Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
|
|
- Holger Holst
- 8 år siden
- Visninger:
Transkript
1 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015
2 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst.dk og Center for cybersikkerhed Kastellet København Ø Telefon: cfcs@cfcs.dk Elektronisk publikation: ISBN: Publikationen kan hentes på Digitaliseringsstyrelsens hjemmeside og Center for cybersikkerheds hjemmeside
3 Forord Indledning Denne vejledning henvender sig til personer, som arbejder med informationssikkerhed, herunder specifikt risikovurdering og identifikation af trusler, og som har et grundlæggende kendskab til informationssikkerhed og begreberne fra ISO27000 og principperne i ISO Trusselsidentifikation er en vigtig del af arbejdet med risikovurdering og risikoledelse. Denne vejledning har til formål at give indsigt i, hvordan relevante trusler for informationssikkerheden kan identificeres. Vejledningen behandler ikke det videre arbejde med de identificerede trusler i forhold til sårbarhed og sandsynlighed. Nedenstående figur illustrerer, hvor i processen man typisk befinder sig på det tidspunkt, hvor vejledning om trusler bliver efterspurgt. Forudsætningen for at kunne identificere relevante trusler er, at informationsaktiverne er kendt, og at der er foretaget en konsekvensvurdering af brud på fortrolighed, integritet og tilgængelighed i forhold til disse, så der er et klart billede af, hvad der er mest vigtigt for organisationen. I vejledning i risikostyring og -vurdering anbefales det, at der i grundlaget for identifikation af trusler mod informationssikkerheden er udarbejdet et passende grundlag at tage udgangspunkt i. Det anbefales at tage udgangspunkt i organisationens kritiske forretningsprocesser og understøttende informationsaktiver. Trusselsidentifikation handler om at finde ud af, hvad der kan true informationssikkerheden, om det er relevant for organisationen at tage stilling til disse trusler, ud fra en vurdering af om en given trussel vil kunne påvirke fortrolighed, integritet eller fortrolighed. Brud på informationssikkerheden opstår som følge af en hændelse, der potentielt kan skade forretningen. En hændelse udløses af en trussel. Det er arbejdet med identifikationen af trusler, der behandles i denne vejledning. Udbyttet af denne vejledning bør således være, at læseren er i stand til at identificere trusler, som kan påvirke informationssikkerheden for informationsaktiver i en organisation. For yderligere information om risikostyring henvises til Vejledning i risikostyring og risikovurdering (2015) samt ISO27005:2011.
4 Indhold 1. Trusselsidentifikation Mennesker Medarbejdere Samarbejdspartnere og leverandører Hackere, hacktivister og andre kriminelle Naturkatastrofer Ulykker Nedbrud og tekniske fejl Vurder relevante trusler for egen organisation Afslutning... 9
5 Kapitel 1 1. Trusselsidentifikation Nyt kapitel En trussel kan betegnes som noget, der potentielt kan udnytte en sårbarhed ved den måde informationsaktivet håndteres eller opbevares. Dette kan resultere i kompromittering af informationsaktivets fortrolighed, integritet og tilgængelighed og dermed skade vigtige forretningsprocesser. I denne vejledning er det primære fokus på trusler. Den grundlæggende forståelse af trusler er hentet fra den internationale standard for informationssikkerhed ISO27000:2014. Her defineres trusler således som: Potentiel årsag til en uønsket hændelse, som kan forårsage skade på et system eller i en organisation. Med udgangspunkt ISO27005 beskrives her sammenhængen mellem trusselsvurderingen og organisationens risikostyring af informationssikkerhed og foreslår en metode til at identificere trusler. Arbejdet med identifikation af trusler handler om at finde ud af, hvad der kan påvirke organisationens informationssikkerhed. Trusler er dynamiske, og derfor er det tilrådeligt at tilrettelægge arbejdet med identifikation af trusler i det løbende arbejde med informationssikkerheden og de processer, der relaterer sig til organisationens kritiske mål. Informationssikkerhed skal ses som understøttende for indfrielse af organisationens mål og forretningsstrategi og samtidigt hjælpe ledelsen med at vurdere, om risici er for store til, at de bør accepteres. Trusler er de faktorer, som potentielt kan forhindre organisationen i at nå sine mål. Figuren viser risikostyringens sammenhæng med begreberne trussel, sårbarhed og kontroller. Denne vejledning handler om at kunne identificere trusler. De øvrige elementer behandles i vejledningen til risikostyring og -vurdering. Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober
6 Kapitel 1 Trusselsidentifikation Trusler mod informationssikkerheden kan opdeles i fire grupper: 1. Mennesker 1.1. Medarbejdere 1.2. Samarbejdspartnere/leverandører 1.3. Hackere, hacktivister eller andre kriminelle 2. Naturkatastrofer 3. Ulykker 4. Nedbrud og tekniske fejl 1. Mennesker Den menneskelige faktor udgør to former for trusler mod informationssikkerheden. Den ene er fejl, og den anden er forsætlige handlinger. 1.1 Medarbejdere Insidere er betegnelsen på medarbejdere, som enten forsætligt eller uforsætligt er med til at forårsage en sikkerhedshændelse, som kan resultere i brud på informationssikkerheden. Mange brud på informationssikkerheden skyldes medarbejderes mangel på viden eller arbejdsgange, hvor informationssikkerheden tilsidesættes pga. tidspres eller en opfattelse af, at det er for besværligt at arbejde sikkert. Fx deles kodeord mellem flere, eller kodeordene er alt for nemme at gætte. 1.2 Samarbejdspartnere og leverandører Lige som med medarbejdere er samarbejdspartnere og leverandører ofte i vennezonen og betragtes derfor ikke umiddelbart som trusler mod informationssikkerheden. Det er blot vigtigt at orientere sig om, hvilke adgange disse interessenter gives, og nøjagtigt som med medarbejdere gives kun adgang til virksomhedens informationer ud fra princippet om kun at have adgang til det, der er nødvendigt for at udføre en given opgave. 1.3 Hackere, hacktivister og andre kriminelle Truslen fra hackere, hacktivister og andre personer med hensigter, der er direkte rettet mod at nedbryde eller kompromittere informationssikkerheden, er efterhånden anerkendt. Hackere og hacktivister er betegnelsen for personer, der udnytter sårbarheder til at bryde ind i computere og netværk, hvorefter de forsøger at få tilstrækkelig adgang til at udøve det, de har planlagt. 2. Naturkatastrofer Udover menneskeskabte trusler findes også en række begivenheder, som kan påvirke informationssikkerheden. Jordskælv, vulkanudbrud og tornadoer er eksempler på naturkatastrofer. I Danmark er risikoen for naturkatastrofer meget lille, men har virksomheden informationsaktiver uden for Danmarks grænser, kan det være relevant at tage hensyn til dette ud fra en lokal betragtning. 3. Ulykker Udover naturkatastrofer kan informationssikkerheden også trues af andre katastrofer og ulykker, som er delvist er menneskeskabte, og som kan have lige så store konsekvenser. Som eksempler kan nævnes brande, gasudslip og fysiske skader på bygninger. 4. Nedbrud og tekniske fejl Almindelig slitage og udstyr, der er enten er gammelt eller defekt, kan også true informationssikkerheden. Herudover er det også relevant at overveje konsekvensen af nedbrud på centrale leverancer, fx elektricitet, brændstof eller information. Ved information forstås fx svigt i en webservice, som leverer input til et it-system. En risikovurdering for it-systemer og data er således en samlet vurdering af sandsynligheden for, at en sikkerhedshændelse indtræffer, samt en vurdering af hændelsens konsekvenser for opgavevaretagelsen i hele organisationen, hvis de pågældende it-systemer og data rammes af hændelsen. I denne vejledning omtales hhv. vurdering af trusler og sårbarheder: Trusselsvurderingen identificerer og vurderer sandsynligheden for, at trusler vil medføre en sikkerhedshændelse ved at udnytte en sårbarhed. Identifikation og analyse af trusler gør det også muligt at finde eventuelle nye sårbarheder. Sårbarhedsvurderingen undersøger, om der er eller kan opstå svagheder, som de identificerede trusler kan påvirke, og derved potentielt forårsage brud på informationssikkerheden. I det praktiske arbejde med identifikation af relevante trusler bør organisationen medtage nedenstående liste af trusselskilder for at sikre en så dækkende analyse som muligt: Den generiske trusselsliste fra ISO27005, Annex C. Informationer om trusler på specifikke hjemmesider herunder: - cfcs.dk - sans.org - enisa.europa.eu/ Selv overveje, om der er andre trusler, som bør indgå. De seneste 10 år har dog vist, at især oversvømmelser foranlediget af store nedbørsmængder kan udgøre en trussel for informationssikkerheden. 6 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015
7 Kapitel 2 2. Vurder relevante trusler for egen organisation Nyt kapitel I arbejdet med identifikation af trusler mod informationssikkerheden fokuseres på at udpege de trusler, som er relevante for organisationen. Dette arbejde kan udføres helt enkelt ved at tage udgangspunkt i den bruttoliste af trusler, som er udarbejdet på grundlag af foregående kapitels arbejde med identifikation af mulige trusler. Resultatet bør være en nettoliste af trusler, som vurderes relevant for organisationen at forholde sig til. For at kunne nå dertil, hvor organisationen har en liste over de trusler, som vurderes at kunne påvirke organisationens informationssikkerhed negativt, anbefales det at gennemgå bruttolisten over trusler sammen med andre, herunder kolleger og andre med viden om forretningen og anvendelse af informationsaktiver. I arbejdet med at vurdere, om en trussel er relevant, kan det være svært at gennemskue, om en trussel har direkte eller indirekte mulighed for at påvirke informationssikkerheden og kritiske forretningsprocesser. Det er vigtigt at sondre mellem trusler og sårbarheder i dette arbejde, så der udelukkende tages udgangspunkt i, om en given trussel kan påvirke informationssikkerheden. Arbejdet med sårbarhedsvurdering hører til senere i risikovurderingen. Det anbefales, at der tages udgangspunkt i en overordnet konsekvensvurdering, som bør være lavet inden arbejdet med trusler går i gang. En detaljeret konsekvensvurdering er en del af arbejdet med risikovurdering og beskriver konsekvenserne af brud på fortrolighed, integritet og fortrolighed i forhold til de informationsaktiver, som bør være identificeret. I vejledningen om risikostyring og ledelse beskrives konsekvensvurdering nærmere. Identificerede trusler bør vurderes efter relevans, og der bør tages stilling til truslernes påvirkning af fortrolighed, integritet og tilgængelighed. Derved kan konsekvensvurdering og trusselsliste sammenholdes for på den måde at få overblik over, hvilke trusler der potentielt har størst påvirkning på informationssikkerheden. en anden struktur, som kan give et hurtigt overblik i den videre behandling af trusselskataloget. Relevans er hægtet til sandsynlighed. Sandsynligheden bør overvejes for at kunne vurdere om en trussel er relevant. I kontekst af vurdering af, om en trussel er relevant at forholde sig til overhovedet, introduceres begrebet en iboende sandsynlighed som sandsynligheden for, at en trussel eksisterer. Der er fx ikke vulkaner i Danmark. Den iboende sandsynlighed vurderes derfor meget lav eller som ingen. Udfaldet af denne vurdering vil højst tænkeligt blive, at denne trussel ikke vil blive behandlet yderligere, uagtet at skulle der indtræffe et vulkanudbrud ud af det blå, ville der sandsynligvis være behov for at sikre sig i mod det. Iboende sandsynlighed er ikke er det samme som vurdering af sandsynligheden for konkrete forretningsmæssige konsekvenser for organisationen. Sandsynlighed behandles ikke yderligere i denne vejledning, men der kan findes mere information om emnet i ISO27005:2011, Annex E. På næste side er der et eksempel på en tabel, som illustrerer en måde at strukturere den indledende behandling af trusler, hvor der udelukkende tages stilling til, hvorvidt en identificeret trussel vurderes relevant for organisationen. For overskuelighedens skyld kan det være nyttigt at gruppere de relevante trusler efter type, aktiv, proces eller Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober
8 Kapitel 2 Vurder relevante trusler for egen organisation I tabellen er der til inspiration indsæt en række eksempler på trusler fra de forskellige kategorier af trusler: Trussel: Relevant: (JA/NEJ) Påvirker Fortrolighed Integritet Tilgængelighed Ved en fejl videresendes til forkerte modtagere JA X En medarbejder åbner en vedhæftet fil med virus/malware/cryptoware En medarbejders PC hos en leverandør/samarbejdspartner er inficeret med virus/malware og forbundet til organisations netværk En medarbejder hos en leverandør har fået nyt job og har fortsat adgang til organisationens informationsaktiver JA X X X JA X X X JA X X En hacktivist finder en svaghed på organisationens webserver efter en opdatering og laver en defacement JA X En hacker får via social engineering informationer, som kan bruges til at finde sårbarheder Vulkanudbrud Brand i serverrum JA X X X Nej (nærmeste aktive vulkaner er Island og Italien) Nej (Har outsourcet al drift) Elforsyning fejler pga. nedbrud hos leverandør JA X Brand i kontorlokaler eller naboejendom JA X 8 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015
9 Kapitel 3 3. Afslutning Nyt kapitel Identifikation af trusler mod organisationens informationssikkerhed og dermed evne til at udføre sine forretningskritiske processer skal efterfølgende føre til arbejdet med sårbarhedsvurderingen og herunder imødegå disse trusler på en balanceret måde. Sidste del af denne vejledning handler om det udbytte, der gerne skulle være produktet af en grundig trusselsidentifikation. Formålet med arbejdet med trusselsidentifikation er at få et klart overblik over, hvad der kan true forretningen, og hvilke trusler der kan gøre skade, hvor. Afhængig af, hvordan vurderingen af truslers relevans for forretningen er udarbejdet, er næste skridt at foretage en sårbarhedsvurdering i forhold til de identificerede trusler. Arbejdet med sårbarhedsvurdering og den efterfølgende mitigering beskrives ikke i denne vejledning, men der henvises til den generelle vejledning i risikostyring og - vurdering som findes her. I arbejdet med sårbarhedsvurdering kan der endvidere findes inspiration i ISO27005:2011, Annex D, hvor emnet omtales yderligere sammen med konkrete metoder. Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober
Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed
Vejledende tekst om risikovurdering Datatilsynet og Rådet for Digital Sikkerhed Juni 2019 Indhold Forord 3 1. Sikkerhed 4 2. Risici 5 3. Risikovurdering set fra de registreredes perspektiv 6 4. Risikovurderingsmetodik
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereVejledning i etablering af forretningsoverblik. Januar 2018
Vejledning i etablering af forretningsoverblik Januar 2018 Indhold 1. Forretningsoverblikket 4 1.1 De interne forhold og interessenter 4 1.2 De eksterne forhold og interessenter 5 2. Kortlægning af processer
Læs mereVejledning i it-risikostyring og -vurdering. Februar 2015
Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske
Læs mereTrusselsvurdering Cyberangreb mod leverandører
Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereDigitaliseringsstyrelsen Risikovurdering Marts 2018
www.pwc.dk Risikovurdering Revision. Skat. Rådgivning. www.pwc.dk Klaus Ravn Cyber security specialist Baggrund Akkreditering af systemer og apps Risikovurdering af systemer Facilitator af it-beredskabsøvelser
Læs mereGuide til konsekvensvurdering af privatlivsbeskyttelsen
Guide til konsekvensvurdering af privatlivsbeskyttelsen Maj 2013 Guide til konsekvensvurdering af privatlivsbeskyttelsen Udgivet maj 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereVejledning i risikovurdering
Vejledning i risikovurdering Indledning Formålet med at identificere risici og trusler for en lokal enhed er, at øge muligheden for at forebygge kritiske situationer samt minimere konsekvenserne og sikre
Læs mereHvad er Informationssikkerhed
> Hvordan hænger GDPR og informationssikkerhed sammen? Dit arbejde med ISO 27000 understøtter din GDPR-compliance to separate øvelser med få indbyggede modsætninger 12 October, 2018 S 1 Hvad er Informationssikkerhed
Læs mereSikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded
Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering
Læs mereRISIKOVURDERING I PRAKSIS
RISIKOVURDERING I PRAKSIS AGENDA INTRODUKTION AF Jesper B. Hansen Siscon TRUSSELSBILLEDET RISIKOVURDERING Trusler -> konsekvenser Metode ISO 27005 Håndtering af risici OPSAMLING ControlManager by Siscon
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereREGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED
11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereNOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)
Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereTrusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer
5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereGuide til awareness om informationssikkerhed. Marts 2013
Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereRisikovurdering ENHED:
? Risikovurdering?? ENHED: INDLEDNING Formålet med at identificere risici og trusler er at blive i stand til at imødegå disse for at minimere konsekvenserne og i videst muligt omfang sikre fortsat drift
Læs mereISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014
ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års
Læs mereCenter for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014
Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580
Læs mereTorben Waage www.kromannreumert.com/insights. Partner
Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for
Læs mereRisikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering
Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R Afsnit 1: Indledning... side 1 Afsnit 2: Generelt om sikkerhedsbrud...
Læs mereVejledning om evaluering af beredskab. April 2015
Vejledning om evaluering af beredskab April 2015 Vejledning om evaluering af beredskab Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereRisikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki
Risikovurdering og beredskab 26. April 2010 Præsenteret af Marianne Bo Krowicki Det kan gå så gruelig galt En medarbejder blev bortvist i fredags. Brikken blev deaktiveret, og bruger-log-on blokeret, men
Læs merePixiguide til udarbejdelse af konsekvensvurdering
28. januar 2013 Pixiguide til udarbejdelse af konsekvensvurdering for privatlivsbeskyttelsen Konsekvensvurderingen er en proces, der består af 6 trin, som illustreres nedenfor: 2. Konsekvensvurdering for
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereResultatplan KORA - Det Nationale Institut for Kommuners og Regioners Analyse og Forskning 2017
Resultatplan KORA - Det Nationale Institut for Kommuners og Regioners Analyse og Forskning 2017 INDLEDNING KORAs mission er at fremme kvalitetsudvikling, bedre ressourceanvendelse og styring i den offentlige
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereIkast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550
Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5
Læs mereResultatplan SFI - Det Nationale Forskningscenter for Velfærd 2017
Resultatplan SFI - Det Nationale Forskningscenter for Velfærd 2017 INDLEDNING SFI, Det Nationale Forskningscenter for Velfærd er oprettet ved lov nr. 101 af 1958, som er erstattet af lov nr. 336 af 5.
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereVejledning - Udarbejdelse af gevinstdiagram
Vejledning - Udarbejdelse af gevinstdiagram Maj 2015 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereRetningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger
Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R 1 INDLEDNING 1.1 Disse retningslinjer vedrører UBSBOLIG A/S (herefter
Læs mereForordningens sikkerhedskrav
Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering
Læs mereAabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09
Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede
Læs mereDatabrudspolitik i Luthersk Mission
Databrudspolitik i Luthersk Mission September 2019 Denne politik har til hensigt at beskrive retningslinjer for håndtering af brud på persondatasikkerheden. Den er ikke fyldestgørende men en kort gennemgang
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereDK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen
DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der
Læs merePolitik for Fortsat Drift Silkeborg Kommune
Politik for Fortsat Drift Silkeborg Kommune 2014-2017 Direktionen Indledning Silkeborg Kommune har ansvaret for at drive en række kritiske funktioner med direkte påvirkning af borgere og virksomheder.
Læs mereRisikovurdering. Lillebælt. Beredskabsplan for University College. Teknik & Bygninger
2015 Risikovurdering Beredskabsplan for University College Lillebælt Teknik & Bygninger Risikovurdering Fejl! Ingen tekst med den anførte typografi i dokumentet. Indhold 1. Indledning... 3 2. Vurdering
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304
1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereRegionernes politiske linje for informationssikkerhed
Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske
Læs mereCPR-administrationen har en målsætning om, at datakvaliteten i CPR til stadighed skal opleves som værende høj blandt CPR-systemets brugere.
Resultatplan CPR - 2017 Indledning CPR indeholder grundlæggende personoplysninger om ca. 10 mio. danskere og udlændinge, og CPR-administrationen er hovedleverandør af persondata til både offentlige myndigheder
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereHvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?
Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereKl Indledning v. Lone Strøm, Rigsrevisor
Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,
Læs mereINFORMATIONS- SIKKERHEDS- AKTIVITETER
ISO27001 PRINCIPPERNE SEPTEMBER 2017 INFORMATIONSSIKKERHED INFORMATIONS- SIKKERHEDS- AKTIVITETER KOMMUNALT ARBEJDE MED ØGET INFORMATIONSSIKKERHED Informationssikkerhedsaktiviteter Kommunalt arbejde med
Læs mereIt-beredskabsstrategi for Horsens Kommune
It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,
Læs mereGuide til implementering af ISO27001
Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen
Læs mereBrud på persondatasikkerheden
Brud på persondatasikkerheden Te i a M. S t e n n e v a d Hvad er et brud på persondatasikkerheden? Databeskyttelsesforordningens definition: brud på persondatasikkerheden er en hændelse der fører til
Læs mereVejledning - Udarbejdelse af gevinstdiagram
Vejledning - Udarbejdelse af gevinstdiagram Januar 2014 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4
Læs mereREGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED
0000000 000000 0000000 00000000 000000 0000000 00000000 000000 0000000 00000000 000000 0000000 00000000 REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 0000000 000000 0000000 00000000 000000 0000000
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs merePersondatapolitik. - Gæst - Skallerup Seaside Resort A/S
Persondatapolitik - Gæst - 2018 Skallerup Seaside Resort A/S Indhold EU S PERSONDATAFORORDNING... 3 RISIKOVURDERING... 3 SKALLERUPS DATAANSVAR... 3 PERSONOPLYSNINGER... 3 BEHANDLING AF PERSONOPLYSNINGER...
Læs mereDUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT
DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv
Læs mereSikkerhed og Revision 2015
Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereStrategisk informationssikkerhed
Strategisk informationssikkerhed Jakob Scharf Executive Director, CERTA Intelligence & Security Tidligere chef for Politiets Efterretningstjeneste (PET) Trusler, risici og sårbarheder Private virksomheder
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede
Læs mereTjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.
Tjekliste: Sådan laver du en it-risikovurdering i TRIN Sikker it-drift. Leveret af specialister. Hvordan foretager man en itrisikovurdering af et system? Hvilke punkter skal man igennem? Hvad kan outputtet
Læs merePasswordvejledning PIXI udgave
Passwordvejledning PIXI udgave Center for Cybersikkerhed September 2016 1 Brugernavn og password er i høj kurs hos hackere. Det er stadig en ofte anvendt og succesfuld angrebsmetode til at skaffe sig uautoriseret
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereCybertruslen mod Danmark
Cybertruslen mod Danmark Vurderingen redegør for det trusselsbillede, der møder danske myndigheder og private virksomheder på internettet. Vurderingen er skrevet af Center for Cybersikkerheds Trusselsvurderingsenhed,
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereGuide til bedre beredskabsstyring. April 2015
Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen
Læs mere