It-sikkerhed - ledelsens ansvar
|
|
- Sven Mads Dalgaard
- 8 år siden
- Visninger:
Transkript
1 Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren har de nødvendige kompetencer til at kunne koordinere it-sikkerhedsindsatsen. Det tager tid at opbygge kompetencer, og det er derfor vigtigt på et tidligt tidspunkt at afdække behovet for eventuel efteruddannelse. Koordinatoren skal være god til at kommunikere med både det talte og det skrevne ord. Det er afgørende, at koordinatoren - med den nødvendige ledelsesmæssige opbakning - kan gøre alle grupper af ansatte bevidst om deres medansvar for it-sikkerhed. Koordinatoren skal have let ved at færdes i organisationens mange lag og have forståelse for, hvordan man sætter ting i gang. Endelig skal it-sikkerhedskoordinatoren være funktionsadskilt fra it-driften. En itsikkerheds-koordinator bør normalt ikke være en del af it-chefens stab, men referere til it-sikkerhedsudvalget eller en chef på et højere niveau. På sammen måde som en regnskabsafdeling ikke reviderer egne regnskaber, reviderer en it-afdeling heller ikke sin egen sikkerhed. På kan man finde en beskrivelse af koordinatorens opgaver og kompetencebehov. < It-sikkerhed - ledelsens ansvar Er organisationen forberedt på at håndtere et omfattende brud på it-sikkerheden? Er ansvaret for sikkerhedsstyring forankret hos en it-sikkerhedskoordinator? Bliver it-sikkerhedspolitikken fulgt? Er it-sikkerhed et punkt ved starten og gennemførelsen af ethvert projekt? Er der noget overblik over, hvad der tabes på grund af utilstrækkelig it-sikkerhed? Hvor mange penge bruger organisationen årligt på it-sikkerhed? Er der etableret en sikkerhedsorganisation? Disse og mange andre spørgsmål er gode at have overvejet som topleder for en institution i den statslige sektor. Som en støtte til statsinstitutioners arbejde med at standardisere it-sikkerhedsprocesser, har IT- og Telestyrelsen udarbejdet en ramme med procesbeskrivelser, referencer og en række hjælpeværktøjer. Desuden er der udarbejdet en samlet vejledning til implementeringsprocessen. Der er indgået en aftale med Dansk Standard, så statens institutioner uden omkostninger kan få standarden hjem på skrivebordet. It-sikkerhed - ledelsens ansvar
2 It-sikkerhed -ledelsens ansvar Udgivet af: IT- og Telestyrelsen Holsteinsgade 63 Telefon: Telefax: Publikationen kan hentes på IT- og Telestyrelsens hjemmeside: ISBN (internet): Tryk: Grefta Tryk A/S Oplag: 500 ISBN:
3 It-sikkerhed - ledelsens ansvar IT- og Telestyrelsen December
4 Indledning I midten af 90 erne var organisationers it-systemer begrænset til få medarbejdere. De færreste havde , hjemmesider var på vej til at blive et hit, og økonomisystemer, registre og sagsoplysninger om borgerne lå på lukkede, interne netværk. I dag er it blevet langt mere komplekst og sammensat, hvor man deler data og åbner for bredere digitalt samarbejde på tværs af den offentlige sektor. Den digitale forvaltning er ved at tage det afgørende skridt mod realisering. Men det har rejst en afhængighed af en teknologi, som de færreste kan overskue. Det har skabt en ny udfordring for enhver topleder, der skal forholde sig til et kompliceret område med vedvarende it-investeringer, uforklarlige problemer og utilfredse brugere. Og så kommer der en regeringsbeslutning om, at man skal bruge yderligere midler og tid på at indføre en standard for it-sikkerhed. Hvorfor det, når der aldrig er sket noget? De færreste offentlige institutioner har oplevet sikkerhedsbrud, men hvis eller når det sker, risikerer organisationen ikke at kunne arbejde i flere timer/dage, data er mangelfulde, og der kan være manipuleret med indholdet. Hvilken topchef ønsker at opleve sådan et scenarie? Denne pjece handler om, hvad en ledelse særligt skal være opmærksom på, når der skal implementeres et ledelsessystem på it-sikkerhedsområdet. Den handler også om, hvordan man kan leve op til standarden for it-sikkerhed (informationssikkerhed) i staten. Den grundlæggende præmis er, at det aldrig vil lykkes at implementere digital forvaltning uden en systematisk styring af sikkerheden. 2
5 Standard for it-sikkerhed i staten Regeringen har besluttet, at alle ministerier og underliggende institutioner senest med udgangen af 2006 skal have implementeret de basale krav i den danske standard for informationssikkerhed. Standarden er baseret på Dansk Standards DS 484, som er udarbejdet til danske forhold efter internationale standarder og best practice for styring af it-sikkerhed. Når man har implementeret standarden i sin organisation, får man: enheder og personer, der er gjort ansvarlige og bevidste om deres rolle i it-sikkerhed et grundlag for at prioritere ressourcer til det krævede it-sikkerhedsniveau tryghed for, at risici håndteres på en tilrettelagt og hensigtsmæssig måde. Hjælpeprogrammet IT- og Telestyrelsen har i samarbejde med statens it-sikkerhedsarbejdsgruppe udarbejdet et hjælpeprogram for, hvordan institutioner i staten kan implementere sikkerhedsstandarden. Denne pjece er en del af programmet, der også rummer workshops, seminarer, vejledninger og hjemmesiden Alle har som følge af regeringsbeslutningen brug for DS 484. Derfor har IT- og Telestyrelsen indgået en aftale med Dansk Standard, så statens institutioner uden omkostninger kan bruge sikkerhedsstandarden i arbejdet med implementeringen. 3
6 It-sikkerhed er ledelse Styring af it-sikkerhed er et ledelsesansvar, som skal tilgodese de tre overordnede sikkerhedskrav: Tilgængelighed, der skal sikre, at informationer med tilhørende service er tilgængelige på de tidspunkter, autoriserede brugere ønsker det. Integritet, som skal sikre, at informationer er akkurate og fuldstændige, og at anvendte it-programmer fungerer korrekt. Fortrolighed, der skal sikre, at følsomme informationer beskyttes, så de forbliver hemmelige for alle, der ikke har ret til at kende dem. Alle eksperter i selskabs- og forvaltningsret er enige om, at ansvaret for virksomhedens informationssikkerhed ligger hos den øverste ledelse. Det er ledelsen, der overordnet fastlægger sikkerhedsniveauet på baggrund af det samlede risikobillede. Det er ledelsen, der har ansvaret for, at medarbejderne er kvalificerede til at løse den stillede opgave, og at arbejdet med standarden bliver sat i gang. It-sikkerhed - eller informationssikkerhed - handler om at beskytte kritisk og følsom information uanset medie. Det er et empirisk faktum, at it-sikkerhedsarbejde uden ledelsens klare opbakning vil fejle. 4
7 Styring af it-sikkerhed IT-SU 80 pct. af kravene i it-sikkerhedsstandarden er organisatoriske kun 20 pct. vedrører it. De fleste af kravene vil sandsynligvis være på plads, men de færreste institutioner ved præcis, hvilke der mangler. Derfor er der behov for en systematisk styring af it-sikkerheden. Det kræver bl.a. en tilbagevendende tilstandsrapportering, som gennemføres af en kompetent itsikkerhedskoordinator. Funktionen som koordinator kan i mange organisationer være et fuldtidsjob, der kræver kendskab til opgaver, struktur, teknologi, information og brugere. Også kendskab til de risici, som organisationen er udsat for. Koordinatoren kan i større organisationer referere til et tværorganisatorisk it-sikkerhedsudvalg, hvor ledelsen fra de vigtigste afdelinger er repræsenteret. Udvalgets opgaver er løbende at følge op på rapporteringerne og it-sikkerheden. It-sikkerhedsstyring er en proces om forhold i konstant forandring og skal indføres for at vedligeholde og følge op på aktiviteter, som alle har betydning for it-sikkerheden i organisationen. For at implementere styringen anbefaler IT- og Telestyrelsen, at man bruger en metode, der fremgår af denne pjece. Det drejer sig om en 12-trinsmodel, der giver en fælles offentlig referenceramme, som hjælpeprogrammet er designet til. Der er dog fire forhold, som bør påkalde sig særlig opmærksomhed fra ledelsen i en organisation. Det drejer sig om itsikkerhedspolitik, risikovurdering, beredskab og kontrol. Dem beskriver vi i det følgende. 5
8 Ledelsens fokusområder It-sikkerhedspolitikken I en it-sikkerhedspolitik fastlægger ledelsen målsætningen og de overordnede regler for institutionens behandling af informationer og informationssystemer. Et kernebegreb er sikkerhedsniveauet. På hvilket niveau vil man beskytte informationerne? Er der en balance mellem sikkerheden og informationernes værdi? Hvilke data er mere vitale og kritiske for driften end andre? Alt sammen er det spørgsmål, som ledelsen skal tage stilling til. It-sikkerhedspolitikken skal tage udgangspunkt i en overordnet risikovurdering, som er gennemført af ledelsen, og skal bruges som styringsværktøj for arbejdet med it-sikkerhed. De fleste institutioner har informationer og informationssystemer, der skal beskyttes ekstra godt DS 484 giver nogle minimumskrav til politikkens udformning og indhold. På itsikkerhed/sisis kan man finde hjælp til at formulere en it-sikkerhedspolitik. Risikovurdering En forudsætning for at fastlægge sikkerhedsniveauet er, at man kender risici og en given konsekvens af, at f.eks. personfølsomme oplysninger bliver offentlige. Hvilke data er i fare, hvad truer, hvor meget og hvor ofte? Risikovurdering er et afgørende og gennemgående element i styringssystemet. Igen skal ledelsen bl.a. vurdere, hvad der er kritisk og følsom information, og vælge risikoniveauet. Mere sikkerhed koster penge, og derfor har kun ledelsen kompetencen til at vurdere, hvilken beskyttelse og hvilken risiko man kan leve med. 6
9 Beredskabsplanlægning Det tredje fokuspunkt for ledelsen er at vurdere behovet for it-beredskab. Foreløbige undersøgelser fra statens it-sikkerhedsarbejdsgruppe har vist, at it-beredskab ikke får den tilstrækkelige ledelsesopmærksomhed. Et beredskab træder i kraft, når det, som ikke må ske, alligevel sker. Formålet med at have et beredskab er at sikre, at en myndighed kan løse sine mest kritiske opgaver i en situation, hvor f.eks. it-systemer er sat ud af kraft på grund af strømnedbrud, mislykkede systemopdateringer, defekt hardware, hackerangreb eller lignende. Ledelsen er ansvarlig for at kende de kritiske opgaver i institutionen. På den baggrund kan den fastlægge, hvor længe institutionen må være ude af stand til at løse opgaverne. Beredskabet skal være dimensioneret derefter. Kontrol, opfølgning og vedligeholdelse It-sikkerhed er en del af omkostningerne ved at bruge it. Derfor er det vigtigt at følge op på nytten af indsatsen og foranstaltningerne. Kontrol skal foregå på alle niveauer: Strategisk, dvs. ledelsen skal vurdere hændelsesstatistik, ændringer i risikobilledet og eventuelle tab. Varetager f.eks. system- og dataejere deres opgaver godt nok? Taktisk, hvor sikkerhedskoordinatoren og it-sikkerhedsudvalget sætter mål og formulerer handlingsplaner Operationelt, hvor den driftsansvarlige tester, tager stikprøver osv. 7
10 It-sikkerhedsudvalget har blandt andet til opgave at kontrollere, at handlingsplanen bliver gennemført. Ikke den detaljerede kontrol ude i organisationen. Men om it-sikkerhedspolitikken bliver udmøntet korrekt, at retningslinjerne er tidssvarende, og at den overordnede handlingsplan faktisk følger de opstillede mål. Tilsvarende er det lederens opgave at følge op på rapporteringen fra udvalget. Afrapportering For at kunne følge it-sikkerheden skal ledelsen løbende have rapporter, evt. i skemaform, der på en logisk måde viser status på it-sikkerheden i forhold til politikken og de opstillede mål. På side 9 er der et eksempel på et afrapporteringsskema. Her måles it-sikkerhedsområderne op mod tre faktorer: Retningslinjer, implementering og forankring. En lav værdi i kolonnen for retningslinjer ud for risikovurdering og håndtering betyder, at det kniber med at få vedtaget retningslinier om, at alle it-projekter skal gennemgå en it-sikkerhedsmæssig risikovurdering. For at området kan få en høj værdi og godkendes for så vidt angår implementering, skal organisationen have indført en fast procedure til risikovurderingen, som alle følger. At området er forankret vil sige, at ledelsesniveauet sætter sig ind i risikovurderingen og forholder sig til, om den er tilfredsstillende eller ej. Gennemsnittet nederst viser, hvordan det samlet set går med it-sikkerheden for de tre faktorer. Her illustreret ved smileyfigurer. Det skal understreges, at man ikke kan udlicitere ansvaret for it-sikkerheden, selv om man har valgt en ekstern leverandør af driften. IT-sikkerhed er stadig et ansvar for ledelsen. 8
11 Skema til vurdering af it-sikkerhed Område Faktor Retningslinjer Implementering Forankring Risikovurdering og -håndtering Overordnede retningslinjer Organisering af info. sikkerhed Styring af informationsrel. aktiver Medarbejdersikkerhed Fysisk sikkerhed Adgang til systemer og data Styring af netværk og drift Adgangsstyring Indkøb, udvikling og vedligeholdelse Styring af sikkerhedsbrud Beredskabsstyring Overenst. m.lovbest. og kontr. krav Samlet vurdering (80) (60) (30) 9
12 Sådan kan it-sikkerhed implementeres I det følgende beskrives IT- og Telestyrelsens forslag til en 12-trinsmodel for implementering af standarden for it-sikkerhed. Modellen er designet, så man gennemfører den nødvendige planlægning, implementering, overvågning og opfølgning af it-sikkerhedsarbejdet og evaluerer på det i en tilbagevendende cyklus. Modellen er illustreret på omslagets flap. 1. Styringssystem Som det første skal man etablere en systematisk styring. Et styringssystem for it-sikkerhed kaldes et Information Security Management System (ISMS). Det beskriver bl.a. den organisatoriske struktur med ansvarsfordeling, procedurer og metoder. Desuden sikrer systemet balance og effektivitet. Topledelsen træffer beslutningen om at etablere og godkende styringssystemet. 2. It-sikkerhedsudvalg Ifølge standarden skal der etableres et it-sikkerhedsudvalg eller et andet organ, der bl.a. har til opgave at sikre, at it-sikkerhedspolitikken efterleves. Udvalgets opgave er også at behandle sikkerhedsspørgsmål af principiel karakter og fastsætte principper for, hvordan politikken opfyldes. IT-sikkerhedsudvalget har som nævnt deltagelse af ledelsen fra de vigtigste afdelinger. 10
13 3. It-sikkerhedspolitik Første opgave for udvalget er at udarbejde en it-sikkerhedspolitik som grundstenen i arbejdet med it-sikkerhed. It-sikkerhedspolitikken er den øverste ledelses udmelding om bl.a. det fastlagte sikkerhedsniveau. Politikken bliver stemt af med eksterne krav (lovgivning, aftaler, standarder) og interne krav (risikovurdering) og forholder sig til organisationens samlede risikobillede. Den fastlægger også de organisatoriske rammer, ansvarsfordelingen og de overordnede retningslinjer for, hvordan man skal udforme kontrolprocedurer, sikringsforanstaltninger m.m. It-sikkerhedspolitikken skal altid godkendes af organisationens øverste ledelse. 4. Retningslinjer vedrørende de basale krav It-sikkerhedspolitikken er den overordnede ramme, men er som regel for generel til at vise, hvad kravene betyder for de enkelte enheder i organisationen. Derfor skal der udarbejdes retningslinjer, som uddyber indholdet af politikken og de basale krav i DS 484. De basale DS 484 indeholder en liste over basale krav til it-sikkerhed i statslige institutioner krav skal overholdes af alle, men der kræves lokal stillingtagen til, hvordan det kan ske. Retningslinjerne er grundlaget for, at man kan indarbejde de sikkerhedsmæssige krav i arbejdsgange, procedurer m.m. Retningslinjerne 11
14 skal betragtes som en integreret del af it-sikkerhedspolitikken og skal kommunikeres til de relevante personer, f.eks. linjeledere, ejere af aktiver og brugere. Man udarbejder retningslinjerne ved at gennemgå DS 484 og forholde sig til dens basale krav. 5. Retningslinjer vedrørende de supplerende krav De basale krav er det, som alle som minimum bør overholde. Der er ingen garanti for, at dette minimumsniveau er godt nok. Erfaringen viser, at de fleste institutioner har systemer og data, der skal beskyttes ekstra godt. Formålet med at formulere såkaldte supplerende krav er at gøre organisationen bevidst om disse yderligere krav til sikringsforanstaltninger. Dette følger af lovbestemte, kontraktlige, aftalemæssige og andre krav til organisationen. De supplerende krav bruges til at beskytte institutionens særlige informationer ekstra godt 6. Ændrings- og hændelsesstyring Ændringsstyring er nødvendig for at få en sikker proces, når der skal foretages ændringer eller introduceres nyudviklinger. Ændrings- og hændelsesstyring er velkendte begreber i it-drift, it-driftsledelse og projektledelse i det hele taget. Disciplinerne er af afgørende betydning for arbejdet med it-sikkerhed i praksis. Mange sikkerhedsmæssige hændelser opstår faktisk pga. ustrukturerede ændringer i it-systemerne eller ændringer i it-systemerne. Det er derfor vigtigt at 12
15 være enige om en struktureret proces, der sikrer, at ændringer godkendes og gennemføres på en forsvarlig måde. På samme måde skal man etablere hændelsesstyring, for at brud på it-sikkerheden ikke udvikler sig til alvorlige situationer. Effektive reaktionsprocedurer er helt afgørende for, hvor store konsekvenserne af evt. brud på sikkerheden bliver. Hændelsesstyring er en operativ funktion, hvor det skal være helt klart, hvornår - hvis en hændelse eskalerer - ledelsen skal involveres og træffe beslutning om beredskabsmæssige skridt. Man etablerer hændelsesstyring, fordi der ikke findes 100 pct. ufejlbarlige systemer. At installere ny teknologi indebærer altid en risiko, der skal vurderes og håndteres 7a. Afvigelsesanalyse (gap-analyse) Afvigelsesanalysen er nødvendig, når man skal planlægge og budgettere sikkerhedstiltagene. Her ser man, om retningslinjernes basale og supplerende krav bliver overholdt. Er der afvigelser, skal man skrive dem ned i handlingsplanen (punkt 9) og reagere på dem. 13
16 7b. Risikovurdering Når man gennemfører en risikovurdering på dette niveau, identificerer og prioriterer man risici med udgangspunkt i virksomhedens forretningsmæssige forhold. Efter vurderingen har man et grundlag for at imødegå relevante risici. Hvilke indgreb skal ledelsen foretage, hvilke sikringsforanstaltninger er mulige, og hvordan skal de prioriteres? Risikovurderinger skal gennemføres regelmæssigt, og når risikobilledet ændres væsentligt. Også når der er organisatoriske eller teknologiske forandringer. En risikovurdering skal altid gennemføres, så man kan sammenligne med gamle vurderinger. 8. Opdatering af retningslinjer Når man har gennemført sin risikovurdering, skal man altid gå et par trin tilbage og se, om vurderingen har givet anledning til at ændre retningslinjerne. Især på områder, hvor de ikke har været tilstrækkelige eller præcise nok. Blev der fundet noget kritisk og risikofyldt? Efter risikovurdering: Opdatér retningslinjerne 14
17 9. Handlingsplan Efter analyserne er det på tide at gå til handlingsplanen. Formålet er her at kortlægge, hvilke risici ledelsen vil acceptere, og hvilke den ikke kan leve med. Handlingsplanen skal vise: hvad der skal gøres hvem der skal gøre det og har ansvaret for det hvor mange ressourcer, der skal bruges, og hvornår hvor i organisationen, aktiviteterne finder sted interne og eksterne afhængigheder om der skal etableres egentlige projekter. Handlingsplanen skal altså indeholde en opgørelse over fysiske og administrative skridt. Det handler om at definere den bedste kombination af aktiviteter, der kan forebygge sikkerhedsbrud og afhjælpe dem, der evt. opstår. 10. Detailplanlægning og implementering Efter handlingsplanen skal man implementere sine sikringsaktiviteter. Det kræver, at de respektive ansvarlige planlægger i detaljer. Planlægningen skal bl.a. sikre, at driften påvirkes mindst muligt under implementeringen. Det er også vigtigt ikke at etablere tekniske løsninger, før 15
18 de administrative retningslinjer er på plads (ansvar, procedurer, uddannelse mm.). At nøjes med at installere teknik giver en falsk tryghed, hvis ikke brugerne ved, hvordan de skal og må bruge den. 11. Kontrol og opfølgning Man skal altid gennemføre løbende kontrol og opfølgning efter planlægning og implementering. Det er tiden moden til nu, så man kan sikre sig, at man har fået noget ud af arbejdet. Alt, der er omfattet af it-sikkerhedspolitikken, skal kontrolleres: Arbejdsgange, it, de fysiske omgivelser. Noget af kontrollen ligger hos ledelsen, it-sikkerhedsudvalget og koordinatoren. Også systemejere, dataejere og driftspersonale har kontrolopgaver. Frekvensen af kontrol skal altid modsvare den risiko, der er, hvis foranstaltningerne svigter. Høj risiko kræver meget kontrol. Lav risiko, mindre kontrol. 12. Forbedring og vedligehold Man etablerer et systematisk styringssystem for it-sikkerheden ved at følge punkt 1-11 i kronologisk rækkefølge. Det 12. punkt udtrykker, at man skal igennem processen igen fra punkt 3 og dermed gøre it-sikkerhed til en tilbagevendende driftsopgave. It-sikkerhedspolitikken skal faktisk revurderes hvert år, og alene det kan medføre, at Hvert år en ny risikovurdering af it-sikkerhedspolitikken og af styringssystemet 16
19 man ændrer sine basale og supplerende retningslinjer. Også beredskabet skal afprøves mindst en gang om året. I takt med, at teknologien udvikler sig og nye risici opstår, er der også behov for nye risikovurderinger, retningslinjer, detailplanlægning, implementering, kontrol osv. Den samlede proces tager udgangspunkt i, at it-sikkerheden skal vurderes ud fra områder som: forbedringer i virksomhedens sikkerhedsstyring ændringer i ledelsens overordnede sikkerhedsmålsætning ændringer i ressourceallokeringer og/eller ansvarsplaceringer. Det skal understreges, at it-sikkerhed ikke kun har med it at gøre. Organisationsændringer eller en opsagt medarbejder kan være en sikkerhedshændelse, som kræver en risikovurdering og måske særlige forholdsregler. It-sikkerhedsledelse handler grundlæggende om at gentage og forbedre processer, ikke kun som følge af en teknologisk udvikling, men også som en følge af, at organisationen får nye opgaver, og folk ændrer brugsmønstre. It-sikkerhedsledelse skal hele tiden følges op, justeres og ændres, så det passer til nye tider. Ligesom almindelig ledelse.
20 Implementeringsmodel Etablering af et ISMS - afklaring af styringsmodel - Topledelse Tilbagevendende Etablering Udførende Operativt Taktisk Strategisk Strategisk Retningslinjerne - de basale krav IT-sikkerhedsudvalget Retningslinjerne - supplerende krav IT-sikkerhedsudvalget Procedurerne for ændringsprojekter IT-sikkerhedsudvalget - change management (evt. arbejdsgrupper) 9. Handlingsplan IT-sikkerhedsudvalget It-sikkerhedspolitik 3. Topledelse Forbedring (Act) Detailplanlægning af implementeringen Detailplanlægning af implementeringen Etablering af it-sikkerhedsudvalg 12. Revision af retningslinjer Linjeledelse / ejere Projektledelse / samarbejdspartnere Linjeledelse / ejere Projektledelse / samarbejdspartnere Implementeringen Brugere / Eksperter a. Afvigelsesanalyse b. Risikovurdering Vurdering af forudsætning - og krav 11. Regnskab 11. Loganalyse 11. Logning 11. Overvågning 11. Statusrapporter 11. Tests Kontrol på samme niveau som planlægningen - eller funktionsadskilt / sikret rapportering Planlægning Implementering, Udførelse Kontrol (Plan) (Do) (Check)
21 Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren har de nødvendige kompetencer til at kunne koordinere it-sikkerhedsindsatsen. Det tager tid at opbygge kompetencer, og det er derfor vigtigt på et tidligt tidspunkt at afdække behovet for eventuel efteruddannelse. Koordinatoren skal være god til at kommunikere med både det talte og det skrevne ord. Det er afgørende, at koordinatoren - med den nødvendige ledelsesmæssige opbakning - kan gøre alle grupper af ansatte bevidst om deres medansvar for it-sikkerhed. Koordinatoren skal have let ved at færdes i organisationens mange lag og have forståelse for, hvordan man sætter ting i gang. Endelig skal it-sikkerhedskoordinatoren være funktionsadskilt fra it-driften. En itsikkerheds-koordinator bør normalt ikke være en del af it-chefens stab, men referere til it-sikkerhedsudvalget eller en chef på et højere niveau. På sammen måde som en regnskabsafdeling ikke reviderer egne regnskaber, reviderer en it-afdeling heller ikke sin egen sikkerhed. På kan man finde en beskrivelse af koordinatorens opgaver og kompetencebehov. < It-sikkerhed - ledelsens ansvar Er organisationen forberedt på at håndtere et omfattende brud på it-sikkerheden? Er ansvaret for sikkerhedsstyring forankret hos en it-sikkerhedskoordinator? Bliver it-sikkerhedspolitikken fulgt? Er it-sikkerhed et punkt ved starten og gennemførelsen af ethvert projekt? Er der noget overblik over, hvad der tabes på grund af utilstrækkelig it-sikkerhed? Hvor mange penge bruger organisationen årligt på it-sikkerhed? Er der etableret en sikkerhedsorganisation? Disse og mange andre spørgsmål er gode at have overvejet som topleder for en institution i den statslige sektor. Som en støtte til statsinstitutioners arbejde med at standardisere it-sikkerhedsprocesser, har IT- og Telestyrelsen udarbejdet en ramme med procesbeskrivelser, referencer og en række hjælpeværktøjer. Desuden er der udarbejdet en samlet vejledning til implementeringsprocessen. Der er indgået en aftale med Dansk Standard, så statens institutioner uden omkostninger kan få standarden hjem på skrivebordet. It-sikkerhed - ledelsens ansvar
22 Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren har de nødvendige kompetencer til at kunne koordinere it-sikkerhedsindsatsen. Det tager tid at opbygge kompetencer, og det er derfor vigtigt på et tidligt tidspunkt at afdække behovet for eventuel efteruddannelse. Koordinatoren skal være god til at kommunikere med både det talte og det skrevne ord. Det er afgørende, at koordinatoren - med den nødvendige ledelsesmæssige opbakning - kan gøre alle grupper af ansatte bevidst om deres medansvar for it-sikkerhed. Koordinatoren skal have let ved at færdes i organisationens mange lag og have forståelse for, hvordan man sætter ting i gang. Endelig skal it-sikkerhedskoordinatoren være funktionsadskilt fra it-driften. En itsikkerheds-koordinator bør normalt ikke være en del af it-chefens stab, men referere til it-sikkerhedsudvalget eller en chef på et højere niveau. På sammen måde som en regnskabsafdeling ikke reviderer egne regnskaber, reviderer en it-afdeling heller ikke sin egen sikkerhed. På kan man finde en beskrivelse af koordinatorens opgaver og kompetencebehov. < It-sikkerhed - ledelsens ansvar Er organisationen forberedt på at håndtere et omfattende brud på it-sikkerheden? Er ansvaret for sikkerhedsstyring forankret hos en it-sikkerhedskoordinator? Bliver it-sikkerhedspolitikken fulgt? Er it-sikkerhed et punkt ved starten og gennemførelsen af ethvert projekt? Er der noget overblik over, hvad der tabes på grund af utilstrækkelig it-sikkerhed? Hvor mange penge bruger organisationen årligt på it-sikkerhed? Er der etableret en sikkerhedsorganisation? Disse og mange andre spørgsmål er gode at have overvejet som topleder for en institution i den statslige sektor. Som en støtte til statsinstitutioners arbejde med at standardisere it-sikkerhedsprocesser, har IT- og Telestyrelsen udarbejdet en ramme med procesbeskrivelser, referencer og en række hjælpeværktøjer. Desuden er der udarbejdet en samlet vejledning til implementeringsprocessen. Der er indgået en aftale med Dansk Standard, så statens institutioner uden omkostninger kan få standarden hjem på skrivebordet. It-sikkerhed - ledelsens ansvar
IT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereIT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereOVERORDNET IT-SIKKERHEDSPOLITIK
OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereIt-sikkerhedspolitik for Københavns Kommune
Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereKommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.
Baggrund Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484. Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereAarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014
Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen
Læs mereIndholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4
Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereVer. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Læs mereHenrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereBeredskabspolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING TILTAG FOR AT OPFYLDE POLITIKKENS FORMÅL...
BEREDSKABSPOLITIK Gyldig fra d. 01-12-2017 Indhold 1 INDLEDNING... 2 1.1 FORMÅLET MED BEREDSKABSPOLITIKKEN... 2 1.2 GYLDIGHEDSOMRÅDE... 2 1.3 VÆRDIGRUNDLAG OG PRINCIPPER... 2 2 TILTAG FOR AT OPFYLDE POLITIKKENS
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereInformationssikkerhedspolitik for Vejen Kommune
Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med
Læs mereITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav
ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden
Læs mereLedelsesforankret informationssikkerhed. med ISO/IEC 27001
Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereAssens Kommune Politik for databeskyttelse og informationssikkerhed
Assens Kommune Politik for databeskyttelse og informationssikkerhed Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 4 3. Holdninger og principper... 4 4. Omfang... 5 5. Sikkerhedsbevidsthed,
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereInformationssikkerhedspolitik for Sønderborg Kommune
Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereFor så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:
Statsrevisorernes Sekretariat Christiansborg 1240 København K Justitsministeren Dato: 9. december 2014 Sagsnr.: 2014-0284-0164 Dok.: 1378944 Kære statsrevisorer Ved brev af 2. oktober 2014 har Statsrevisorernes
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereIkast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550
Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereHvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?
Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret
Læs mereEU-udbud af Beskæftigelsessystem og ESDHsystem
EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereIt-beredskabsstrategi for Horsens Kommune
It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,
Læs merePOLITIK FOR INFORMATIONSSIKKERHED
POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af
Læs mereArbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87
Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system
Læs mereVejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden
Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereProcedurer for styring af softwarearkitektur og koordinering af udvikling
LEVERANCE 2.3 Procedurer for styring af softwarearkitektur og koordinering af udvikling Procedurerne vil omfatte: Planlægning af udfasning af gamle versioner af OpenTele Planlægning af modning af kode
Læs mereResumé af sagsgangsanalyse
Det Politisk-Økonomiske Udvalg (2. samling) PØU alm. del - Svar på Spørgsmål 48 Offentligt Resumé 1 Resumé af sagsgangsanalyse 1.1. Indledning I løbet af 2005 og 2006 var der øget fokus på Statsministeriets
Læs mereDansk kvalitetsmodel på det sociale område. Regionale retningslinjer for kompetenceudvikling
Revideret NOVEMBER 2017 1. juni 2015 Dansk kvalitetsmodel på det sociale område Regionale retningslinjer for kompetenceudvikling Dansk kvalitetsmodel på det sociale område er igangsat af regionerne og
Læs mereNOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer
NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010
Læs mereDepartementschef Michael Dithmer. Økonomi- og Erhvervsministeriet
DIREKTØRKONTRAKT Mellem direktør Lone Møller Sørensen Statens Byggeforskningsinstitut og departementschef Michael Dithmer, Økonomi- og Erhvervsministeriet indgås følgende direktørkontrakt. Resultatmålene
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereGuide til implementering af ISO27001
Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen
Læs merePolitik for Datasikkerhed
Politik for Datasikkerhed i Billund Vand & Energi A/S Oktober 2015 Indhold 1 Indledning... 2 1.1 Værdier... 2 1.2 Data... 2 2 Formål... 3 3 Holdninger og principper... 4 4 Omfang... 5 5 Sikkerhedsniveau...
Læs mereDUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT
DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv
Læs mereVejledning om funktionsbeskrivelse for intern revision
Vejledning om funktionsbeskrivelse for intern revision Eksempel på funktionsbeskrivelse for intern revision Version 1.0 Indhold Forord... 3 Funktionsbeskrivelse for intern revision... 4 1. Arbejdets formål
Læs mereAabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09
Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs mereVejledning i etablering af forretningsoverblik. Januar 2018
Vejledning i etablering af forretningsoverblik Januar 2018 Indhold 1. Forretningsoverblikket 4 1.1 De interne forhold og interessenter 4 1.2 De eksterne forhold og interessenter 5 2. Kortlægning af processer
Læs mere