DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
|
|
- Mads Bech
- 8 år siden
- Visninger:
Transkript
1 DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
2 Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod danske virksomheders elektroniske data. Vejledningen gennemgår trusselsbilledet og gennemløber en overordnet risikovurdering med udgangspunkt i truslerne, følsomheden af de data, som virksomheden er i besiddelse af, samt virksomhedens sikkerhedstiltag. På den baggrund gives et sæt anbefalinger. Risikoen for industrispionage Der har gennem de seneste par år været en stigende opmærksomhed på at inkludere aktiviteter udført af fremmede landes efterretningstjenester i trusselsbilledet. I FEs "Efterretningsmæssig risikovurdering 2013" hedder det bl.a.: "De alvorligste cybertrusler mod Danmark kommer fra statslige aktører, der udnytter internettet til at spionere". Dette har betydet et tilsvarende behov hos danske virksomheder for at inkludere disse mulige trusler i deres risikovurderinger. Mulighederne for at udøve industrispionage er tæt forbundet med de regler, som efterretningstjenesterne er underlagt tillige med deres tekniske kapacitet. I nogle lande er området ikke reguleret, og det er derfor kun den tekniske kapacitet, der sætter grænser. I andre lande findes der lovgivning, som regulerer området. I den vestlige verden findes der typisk lovgivning, som tillader efterretningsaktiviteter, når det sker af hensyn til national sikkerhed, alvorlige forbrydelser, beskyttelse af landets økonomiske interesser eller som følge af internationale aftaler. Der er i de forskellige lande forskellige tilgange til at indhente efterretninger. I nogle lande foretages indhentningen af specialiserede dele af efterretningstjenesterne. I andre lande udføres indhentning af private aktører, som handler på efterretningstjenesternes vegne. Vi vil derfor i denne vejledning bruge termen statssponserede aktører, om de organisationer, der står bag efterretningsindhentningen. Afhængig af deres tekniske kapacitet, baserer de statssponserede aktører typisk indhentningen på tre typer af aktiviteter. For det første kan de planlægge og gennemføre målrettede angreb for at nå specifikke mål. For det andet kan de foretage masseovervågning og analysere den trafik, de indsamler, for at søge efter mønstre eller specifik information. For det tredje kan de forberede kapacitet til fremtidig indhentning af informationer. Målrettede angreb De målrettede angreb er bl.a. beskrevet i "Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer", udgivet af Forsvarets Efterretningstjeneste (FE). APT står for advanced persistent threats og er særligt avancerede, målrettede og vedholdende angreb. I FEs trusselsvurdering redegøres der for, at angrebene "oftest [sker] med sigte på at udøve spionage, særligt industrispionage, og det er derfor meget sandsynligt, at det ofte er statssponserede aktører, der står bag". Danmark har ved flere lejligheder været ramt af denne type målrettede angreb, bl.a. rettet mod Erhvervs- og Vækstministeriet og mod private virksomheder indenfor højteknologiske sektorer. Danmark er ikke alene med at komme med denne trusselsvurdering. Den mest omfattende offentlige vurdering kommer fra virksomheden Mandiant, der har kortlagt målrettede angreb fra statssponserede aktører rettet mod 141 organisationer, fortrinsvis i engelsk talende lande. Målrettede angreb kan også
3 være rettet mod enkeltpersoner, og særlig præcisionsangreb (spearphishing) på virksomhedsledere eller itadministratorer, som har bred adgang til fortrolige informationer, udgør en trussel. Denne type angreb har til formål enten direkte at give adgang til informationer, eller at give adgang til rettigheder på virksomhedens it-systemer, som indirekte kan give adgang til informationer. Masseovervågning Masseovervågning foretages ligeledes af en række lande. Masseovervågning er karakteriseret ved, at man indsamler informationer og informationsmønstre (metadata) i stor skala fra en række forskellige kilder. Efterfølgende foretager man analyser af data for søge efter mønstre eller specifik information. Ofte lagres data også således, at man kan foretage søgninger på historiske data ud fra en konkret mistanke og/eller se mønstre over tid. Konkret har bl.a. lækager af klassificerede dokumenter vist, at statssponserede aktører foretager masseovervågning i store dele af internettets infrastruktur, herunder teleselskabernes trafikdata og de fiberoptiske kabler, som forbinder verdensdelene. Virksomheders data indsamles også i sådan masseovervågning, og virksomhedernes fortrolighed bliver dermed truet. Der foreligger imidlertid kun få kendte eksempler på, at data misbruges til industrispionage, og disse eksempler vedrører ikke den vestlige verden. Forberedende kapacitet De statssponserede aktører kan også opbygge kapacitet til fremtidig overvågning og angreb. Der indsamles viden om ubeskyttede software sårbarheder (zero-days), indbygges bagdøre, opbygges kompetencer til at bryde kryptering og indgås aftaler om udveksling af data med andre aktører. En opsummering af de statssponserede aktørers aktiviteter viser altså, at der er risiko for, at virksomhedernes data på forskellig vis opsamles af statssponserede aktører uden virksomhedernes viden og i modstrid med deres ønske, og at datas fortrolighed dermed er truet. Der er altså god grund for virksomhederne til at inkludere trusler fra statssponserede aktører i deres trusselsbillede. Risikovurdering, dataklassifikation og sikkerhedstiltag Virksomheden bør altid lave en risikovurdering. Risikovurderingen bør tage højde for de aktuelle trusler, følsomheden af virksomhedens data, og virksomhedens opbygning (teknisk, fysisk og personalemæssigt), herunder eksisterende sikkerhedstiltag. Dataklassifikation Virksomhederne anbefales at gennemføre en dataklassifikation, hvor man som minimum klassificerer de data, der er af størst forretningsmæssig betydning for virksomheden, og dermed sikrer den bedst mulige beskyttelse af dem. En guideline til at gennemføre en dataklassifikation er Statsministeriets Sikkerhedscirkulære, hvor der skelnes mellem om kompromittering af data kan medføre skade, alvorlig skade eller overordentlig alvorlig skade. Det afhænger meget af, hvilken virksomhed der er tale om, men ofte vil det kun være mellem 0,5 % og 2 % af virksomhedens data, som skal klassificeres i den højeste kategori, hvor deres kompromittering kan medføre alvorlig skade, og som dermed kan retfærdiggøre omfattende sikkerhedstiltag.
4 Sikkerhedstiltag Virksomhedens organisering er afgørende for, hvordan virksomheden skal beskytte sig. Hvis virksomheden har outsourcet IT systemer med forretningskritiske data til en professionel leverandør eller en cloud service provider, vil virksomheden opnå den fordel, at der foreligger en service level kontrakt, som fastslår, hvilket sikkerhedsniveau leverandøren skal levere. I mange tilfælde vil dette sikkerhedsniveau være bedre, end hvad virksomheden selv kan tilvejebringe. Det skyldes, at den professionelle leverandør har flere kompetencer og et mere dedikeret fokus på sikkerhedsområdet end den typiske virksomhed. Dermed vil der være veluddannede dedikerede medarbejdere til at håndtere f.eks. teknisk opdatering og konfiguration af tekniske sikkerhedsforanstaltninger. Den professionelle leverandør vil også ofte have sikkerhedspolitikker, retningslinjer og andre procedurer for arbejdet på plads. Yderligere vil der ofte være kontroller, som sikrer, at det lovede serviceniveau faktisk efterleves. Ved at bruge en outsourcing leverandør eller en cloud service provider kan virksomheden udnytte de nye teknologiske trends som cloud computing, social, mobile og big data og dermed opnå produktivitetsgevinster. Når der anvendes outsourcing eller cloud computing bør man sikre sig, at der foretages kontrol af en tredjepart og indhentes revisionserklæringer som f.eks. ISAE3402. I fald der anvendes kryptering, er det vigtigt, at virksomheden selv har kontrollen med krypteringsnøglerne. Hvis virksomheden drifter sine egne it-systemer, har virksomheden selv ansvar for sit tekniske sikkerhedsniveau. Ofte kan det anbefales at gå frem efter en sikkerhedsstandard som f.eks. ISO27000, som sikrer, at virksomheden kommer hele vejen rundt om sikkerheden. Særlig opmærksomhed bør der være på opdatering af applikationer og operativsystemer, minimering af antallet af privilegerede brugere, deaktivering af lokale administratorer, generel adgangskontrol, rettighedsstyring, logning, sikkerhed på mobile devices, begrænsning (whitelisting) af tilladte applikationer, beskyttelse af databaser og applikationer samt afskærmning af data, så databaser kan services af administratorer, uden at der gives adgang til data. Forsvarets Efterretningstjeneste og Digitaliseringsstyrelsens anbefalinger i "Cyberforsvar der virker" kan bruges som inspiration. Afhængig af den enkelte virksomheds trusselsvurdering kan en række yderligere tekniske sikkerhedstiltag være relevante (evt. kun for virksomhedens højt klassificerede data): 1. Kryptering af relevante tjenester, data og kommunikationsveje. 2. Opsplitning af data på nationalt eller regionalt afgrænsede datacentre. 3. Krav til leverandørers gennemsigtighed af arbejde med privacy og datasikkerhed. I praksis har mange virksomheder en kombination, hvor nogle services driftes inde i virksomheden, mens andre driftes hos en professionel leverandør. I nogle tilfælde kan de samme applikationer køres både inde i virksomheden eller ude på internettet. I sådanne tilfælde taler man om hybrid cloud service. Dermed vil en del af sikkerheden blive håndteret af en professionel leverandør, mens virksomheden selv skal håndtere resten af sikkerheden. Udover den tekniske sikkerhed bør virksomheden også forholde sig til behovet for fysiske og personalemæssige sikkerhedstiltag (f.eks. adgangskontrol og uddannelse), idet målrettede angreb fra statssponserede aktører også kan omfatte f.eks. falske opringninger eller forsøg på at få fysisk adgang. Anbefalinger
5 Målrettede angreb fra statssponserede aktører kan rettes mod en virksomhed, uanset hvor dens forretningskritiske data er opbevaret. De fleste mindre og mellemstore virksomheder, som ikke har lige så stærke sikkerhedsmæssige kompetencer som en professionel udbyder, vil derfor i forhold til denne type angreb være bedst stillet ved at have sine data hos en professionel leverandør. Når data transmitteres via internettet ud af virksomheden, kan datas fortrolighed blive kompromitteret. Hvis virksomheden har højt klassificerede data af interesse for statssponserede aktører, bør der anvendes stærk kryptering ved såvel lagring som transmission for data på udstyr, der (direkte eller indirekte) er koblet til internettet. Det er ledelsens ansvar i samarbejde med de teknisk ansvarlige og HR at sikre, at virksomhederne laver en risikovurdering og en dataklassifikation og implementerer de rette sikkerhedstiltag, således at den forretningsmæssige risiko er under kontrol og acceptabel for virksomheden.
Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer
5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,
Læs mereDI og DI ITEKs vejledning om overvågning og beskyttelsesmuligheder af danske virksomheders data
DI og DI ITEKs vejledning om overvågning og beskyttelsesmuligheder af danske virksomheders data Danske virksomheders data udsættes i takt med den til stadighed mere omfattende digitalisering over for væsentlige
Læs mereCenter for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014
Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580
Læs mereTrusselsvurdering Cyberangreb mod leverandører
Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.
Læs mereIoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter
IoT-sikkerhed Trusler og løsninger i produktionsapparatet og intelligente produkter DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed
Læs mereDI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed
Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mere- for forretningens skyld
Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereTemadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors
Temadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors Cyber- og IT-sikkerhed DFF EDB Hvorfor Cyber- og IT-sikkerhed? Datamængderne stiger eksplosivt i alle kategorier og bliver
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereCenter for Cybersikkerhed: Truslen i cyberspace. Hovedvurdering
29. januar 2013 Center for Cybersikkerhed: Truslen i cyberspace Hovedvurdering De alvorligste trusler mod Danmark i cyberspace kommer fra statslige aktører, der udnytter internettet til at spionere og
Læs mereCybertruslen mod Danmark
Cybertruslen mod Danmark Vurderingen redegør for det trusselsbillede, der møder danske myndigheder og private virksomheder på internettet. Vurderingen er skrevet af Center for Cybersikkerheds Trusselsvurderingsenhed,
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for
Læs mereBilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner
Bilag 7 Retningslinje om behandlingssikkerhed Anvendelsesområde Retningslinje om behandlingssikkerhed er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679
Læs merePersondataforordningen. Konsekvenser for virksomheder
Persondataforordningen Konsekvenser for virksomheder Sikkerhedsforanstaltninger (A32) Sikkerhedsforanstaltninger Der skal iværksættes passende tekniske og organisatoriske sikkerhedstiltag Psedonymisering
Læs mereDatabeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015
Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at
Læs mereUndersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr
Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Statsstøttet hackergruppe forsøger at kompromittere netværksudstyr i Danmark og resten af verden. Side 1 af 8 Indhold Hovedvurdering...
Læs mereAnbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Denne publikation er udarbejdet
Læs mereDI og DI ITEK's vejledning om bevissikring
DI og DI ITEK's vejledning om bevissikring Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN 978-87-7353-974-3 0.05.12 2 Indledning Denne vejledning er lavet med det formål at ruste danske virksomheder
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Defco A/S vedr. behandling af persondata Version 1.0 Dato 24-05-2018 Godkendt af Jan B. Jensen Antal sider 13 Side 1 af 13 Privatlivspolitik Tak, for dit
Læs mereCloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014
Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)
Læs mereRetningslinje om behandlingssikkerhed
Retningslinje om behandlingssikkerhed Indhold Anvendelsesområde... 1 Formål... 1 Definitioner... 1 Hvad er behandlingssikkerhed?... 2 Organisatoriske og tekniske foranstaltninger... 2 Pseudonymisering...
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede
Læs mereVEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing
VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden
Læs mereSecurity & Risk Management Summit
Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014
Læs mereCenter for Cybersikkerhed: Truslen i cyberspace
Center for Cybersikkerhed: Truslen i cyberspace 30. januar 2013 Hovedvurdering De alvorligste cybertrusler mod Danmark kommer fra statslige aktører, som bl.a. ved brug af deres nationale efterretningstjenester
Læs mereANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel
ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele,
Læs mere(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )
Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter
Læs mereNationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder
Nationale cybersikkerhedsinitiativer Peter Munch Jensen, sektionsleder Agenda Baggrund: Den nationale cyber- og informationssikkerhedsstrategi og forsvarsforliget 2018-2023 Status på den sektorspecifikke
Læs mereHvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk
Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereForsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt
Forsvarsudvalget 2013-14 L 192 endeligt svar på spørgsmål 3 Offentligt Folketingets Forsvarsudvalg Christiansborg FORSVARSMINISTEREN 23. maj 2014 Folketingets Forsvarsudvalg har den 13. maj 2014 stillet
Læs mereSikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer
Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereIT-SIKKERHED HOS MOBILIZE ME APS
IT-SIKKERHED HOS MOBILIZE ME APS En gennemgang til kommuner Mobilize Me ApS, Åbogade 15, 8200 Aarhus N Side 1 af 7 Indholdsfortegnelse INDLEDNING 3 IT-SIKKERHED HOS MOBILIZE ME APS - FAQ 3 BRUGERSTYRING
Læs mereÅrlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)
Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereEvaluering af GovCERT-loven
Forsvarsministeriet Januar 2014 U D K A S T Evaluering af GovCERT-loven 1. Indledning og sammenfatning Forsvarsministeren afgiver hermed redegørelse om den statslige varslingstjeneste for internettrusler
Læs mereUndersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor
Undersøgelsesrapport Målrettede forsøg på hacking af den danske energisektor Undersøgelsesenheden ved Center for Cybersikkerhed September 2018 Målrettede forsøg på hacking af den danske energisektor Denne
Læs mereProfil Search s Persondatapolitik
Profil Search s Persondatapolitik Hvad er det Profil Search værner om privatlivets fred, og vi er naturligvis forpligtet til at beskytte den. I overensstemmelse med den generelle databeskyttelsesforordning
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereITEK og Dansk Industris vejledning om betalingskortsikkerhed
ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs meree êáåö=îéçêk=içî=çã=`éåíéê=ñçê=`óäéêëáââéêüéç=
2. marts 2014 HEM ================= = Forsvarsministeriet Att.: Peter Heiberg Holmens Kanal 42 1060 København K e êáåö=îéçêk=içî=çã=`éåíéê=ñçê=`óäéêëáââéêüéç= DI og DI ITEK takker for henvendelsen vedrørende
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereOfte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk
9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereSikkerhedsvurderinger
Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for Tabellae A/S vedr. behandling af persondata Version 1.1 Dato for seneste opdatering 25.10.2018 Godkendt af Stefan Reina Antal sider 13 Side 1 af 12 Tak, for dit besøg på
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereINFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING OM RISIKOHÅNDTERING (SIKKERHEDSKONTROLLER) Version 1.0
INFORMATIONS OG snummer Dato Afsnit der er ændret 13.12.2017 Gældende version BEMÆRK! Denne vejledning er udarbejdet med KOMBIT A/S for øje. Den kan derfor IKKE adopteres i sin nuværende form. Vejledningen
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereRetningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge.
12. maj 2010 Retningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge. Indledning Forsvarets Efterretningstjeneste har til
Læs mereCLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN
CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN WWW.JCD.DK HVAD ER CLOUD COMPUTING? Cloud er en fælles betegnelse for en række netbaserede løsninger løsninger du tidligere har
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt
Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning
Læs mereANALYSE Informationssikkerhed blandt DI s medlemmer
ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik
Læs mereHvad er persondata? Vi indsamler persondata på flere måder. Vi indsamler og bruger dine persondata til bestemte formål
Hvad er persondata? Persondata kan være mange ting. Det kan være navn, adresse og telefonnummer. Det kan også være et billede eller en IP-adresse. Persondata er alle former for information, som kan bruges
Læs mereEkstern Persondatapolitik - Sankt Lukas Stiftelsen
EKSTERN PERSONDATAPOLITIK for Diakonissehuset Sankt Lukas Stiftelsen 1 Generelt 1.1 Denne persondatapolitik er gældende for samtlige de oplysninger, som Stiftelsen modtager og/eller indsamler om dig, det
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereCYBERTRUSLEN. Januar Lars Hermind Landechef Danmark
CYBERTRUSLEN Januar 2019 Lars Hermind Landechef Danmark 2018 Check 2018 Point Check Software Point Technologies Software Technologies Ltd. Ltd. 1 Hvordan ser trusselsbilledet ud 2 Forsvarets efterretningstjeneste
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for SoftwareNerds ApS vedr. behandling af persondata Version 1.1 Dato 22-05-2018 Godkendt af Martin Egesø Antal sider 13 Side 1 af 13 Privatlivspolitik Tak,
Læs mereKl Indledning v. Lone Strøm, Rigsrevisor
Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereVejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)
Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE
Læs mereANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER
ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER NOVEMBER 2014 Hvad er et hackerangreb? INTRODUKTION Denne folder er udarbejdet af It-sikkerhedssøjlen i Branchefællesskab
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereNY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?
NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED? WEBCRM, SEPTEMBER 2017 Indholdsfortegnelse Overblik 3 Hvad indebærer GDPR? 4 Hvorfor er GDPR så vigtigt for alle virksomheder? 7 Hvordan skal
Læs merePRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK
PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK Vores privatlivspolitik giver dig et tydeligt overblik over, hvordan vi behandler dine data, samt hvad du kan forvente, at vi bruger dem til.
Læs merePrivatlivspolitik. Privatlivspolitik. for. Faurlund ApS. vedr. behandling af persondata. Version 1.0 Dato Antal sider 12.
Privatlivspolitik for Faurlund ApS vedr. behandling af persondata Version 1.0 Dato 23.05.2018 Godkendt af Jan Svenstrup Antal sider 12 Side 1 af 12 Privatlivspolitik Tak, for dit besøg på vores hjemmeside.
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Holms Støbeteknik vedr. behandling af persondata Version Versions 1.01 Dato 18/-2018 Godkendt af Bettina Holm Antal sider 12 Side 1 af 12 Privatlivspolitik
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereProgrambeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning
Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde
Læs mereHackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017
Hackingens 5 faser Kim Elgaard, Solution Engineer, Dubex A/S 21. marts 2017 Agenda Angrebs vectorer Hackingens faser, samt beskyttelsen Hverdagseksempler Hvad kan vi gøre Praktiske anbefalinger Live demo
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Visuel Print A/S vedr. behandling af persondata Version 1.1. Dato 24.05.2018 Godkendt af Lars Alkemade Antal sider 11 Side 1 af 11 Privatlivspolitik Tak,
Læs merePRIVATLIVSPOLITIK. Hjemmeside Ved besøg på vores hjemmeside indsamler vi følgende oplysninger om dig:
PRIVATLIVSPOLITIK Vi er dataansvarlig/databehandler, hvordan kontakter du os Advokatfirmaet Frank Iburg CVR 21 66 66 37 Skt. Clemens Torv 17, 8000 Aarhus C www.frankiburg.dk adv@frankiburg.dk Tel 86 13
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs merePERSONDATAPOLITIK (EKSTERN)
PERSONDATAPOLITIK (EKSTERN) INDSAMLING OG ANVENDELSE AF PERSONOPLYSNINGER HOS FREDERIKSHAVN HAVN Denne politik er en del af Frederikshavn Havns samlede dokumentation for, at virksomheden overholder den
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for MHT ApS vedr. behandling af persondata Version 1 Dato 28.05.2018 Godkendt af Jette Petersen Antal sider 11 Side 1 af 11 Tak, for at du har valgt at bruge vores produkter/services.
Læs merePrivatlivspolitik ekstern persondatapolitik
Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10
Læs merePRIVATLIVSPOLITIK Indholdsfortegnelse
PRIVATLIVSPOLITIK Indholdsfortegnelse 1. Indledning... 2 2. Opdatering af vores persondatapolitik... 2 3. Hvad er personoplysninger?... 2 4. Hvilke services leverer vi... 3 5. Sådan indsamler vi personoplysninger?...
Læs mereJUSTITSMINISTERIETS INSTRUKS TIL CHEFEN FOR POLITIETS EFTERRETNINGSTJENESTE
Retsudvalget 2009-10 REU alm. del Bilag 159 Offentligt Civil- og Politiafdelingen Dato: 7. december 2009 Kontor: Politikontoret Sagsnr.: PO 2006-4-244 Dok.: LVR40544 JUSTITSMINISTERIETS INSTRUKS TIL CHEFEN
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs merePRIVATLIVSPOLITIK. Dato for udfyldelse : [15/5-2018] Godkendt af : [Jesper Lundsgaard Hansen] PRIVATLIVSPOLITIK. ZIGNA APS I Version 1.
PRIVATLIVSPOLITIK Dato for udfyldelse : [15/5-2018] Godkendt af : [Jesper Lundsgaard Hansen] PRIVATLIVSPOLITIK Indholdsfortegnelse Indledning... 2 Opdatering af vores persondatapolitik... 2 Hvad er personoplysninger?...
Læs mereIt-revision af Sundhedsdatanettet 2015 15. januar 2016
MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen
Læs mereNotat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016
Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver Februar 2016 18, STK. 4-NOTAT TIL STATSREVISORERNE 1 Vedrører: Statsrevisorernes beretning
Læs mereSikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded
Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering
Læs mere