ændringer af systemet skal tillige aftestes. Endelig har systemejeren ansvaret for sikkerheden i forbindelse med udfasning af et system. It-afdelingen og evt. Styregruppen for digitalisering og velfærdsteknologi skal altid inddrages i processen inden anskaffelse og installation af nyt software. 9 STYRING AF I-SIKKERHEDSHÆNDELSER Det skal sikres, at svagheder og i-sikkerhedshændelser bliver overvåget og rapporteret således, at det er muligt at foretage rettidige og fornødne korrektioner. Alle it-brugere i Holbæk kommune skal gøres opmærksomme på deres forpligtelser til hurtigst muligt at rapportere i-sikkerhedshændelser til nærmeste leder eller IT-afdelingen. Her vil det blive vurderet, om der er tale om en reel i-sikkerhedshændelse og hvilke foranstaltninger der skal iværksættes. 10 NØDBEREDSKAB FOR IT-ANVENDELSEN Det skal sikres, at væsentlige forretningsgange og opgaver, inden for en given tidsperiode, kan videreføres i prioriteret og kontrolleret rækkefølge. Nødsituationer er uventede it-nedbrud, som har uacceptable konsekvenser for kommunens drift. Systemejere har ansvaret for: At identificere de væsentlige forretningsprocesser At identificere de systemer og data, som forretningsprocesserne afhænger af At fastlægge kravene til retablering: hvor gammel må en backup være, og hvor hurtigt skal forretningsprocessen vende tilbage i normal drift? At fastlægge kravene til eventuelle midlertidige manuelle forretningsgange Løbende at vurdere, om kravene til nødberedskab svarer til behovet. Nødberedskabet skal stå i naturligt forhold til vigtigheden af det driftsmiljø, som skal beskyttes. Kommunaldirektøren har ansvaret for, at kravene til it-understøttelsen, herunder kommunikationsveje, i en generel beredskabssituation er fastlagt og kan efterleves. Chefgruppen sikrer, at kravene efterleves og bistår med afprøvning af beredskabsplaner. Beredskabsstyringen sker i samarbejde med It-afdelingen. 11

13 Overordnet nødberedskab for it-anvendelsen er beskrevet i bilag A8/B9/C3*. 11 REGELSÆT OG LOVGIVNING Det skal sikres, at relevante i-sikkerhedskrav i lovgivning og bekendtgørelser overholdes. Holbæk Kommune er dataansvarlig myndighed og skal sikre, at anvendelsen af it-systemer overholder persondataloven, forvaltningsloven og lov om offentlighed i forvaltningen. Derudover har kommunen et ansvar for at sikre mod ulovlig brug af kommunens it-systemer og netværk, herunder brud på: Lov om ophavsret Den danske straffelov It-anvendelsen i Holbæk Kommune er endvidere reguleret af en række interne retningslinjer og regelsæt, som skal bidrage til, og være med til at sikre, en høj og ensartet kvalitet i forbindelse med it-anvendelsen. Retningslinjerne er beskrevet i bilag til i-sikkerhedspolitikken og i- sikkerhedshåndbogen Lov om behandling af personoplysninger Lov om behandling af personoplysninger - eller Persondataloven - har til formål at sikre personfølsomme data imod misbrug. Er der tale om en samling af personoplysninger er Persondataloven gældende. Persondataloven skelner ikke mellem, hvilke metoder der anvendes til håndtering af data. Persondataloven er således også gældende for persondata der gemmes på papir. I Persondataloven er defineret en række krav til fastsættelse af sikkerhedsbestemmelser. I- sikkerhedspolitikken, i-sikkerhedshåndbogen og tilhørende bilag bidrager til at opfylde kravene, som er defineret i Persondataloven samt relaterede bekendtgørelser. Særlige forhold vedrørende Persondataloven, herunder retningslinjer for indsigtsret og videregivelse, fremgår i bilag B12/C6*. 12

14 Bilagsoversigt Bilag Navn Itmedarbejdere Søjle A Søjle B Søjle C Søjle D Itbrugere A 1 Retningslinjer for it-medarbejdere x A 2 Retningslinjer for firewall x A 3 Retningslinjer for sikkerhedskopiering x A 4 Retningslinjer for virusberedskab x A 5 Retningslinjer for fysisk sikkerhed, servere og netværk x A 6 -B 7 Retningslinjer for trådløse netværk x x A 7 - B 8 Retningslinjer for destruktion af datamedier x x A8 - B 9 - C3 Retningslinjer for nødberedskab for it-anvendelse x x x A9 - B10 - C4 Retningslinjer for adgangsstyring x x x B 1 Retningslinjer for it-brugere x B 2 Retningslinjer for anvendelse af x B 3 Retningslinjer for anvendelse af internet x B 4 Retningslinjer for anvendelse af distancearbejdspladser x B 5 Retningslinjer for anvendelse af bærbare enheder x B 6 Retningslinjer for anvendelse af digital signatur x B 11 - C5 Retningslinjer for logning x x B 12 - C 6 Særlige forhold vedrørende persondataloven x x C 1 Retningslinjer for systemejere x C 2 Retningslinjer for dataejere x D 1 Retningslinjer for eksterne leverandører x D 2 Retningslinjer for eksterne leverandører, erklæringer x Systemejere Eksterne samarbejdspartnere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Overordnet Informationssikkerhedspolitik

Overordnet Informationssikkerhedspolitik Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Databeskyttelsespolitik for DSI Midgård

Databeskyttelsespolitik for DSI Midgård Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,

Læs mere

Overordnet informationssikkerhedsstrategi

Overordnet informationssikkerhedsstrategi Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Politik for informationssikkerheddatabeskyttelse

Politik for informationssikkerheddatabeskyttelse BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

SOPHIAGÅRD ELMEHØJEN

SOPHIAGÅRD ELMEHØJEN Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger

Læs mere

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...

Læs mere

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Overordnet Informationssikkerhedsstrategi. for Odder Kommune Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5

Læs mere

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November

Læs mere

Ballerup Kommune Politik for databeskyttelse

Ballerup Kommune Politik for databeskyttelse BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme

Læs mere

Overordnet organisering af personoplysninger

Overordnet organisering af personoplysninger Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

It-sikkerhedspolitik for Farsø Varmeværk

It-sikkerhedspolitik for Farsø Varmeværk It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Overordnet organisering af personoplysninger

Overordnet organisering af personoplysninger Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer

Læs mere

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...

Læs mere

Bilag 1 Databehandlerinstruks

Bilag 1 Databehandlerinstruks Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum

Læs mere

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser. www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

IT-sikkerhedspolitik for Lyngby Tandplejecenter

IT-sikkerhedspolitik for Lyngby Tandplejecenter IT-sikkerhedspolitik for Lyngby Tandplejecenter 1 Indledning Formål med IT-sikkerhedspolitikken Lyngby tandplejecenters IT-sikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

DATABESKYTTELSESPOLITIK

DATABESKYTTELSESPOLITIK DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel

Læs mere

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5

Læs mere

Databeskyttelsespolitik

Databeskyttelsespolitik Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

INFORMATIONS- SIKKERHEDSPOLITIK

INFORMATIONS- SIKKERHEDSPOLITIK Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den

Læs mere

Politik for Datasikkerhed

Politik for Datasikkerhed Politik for Datasikkerhed i Billund Vand & Energi A/S Oktober 2015 Indhold 1 Indledning... 2 1.1 Værdier... 2 1.2 Data... 2 2 Formål... 3 3 Holdninger og principper... 4 4 Omfang... 5 5 Sikkerhedsniveau...

Læs mere

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav IT-sikkerhedspolitik Bilag 2 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It

Læs mere

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4 Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,

Læs mere

Informationssikkerhedspolitik Frederiksberg Kommune

Informationssikkerhedspolitik Frederiksberg Kommune Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

PSYKIATRIFONDENS Informationssikkerhedspolitik

PSYKIATRIFONDENS Informationssikkerhedspolitik PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...

Læs mere

Hovmosegaard - Skovmosen

Hovmosegaard - Skovmosen Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard

Læs mere

Informationssikkerhedspolitik For Aalborg Kommune

Informationssikkerhedspolitik For Aalborg Kommune Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Politik <dato> <J.nr.>

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

IT-Sikkerhedspolitik. Oktober 2011

IT-Sikkerhedspolitik. Oktober 2011 IT-Sikkerhedspolitik Oktober 2011 # $% & % ( * & + ($, % % - ((.. / (01 1 2 & (34 Placering i organisationen IT-chef IT-medarbejdere Forvaltningschef Ansvar Koordinering, overblik, opfølgning, ajourføring.

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik 24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

REGULATIV FOR IT-SIKKERHED

REGULATIV FOR IT-SIKKERHED REGULATIV FOR IT-SIKKERHED Kapitel 1 - Anvendelsesområde og formål 1. Styringen af informationssikkerheden i Hovedstadens Beredskab er beskrevet i en it-sikkerhedshåndbog, som indeholder: It-sikkerhedspolitikken:

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Informationssikkerhedspolitik. for Aalborg Kommune

Informationssikkerhedspolitik. for Aalborg Kommune Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...

Læs mere

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

MedComs informationssikkerhedspolitik. Version 2.2

MedComs informationssikkerhedspolitik. Version 2.2 MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...

Læs mere

Et koncentrat af retningslinjerne i søjle B, herunder retningslinjer for it-brugere, bliver også distribueret i kommunens it-sikkerhedsfolder:

Et koncentrat af retningslinjerne i søjle B, herunder retningslinjer for it-brugere, bliver også distribueret i kommunens it-sikkerhedsfolder: Søjle B Retningslinjer for it-brugere Bilag B 1 Retningslinjer for it-brugere Alle medarbejdere i Holbæk Kommune, som anvender en it-arbejdsplads, skal have kendskab til retningslinjer for it-brugere.

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

IT-sikkerhedspolitik

IT-sikkerhedspolitik Bilag 9.02 til Kasse- og Regnskabsregulativ for Trafikselskabet Movia Trafikselskabet Movia CVR nr.: 29 89 65 69 EAN nr.: 5798000016798 Ressourcecenter Valby august 2012 IT-sikkerhedspolitik Indholdsfortegnelse

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk It-sikkerhedspolitik Bilag 8 Kontrol og adgang til systemer, data og netværk November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Retningsgivende databehandlervejledning:

Retningsgivende databehandlervejledning: Retningsgivende databehandlervejledning: 1. Databehandleren handler alene efter vejledning af den dataansvarlige og vedrører de opgaver, datahandleren har i henhold til bilag 1 til databehandleraftalen

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere