Politik for Informationssikkerhed i Arbejdsmarkedets Tillægspension



Relaterede dokumenter
Faxe Kommune. informationssikkerhedspolitik

Informationssikkerhedspolitik

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Informationssikkerhedspolitik. Frederiksberg Kommune

IT-sikkerhedspolitik for

Informationssikkerhedspolitik Frederiksberg Kommune

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

IT-sikkerhedspolitik S i d e 1 9

Assens Kommune Sikkerhedspolitik for it, data og information

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

INFORMATIONS- SIKKERHEDSPOLITIK

Region Hovedstadens Ramme for Informationssikkerhed

Politik <dato> <J.nr.>

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

PSYKIATRIFONDENS Informationssikkerhedspolitik

IT-SIKKERHEDSPOLITIK UDKAST

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

MedComs informationssikkerhedspolitik. Version 2.2

Jyske Bank Politik for It sikkerhed

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

It-sikkerhedspolitik for Københavns Kommune

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik. for Aalborg Kommune

Politik for informationssikkerhed 1.2

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Overordnet informationssikkerhedsstrategi

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik For Aalborg Kommune

Ballerup Kommune Politik for databeskyttelse

Vejledning i informationssikkerhedspolitik. Februar 2015

Overordnet Informationssikkerhedspolitik

Politik for informationssikkerheddatabeskyttelse

Fællesregional Informationssikkerhedspolitik

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

IT sikkerhedspolitik for Business Institute A/S

Informationssikkerhedspolitik for <organisation>

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Politik for Datasikkerhed

Overordnet It-sikkerhedspolitik

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

OVERORDNET IT-SIKKERHEDSPOLITIK

Informationssikkerhedspolitik for Vejen Kommune

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Lovtidende A 2010 Udgivet den 22. december 2010

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

SOPHIAGÅRD ELMEHØJEN

Organisering og styring af informationssikkerhed. I Odder Kommune

Databeskyttelsespolitik for DSI Midgård

It-beredskabsstrategi for Horsens Kommune

Overordnet organisering af personoplysninger

frcewtfrhousf(wpers ml

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Overordnet organisering af personoplysninger

Fællesregional Informationssikkerhedspolitik

Bilag 1 Databehandlerinstruks

Lovtidende A 2010 Udgivet den 22. december 2010

INFORMATIONS- SIKKERHEDS- POLITIK

EU-udbud af Beskæftigelsessystem og ESDHsystem

POLITIK FOR INFORMATIONSSIKKERHED

Politik for håndtering af interessekonflikter i Sparinvest

Informationssikkerhed

Sikkerhed og Revision 2015

KOMBIT sikkerhedspolitik

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

IT-SIKKERHEDSPOLITIK

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond

Databeskyttelsespolitik

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

DATABESKYTTELSESPOLITIK

Tabulex ApS. Februar erklæringsår. R, s

Assens Kommune Politik for databeskyttelse og informationssikkerhed

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Informationssikkerhedspolitik for Sønderborg Kommune

1. Introduktion til SoA Indhold og krav til SoA 4

Beredskabspolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING TILTAG FOR AT OPFYLDE POLITIKKENS FORMÅL...

Vejledning i etablering af forretningsoverblik. Januar 2018

Bilag marts 2004 E Glentevej København NV. Til orientering for: Kt.chef Niels R. Korsby Videnskabsministeriet

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

It-sikkerhedspolitik for Farsø Varmeværk

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010

Hovmosegaard - Skovmosen

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

Front-data Danmark A/S

Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0

Præsentation af Curanets sikringsmiljø

Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond

Transkript:

Politik for Informationssikkerhed i Arbejdsmarkedets Tillægspension 1 Formål 1.1 Fastsættelsen af en bestyrelsesvedtaget politik for Informationssikkerhed har som formål at fastlægge de overordnede strategiske mål for informationssikkerhedsområdet og give anvisninger om hvordan disse mål nås, under hensyntagen til ATP s forretningsmodel som afgrænset i lov om Arbejdsmarkedets Tillægspension. 1.2 Fastsættelsen af politik for Informationssikkerhed følger af ATP s forpligtigelse i ATP-loven til at have effektive former for virksomhedsstyring og effektive procedurer til at identificere, kvantificere, håndtere, overvåge og rapportere om de risici, virksomheden er eller kan blive udsat for. 2 Gyldighed 2.1 Informationssikkerhedspolitikken gælder for ATP Koncernen og alle ansatte i ATP-koncernen. 2.2 Informationssikkerhedspolitikken vedrører al informationsbehandling for og i ATP Koncernen uanset om denne foretages internt eller eksternt ved outsourcing eller køb af serviceydelser hos eksterne leverandører. 2.3 Informationsbehandling, IT-udstyr, pc'er mv., der er placeret i centre, stabe, datterselskaber eller andre ATP lokationer er således også omfattet, hvad enten de anvendes isoleret, lokalt eller opkoblet til de centrale anlæg. 2.4 ATP pc'er placeret udenfor ATPs lokationer, bærbare pc'er, distancearbejdspladser samt håndholdte enheder, er ligeledes omfattet af Informationssikkerhedspolitikken. 2.5 Målgruppen er: Interne slutbrugere Proces-, system- og dataejere Systemudviklere og systemforvaltere - såvel interne som eksterne Produktionspersonale såvel internt som eksternt Eksterne konsulenter Forretningsmæssige- og lovbestemte samarbejdspartnere Offentlige myndigheder Registrerede personer og virksomheder 3 Anvendelsesområde 3.1 Informationssikkerhedspolitikken skal anvendes som referenceramme overalt i ATP koncernen, herefter betegnet som ATP, hvor der er eller skal etableres informationsbehandling. 3.2 Informationssikkerhed er beskyttelsen af ATP s funktionsevne og ressourcer mod trusler. Side 1 af 7

3.3 Informationssikkerhed skal opfattes i videste forstand, og det betyder, at ATP gennemfører alle nødvendige aktiviteter for at beskytte informationer, systemer, data og den tekniske infrastruktur (netværk, udstyr mv.) så man tilsikrer den fornødne: Fortrolighed: At etablere mulighed for fortrolig behandling, transmission og opbevaring af data hvor kun autoriserede brugere har adgang Integritet: At opnå en pålidelig og korrekt funktion af informationssystemerne med minimeret risiko for ukorrekt eller mangelfuldt datagrundlag, fx som følge af ufuldstændig sporbarhed, menneskelige og systemmæssige fejl samt udefrakommende hændelser Tilgængelighed. At opnå en høj tilgængelighed ved høj drifts- og fysisk sikkerhed med høje oppetider og minimeret risiko for nedbrud 3.4 De faglige aspekter i Informationssikkerhedspolitikken er opdelt i en række sikkerhedsområder: a) Organisering af it-arbejdet, herunder funktionsadskillelse b) Risikovurdering c) Beskyttelse af systemer, data, maskinel og kommunikationsveje d) Systemudvikling og vedligeholdelse af systemer e) Driftsafvikling f) Backup og sikkerhedskopiering g) Beredskabsplaner h) Kvalitetssikring i) Principper for implementering af Informationssikkerhed j) Forholdsregler i tilfælde af brud på Informationssikkerhedspolitikken og sikkerhedsregler k) Overholdelse af relevant lovgivning l) Rapportering, kontrol og opfølgning m) Dispensationer fra Informationssikkerhedspolitikken 4 Risikoprofil 4.1 ATP tilstræber at have en lav risikoprofil på alle væsentlige risikoområder. 4.2 Informationssikkerhedspolitikken skaber - sammen med en løbende risikovurdering - grundlaget for sikker anvendelse af informationsteknologi i ATP. 4.3 ATP vil sikre sig behørigt mod risici, som kan resultere i tab for ATP og/eller miskreditering af ATP. 4.4 Informationssikkerhedsniveauet skal fastsættes ud fra risici (sandsynlighed og konsekvens), som en given hændelse vil kunne medføre. Sikkerhedsforanstaltninger skal dog afstemmes med forretningens krav til funktionalitet, fleksibilitet, effektivitet og økonomi. 4.5 Fejl, uheld, katastrofer mv. kan ikke undgås, men risikoen for disse skal ved hjælp af sikkerhedsforanstaltninger reduceres til et acceptabelt niveau. Eventuelle skadevirkninger søges begrænset mest muligt - eksempelvis i form af planer for håndtering af nødsituationer (Beredskabsplaner). 5 Rammer 5.1 Det er ATP s målsætning, at der leveres en effektiv og pålidelig service, idet anvendelsen af it er et bærende element i udøvelsen af ATP s forretning. Det tilstræbes, at ATP s service ikke uden videre kan påvirkes eller ødelægges af fejl, uheld eller forsætlige handlinger. 5.2 ATP tilstræber effektiv Risk Management, Governance og compliance på Informationssikkerhedsområdet, det vil bl.a. sige: Det er ATP s mål at opretholde et informationssikkerhedsniveau, der som minimum er på samme niveau som ligestillede forretninger inden for pensionsområdet - primært i Europa og sekundært i den øvrige verden. Der skal opretholdes en fornøden grad af sikkerhed omkring de registrerede informationers fortrolighed. Side 2 af 7

5.3 Informationssikkerhedspolitikken skal i videst muligt omfang være uafhængig af den anvendte teknologi. 6 Bestyrelsens opgaver og ansvar 6.1 Bestyrelsen har det overordnede ansvar for informationssikkerheden i ATP. 6.2 Bestyrelsen fastlægger rammerne for informationssikkerhed gennem denne politik. 6.3 a) Politik for organisering af informationssikkerheds- og it-arbejdet, herunder funktionsadskillelse 6.3.1 Direktøren for ATP har ansvaret for Informationssikkerhedsområdet i ATP. Direktøren for ATP nedsætter et Sikringsudvalg og udpeger udvalgets formand, der refererer direkte til direktøren og har det overordnede ansvar for den fysiske og logiske sikkerhed i og omkring ATP s systemer og øvrige værdier. 6.3.2 Sikringsudvalget er uafhængigt i forhold til den øvrige organisation i sikringsspørgsmål og har en særlig kompetence i forhold til proces-, data- og systemejere. 6.3.3 Sikringsudvalget har ansvaret for, at Informationssikkerhedspolitikken og Beredskabsplan for ATP uddybes i regler, procedurer mv., og udvalget træffer afgørelse om fortolkningsmæssige spørgsmål i relation til opstillede regler. 6.3.4 Direktøren skal godkende udpegning af en IT-sikkerhedschef til særligt at have ansvar for iværksættelse af og udbredelse af kendskabet til sikkerhedsbestemmelserne. 6.3.5 Der skal etableres en organisatorisk adskillelse mellem forretningsfunktioner, udviklingsfunktioner, driftsfunktioner og sikkerhedsfunktioner, således at ingen enkeltperson har eller kan få kontrol over alle faser i IT-anvendelsen. Såfremt en medarbejder har adgang til at varetage flere af funktionerne, er der enten etableret en maskinel afgrænsning af medarbejderens adgang til data, herunder personoplysninger eller andre kompenserende kontrolforanstaltninger, således at medarbejderen kun kan udføre de funktioner, den pågældende er autoriseret til, og som er nødvendige for udførelsen af medarbejderens arbejdsopgaver. Kompenserende kontrolforanstaltninger skal via fyldestgørende logmateriale konstatere, hvorvidt udførte handlinger er gennemført korrekt, herunder afdække eventuelle tilsigtede eller utilsigtede fejl eller mangler i de gennemførte handlinger. 6.3.6 Ansvaret for ATP s IT-funktioner skal være klart defineret og placeret i organisationen, og der skal som minimum være funktionsadskillelse mellem systemudvikling og vedligeholdelse, it-drift samt ATP s forretningsaktiviteter. 6.4 b) Politik for risikovurdering 6.4.1 Informationssikkerhedspolitikken for ATP Koncernen baseres på gennemarbejdede risikovurderinger (kalkulerede risici), der sætter rammerne for implementeringen af informationssikkerhed. 6.4.2 Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til risici, arbejdets gennemførelse og de økonomiske ressourcer. I afvejningen indgår karakteren af de trusler, sikringsarbejdet skal afværge, sandsynligheden for at truslerne bliver til virkelighed og konsekvenserne heraf. Risici skal være kalkulerede. 6.5 c) Politik for beskyttelse af systemer, data, maskinel og kommunikationsveje Side 3 af 7

6.5.1 Det skal sikres, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de data som de er autoriserede til og som er arbejdsmæssigt betinget. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Adgange tildeles således, at der til enhver tid er etableret den fornødne funktionsadskillelse i forretningen, mellem forretningsområder, udvikling og drift af systemer og selve adgangstildelingen til systemer og data. 6.5.2 ATP skal opretholde en pålidelig og sikker infrastruktur for udvikling og drift af forretningssystemerne. 6.5.3 Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til informationer, systemer, data og den tekniske infrastruktur. 6.5.4 ATP skal fysisk sikre lokationer, dets værdier, data, dets medarbejdere samt den daglige forretning. Bygninger og samarbejdspartners bygninger skal være indrettet således, at uvedkommende forhindres adgang til områder, hvor data og/eller øvrige værdier opbevares og behandles. 6.6 d) Politik for systemudvikling og vedligeholdelse af systemer 6.6.1 ATP skal prioritere implementering af velgennemtestede og driftsstabile informationsteknologiske løsninger over forsøgsvis anvendelse af nyeste teknologi. 6.6.2 Der skal etableres en systemmæssig (logisk) adskillelse mellem udviklings- test- og driftsmiljøer for at sikre, at al produktion kun sker på testede og godkendte programmer. 6.6.3 Der skal foreligge regler for udvikling og vedligeholdelse af systemer i ATP-koncernen, således, at der etableres den fornødne kontrol, afprøvning af systemet, samt dokumentation i form af en beskrivelse af systemet og en vejledning i dets anvendelse. 6.6.4 Ved idriftsættelse af systemer skal der inden fysisk overflytning fra udviklings/testmiljø til produktionsmiljø, ske en godkendelse gennem Change Management procedurer. 6.7 e) Politik for driftsafvikling 6.7.1 ATP skal opretholde en pålidelig og sikker driftsafvikling af forretningssystemerne, herunder veldefinere procedurer for overvågning og styring samt til reetablering og videreførelse efter driftsuheld (problem- og incidentmanagement). 6.7.2 Der skal fastsættes regler, der sikrer en klar ansvarsplacering omkring behandling og opbevaring af inddata, kørselstilrettelæggelse, kørselsafvikling, dokumentation og behandling af uddata. 6.8 f) Politik for backup og sikkerhedskopiering 6.8.1 Informationer i ATP s IT-systemer skal være underlagt veldefinerede procedurer for backup og sikkerhedskopiering af hensyn til genetablering af normal drift i tilfælde af fejl, nedbrud, tab af data eller systemer samt hel eller delvis ødelæggelse af bygninger, maskinel og kommunikationsveje. 6.9 g) Politik for Beredskabsplaner 6.9.1 Den daglige drift skal understøttes af et beredskab, der sikrer, at kritiske forretnings-aktiviteter påvirkes mindst muligt i en nødsituation. I en nødsituation skal det samlede beredskab beredskabsplanerne og de forebyggende foranstaltninger sikre: at afledte skader og konsekvenser minimeres imødegåelse af fejl, nedbrud, tab af data eller systemer at en begrænset forretnings- og IT-drift kan etableres i en nødsituation en hurtig overgang til normal drift efter opståen af en nødsituation imødegåelse af hel eller delvis ødelæggelse af bygninger, maskinel og infrastruktur Side 4 af 7

6.9.2 Beredskabsplanen skal underlægges periodisk test og testes efter et rotationsprincip inden for en periode på 3 år. 6.9.3 Beredskabsplanen skal afspejle et økonomisk forsvarligt beredskabsniveau som er afvejet mod de risici og konsekvenser, der påvirker ATP. 6.9.4 Særlige regler målsætning og planer for genetablering følger af Beredskabsplan for Arbejdsmarkedets Tillægspension, vedlagt som bilag 1 6.10 h) Politik for Kvalitetssikring 6.10.1 ATP skal sikre kvalitet bliver bygget ind i projektstyringsprocesser, udviklingsprocesser og driftsprocesser. 6.10.2 Særlig ved idriftsætning af systemer skal den fornødne kvalitetskontrol gennemføres. 6.11 i) Principper for implementering af IT-sikkerhedspolitikken 6.11.1 Som referenceramme til IT-sikkerhedspolitiken er anvendt ISF s Standard of Good Practice og de internationale ISO standarder 17799, 27001, 27002, 27005, 27006. 6.11.2 Informationssikkerhed i ATP-koncernen implementeres efter følgende overordnede principper: ATP s forretning er afhængig af håndteringen af informationer i elektronisk form, og derfor behandles informationssikkerhed som sidestillet med forretningssikkerhed ATP arbejder målrettet med informationssikkerhed for at underbygge markedsadgang, finansielle resultater samt ATP s troværdighed over for omverdenen, herunder i forhold til kunder og samarbejdspartnere ATP prioriterer implementeringen af velgennemtestede og driftsstabile informationsteknologiske løsninger over forsøgsvis anvendelse af nyeste teknologi 6.12 j) Forholdsregler i tilfælde af brud på Informationssikkerhedspolitik og sikkerhedsregler 6.12.1 Enhver medarbejder i ATP er forpligtet til straks at informere nærmeste leder og/eller ITsikkerhedschefen, såfremt medarbejderen får kendskab til eller formodning om brud på Informationssikkerhedspolitikken og IT-sikkerhedshåndbogen. 6.12.2 Informationssikkerhedshændelser, hvor medarbejdere er involverede, bliver håndteret konsekvent i overensstemmelser med gældende personalepolitik og kan medføre di-sciplinære sanktioner 6.12.3 Hvis eksterne parter berøres af informationssikkerhedshændelser hos ATP, vil ATP kommunikere åbent og troværdigt over for berørte parter. 6.13 k) Overholdelse af relevant lovgivning 6.13.1 ATP skal overholder alle relevante regler, lovkrav, retningslinjer, vejledninger inden for ATP s forretningsområde. 6.13.2 Copyright, licensaftaler og lignende skal respekteres og overholdes. Endvidere skal ophavsret, ejendomsret og brugsret sikres og respekteres i forbindelse med egen udvikling og anvendelse af systemer og softwareprodukter fra andre leverandører. 6.14 l) Rapportering, kontrol og opfølgning Side 5 af 7

6.14.1 ATP skal løbende og entydigt registrere og følge op på hændelser inden for Informationssikkerhedsområdet. 6.14.2 ATP skal mindst én gang årligt gennemgå og kontrollere sikkerhedsforanstaltningerne med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold og om nødvendigt forbedre sikkerhedsforanstaltningerne. 6.14.3 Gennemgang og kontrol af sikkerhedsforanstaltningerne dokumenteres i form af en årlig statusrapportering til bestyrelsen. Rapportering skal være indrettet sådan, at bestyrelsen løbende kan påse, at opgaveløsningen forløber tilfredsstillende. 6.15 m) Dispensationer fra it-sikkerhedspolitikken 6.15.1 Dispensation for denne politik kan kun gives i særlige, begrundede tilfælde. 6.15.2 Dispensation kan gives af ATP s Direktør, Sikringsudvalgets formand og IT-sikkerhedschefen, i nødvendigt omfang med rådgivning fra Sikringsudvalget. 6.15.3 Dispensationer dokumenteres i den årlige statusrapportering til bestyrelsen. 7 Information og kommunikation 7.1 ATP vedligeholder, understøtter og fastholder vidensniveauet hos alle medarbejderne for at understøtte sikker behandling af informationer i ATP s systemer, herunder med særligt fokus på ansatte i sagsbehandlingen samt i IT-drift og -sikkerhed. 7.2 Vidensniveauet formidles gennem passende uddannelse og træning af medarbejderne i ATP sammen med passende opfølgning på holdninger, opnået viden, færdigheder og efterlevelse af sikkerhedsreglerne. 8 Godkendelse, varighed og opdatering 8.1 Informationssikkerhedspolitikken og enhver ændring eller tilføjelse hertil skal vedtages af bestyrelsen. 8.2 Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere Informationssikkerhedspolitikken, herunder hvorvidt Informationssikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som itanvendelsen medfører og forventes at medføre, fremover er på et acceptabelt niveau for ATP. 8.3 Det påhviler direktøren løbende at udarbejde forslag til ændringer eller tilføjelser til Informationssikkerhedspolitikken, såfremt Informationssikkerhedspolitikken ikke længere er tilstrækkelig, eller såfremt lovgivningen eller regler udstedt i medfør heraf nødvendiggør dette. Side 6 af 7

8.4 Informationssikkerhedspolitikken er gældende fra den 22. juni 2011. Politikken revideres ved større sikkerhedsmæssige ændringer dog mindst én gang om året. Vedtaget af bestyrelsen den 22. juni 2011 På bestyrelsens vegne Jørgen Søndergaard Formand Side 7 af 7

Beredskabsplan for Arbejdsmarkedets Tillægspension Bilag 1 til Politik for Informationssikkerhed 1 Formål 1.1 Beredskabsplanen for Arbejdsmarkedets Tillægspension er et værktøj i styringen af ATP s risici og har som overordnet formål at understøtte ATP s vision, forretningsmæssige mål og handlingsplaner. 1.2 Beredskabsplanen skal sikre, at ATP kan videreføre driften og begrænse sit tab i tilfælde af alvorlige driftsforstyrrelser og/eller i tilfælde af alvorlige systemnedbrud, fejl og forstyrrelser i it-anvendelsen. 1.3 Fastsættelsen af Beredskabsplanen følger af ATP s lovbestemte forpligtelse til at have en god administrativ og regnskabsmæssig praksis, skriftlige forretningsgange på alle de væsentlige aktivitetsområder, fyldestgørende interne kontrolprocedurer og betryggende kontrol- og sikringsforanstaltninger på it-området. 2 Anvendelsesområde 2.1 Beredskabsplanen dækker ATP-koncernen, inkl. dattervirksomheder med de modifikationer, der følger af dattervirksomhedernes særlige forhold. Beredskabsplanen implementeres i dattervirksomhederne via dattervirksomhedernes bestyrelser. 3 Vision for beredskabet i ATP 3.1 Beredskabet skal understøtte ATP s vision om at agere i verdensklasse, herunder at være anerkendt for et godt image og høj troværdighed. 4 Målsætninger 4.1 Den daglige drift understøttes af et beredskab, der sikrer, at kritiske forretningsaktiviteter påvirkes mindst muligt i en nødsituation. I en nødsituation skal det samlede beredskab beredskabsplanerne og de forebyggende foranstaltninger sikre: at afledte skader og konsekvenser minimeres at en begrænset forretnings- og IT-drift kan etableres i en nødsituation en hurtig overgang til normal drift efter opståen af en nødsituation 4.2 Beredskabsplanen underlægges periodisk test. Beredskabsplaner testes efter et rotationsprincip inden for en periode på 3 år. 4.3 Beredskabsplanen skal afspejle et økonomisk forsvarligt beredskabsniveau som er afvejet mod de risici og konsekvenser, der påvirker ATP. 5 Centrale processer 5.1 Retableringstider er udtryk for perioden fra beredskabet aktiveres til nøddrift er etableret. 5.2 Forretningsområderne opstiller mål for retableringstider i forhold til de enkelte hovedprocesser og biprocesser. Retableringstider for hovedprocesser fremgår af bilag 1.1 og 1.2. 5.3 Forretningsområderne opstiller procedurer og tiltag, jf. pkt. 6.2, der understøtter og sikrer, at kritiske forretningsaktiviteter/hovedprocesser kan opretholdes til nøddrift er etableret. Procedurer og tiltag skal dog kunne videreføres i tilfælde af mål for retableringstider ikke opfyldes. 5.4 IT-området og øvrige støtteområder opstiller procedurer og tiltag, der understøtter og sikrer, at forretningsområdernes mål for retableringstider kan opfyldes. 6 Arbejdsdeling 6.1 Direktøren er ansvarlig for test og vedligeholdelse af beredskabet i ATP i overensstemmelse med de i beredskabsplanen fastsatte overordnede formål, målsætninger og retableringsmål. 6.2 Funktionsdirektørerne udarbejder og implementerer forretnings- og støtteberedskabsplaner og bidrager til udarbejdelsen af den årlige statusrapportering fra ATP s Sikringsudvalg (SIKU), jf. pkt. 9.2. 6.3 SIKU bistår via modelgrundlag funktionsdirektørerne med opstilling af delmål og forretnings- og støtteberedskabsplaner. Endvidere bistår SIKU funktionsdirektørerne i valg og godkendelse af løsninger. 7 Holdning i forbindelse med implementering 7.1 Beredskabet i ATP implementeres og efterleves efter følgende overordnede principper:

ATP s forretning er afhængig af håndteringen af informationer i elektronisk form og af fysisk sagsbehandling, og derfor er ATP s beredskab indrettet til hurtigt at retablere kritiske hovedprocesser ATP arbejder med et risikostyret beredskab for at sikre kundebetjening og robusthed i forhold til sin finansielle ageren med det overordnede formål at fastholde ATP s troværdighed over for omverdenen ATP vedligeholder, understøtter og fastholder vidensniveauet hos medarbejderne for at understøtte et risikostyret beredskab, herunder særligt i forhold til ansatte med opgaver inden for sagsbehandling samt ITdrift og -sikkerhed Hændelser, der udløser beredskabsaktiviteter, bliver håndteret konsekvent i overensstemmelse med beredskabsplanen og til detailberedskabsplaner. Udløses der beredskabsaktiviteter hos ATP, vil ATP kommunikere åbent og troværdigt herom. 8 Midler 8.1 Beredskabet i ATP omfatter bl.a.: 1. Beredskabsplanen (godkendes af ATP s bestyrelse) 2. Koncernberedskabsledelsen 3. Forretningsmæssige beredskabsplaner 4. Støtteberedskabsplaner 5. Robust infrastruktur 6. 2 center løsning på forretningskritiske områder 7. Fysisk genhusning 8. Forebyggelse 9. Vedligeholdelse 10. Test og rapportering af testresultater 9 Opfølgning 9.1 Beredskabsplanen skal løbende vurderes og justeres, således at formålet med beredskabsplanen altid opfyldes. 9.2 Direktøren afgiver i den årlige rapportering til forretningsudvalget fra ATP s Sikringsudvalg en status for Beredskabsplanens efterlevelse. Rapporteringen skal - ud over generel status og tiltag - angive de nødsituationer, hvor Beredskabsplanen har været bragt i anvendelse samt konkrete forslag til ændringer eller tilføjelser til Beredskabsplanen, hvor dette skønnes hensigtsmæssigt. 9.3 ATP s revision vil i sin løbende revision for året oplyse om Beredskabsplanens tilstrækkelighed. 10 Revision og varighed 10.1 Det påhviler direktøren løbende at udarbejde forslag til ændringer eller tilføjelser i Beredskabsplanen. 10.2 Beredskabsplanen vurderes årligt og revideres ved en ændret vurdering af ATP s risici. Vedtaget af bestyrelsen den 22. juni 2011 På bestyrelsens vegne Jørgen Søndergaard Formand

Bilag - Reetableringstider Bilag 1.1 Reetableringstid for hovedprocesser i Kundeservice Prioritet Hovedproces Reetableringstid Procesansvarlig Indbetaling CUW/JVA 3 Opret slutkunde aftale 14 dage 3 Modtag indberetning 14 dage 3 Modtag indbetaling 14 dage 3 Behandl opkrævning 14 dage Administration JAM/MER 4 Administrer slutkundeaftale 30 dage 4 Rapporter til slutkunde 30 dage 4 Administrer Unit Link 30 dage Tilkendelse 2 Behandl sikringsrettighed 5 dage 2 Behandl pensionsalder 5 dage 2 Behandl invaliditetssag 5 dage 2 Behandl kritisk sygdomssag 5 dage 2 Behandl dødsfaldssag 5 dage Udbetaling 1 Behandl udbetaling Datoafhængig TOJ/JVJ JVJ/JKH 1* Telefonbetjening 12 timer 1* WWW 12 timer Prioritet: 1* meget høj: Inden for 12 timer 1: høj: Datoafhængig skal udbetales til tiden (Tilkendte løbende udbetalinger) 2: mellem: Inden for 5 dage 3: lav: Inden for 14 dage 4: lavest: Inden for 30 dage Bilag 1.2 Reetableringstid for hoved- og tilknyttede underprocesser i Pensions og Investments Prioritet Hovedproces Evt. tilknyttede Reetableringstid Ansvarlig underprocesser 1 Håndtér fonds-it Data Management, Systemer 24 timer og IT styring Operations HHM 1 Overvåg, analyser og rapporter investeringer og pensioner Rapportering og overvågning 24 timer Operations og Pensions HHM og CD 1 Styr balancens sammensætning og risici 1 Behandl investeringsog pensionsdata 1 Handl værdipapirer og finansielle instrumenter Prioritet: 1: meget høj: Inden for 24 timer Overordnet risikoramme, Investeringsvirksomhed, Afdækningsvirksomhed og Pensionsforpligtelser 24 timer Pensions & Investments HGJ, FM og CD Investering og pension 24 timer Operations og Aktuariat HHM og CD 24 timer Fondsområdet HGJ og FM

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback