Skanderborg Kommune Regler Nedenstående regler er udfærdiget på kravene i ISO 27002:2005 : 2014-02-12
Indholdsfortegnelse 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici 4.2 Risikohåndtering 2 2 2 5 Overordnede retningslinier 5.1 Informationssikkerhedsstrategi 5.1.1 Formulering af informationssikkerhedspolitik 5.1.2 Løbende vedligeholdelse 6 Organisering af informationssikkerhed 6.1 Interne organisatoriske forhold 6.1.1 Ledelsens rolle 6.1.2 Koordinering af informationssikkerhed 6.1.3 Ansvarsplacering 6.1.4 Godkendelsesprocedurer ved anskaffelser 6.1.6 Kontakt med myndigheder 6.1.8 Periodisk opfølgning 6.2 Eksterne samarbejdspartnere 6.2.1 Identifikation af risici i forbindelse med eksternt samarbejde 6.2.3 Samarbejdsaftaler 7 Styring af informationsrelaterede aktiver 7.1 Identifikation af og ansvar for informationsrelaterede aktiver 7.1.1 Fortegnelse over informationsaktiver 7.1.2 Ejerskab 7.1.3 Accepteret brug af aktiver 7.2 Systemejerskab 7.2.1 Aftale om drift og support 7.2.2 Funktionalitet og opbygning 7.2.3 Understøttelse af arbejdsgange 7.2.4 Dokumentation 7.2.5 Eksterne samarbejdspartnere 7.2.6 Logning 3 3 3 3 4 4 4 4 4 4 5 5 5 5 6 8 8 8 8 9 11 11 12 12 12 12 12
7.2.7 Vurdering af integrationer 7.2.8 Rådighed for revision 7.2.9 Udpegning af systemejer 7.2.10 Økonomi 7.3 Klassifikation af informationer og data 7.3.1 Klassifikation 7.3.2 Mærkning og håndtering af informationer og data 12 13 13 13 13 13 13 8 Medarbejdersikkerhed 9 Fysisk sikkerhed 9.1 Sikre områder 9.1.1 Fysisk afgrænsning 9.1.2 Fysisk adgangskontrol 9.1.3 Sikring af kontorer, lokaler og udstyr 9.1.4 Beskyttelse mod eksterne trusler 9.1.5 Arbejdsmæssige forhold i sikre områder 9.2 Beskyttelse af udstyr 9.2.1 Placering af udstyr 9.2.2 Forsyningssikkerhed 9.2.3 Sikring af kabler 9.2.4 Udstyrs og anlægs vedligeholdelse 9.2.5 Sikring af udstyr uden for virksomhedens overvågning 9.2.6 Sikker bortskaffelse eller genbrug af udstyr 9.2.7 Fjernelse af virksomhedens informationsaktiver 15 16 16 16 16 17 17 17 17 18 18 18 19 19 20 20 10 Styring af netværk og drift 10.2 Ekstern serviceleverandør 10.2.1 Serviceleverancen 10.2.2 Overvågning og revision and serviceleverandøren 10.2.3 Styring af ændringer hos ekstern serviceleverandør 10.3 Styring af driftsmiljøet 10.3.1 Kapacitetsstyring 10.3.2 Godkendelse af nye eller ændrede systemer 21 21 21 21 22 22 22 22
10.4 Skadevoldende programmer og mobil kode 10.4.1 Beskyttelse mod skadevoldende programmer 10.4.2 Beskyttelse mod mobil kode 10.5 Sikkerhedskopiering 10.5.1 Sikkerhedskopiering 10.6 Netværkssikkerhed 10.6.1 Netværket 10.6.2 Netværkstjenester 10.7 Databærende medier 10.7.1 Bærbare datamedier 10.7.2 Destruktion af datamedier 10.7.3 Beskyttelse af datamediers indhold 10.7.4 Beskyttelse af systemdokumentation 10.8 Informationsudveksling 10.8.1 Informationsudvekslingsretningslinier og -procedurer 10.8.2 Aftaler om informationsudveksling 10.8.3 Fysiske datamediers sikkerhed under transport 10.8.4 Elektronisk post og dokumentudveksling 10.9 Elektroniske forretningsydelser 10.9.1 Elektronisk handel 10.9.2 Online transaktioner 10.9.3 Offentligt tilgængelige informationer 10.10 Logning og overvågning 10.10.1 Opfølgningslog 10.10.2 Overvågning af systemanvendelse 10.10.3 Beskyttelse af log-oplysninger 10.10.4 Administrator- og operatørlog 10.10.6 Tidssynkronisering 23 23 23 24 24 24 24 26 26 26 26 27 27 27 27 28 28 28 29 29 29 29 30 30 30 31 31 31 11 Adgangsstyring 11.1 De forretningsmæssige krav til adgangsstyring 11.1.1 Retningslinier for adgangsstyring 11.2 Administration af brugeradgang 32 32 32 32
11.2.1 Registrering af brugere 11.2.2 Udvidede adgangsrettigheder 11.2.3 Adgangskoder 11.2.4 Periodisk gennemgang af brugernes adgangsrettigheder 11.3 Brugernes ansvar 11.3.1 Brug af adgangskoder 11.3.2 Uovervåget udstyr 11.3.3 Beskyttelse af datamedier på den personlige arbejdsplads 11.4 Styring af netværksadgang 11.4.1 Retningslinier for brug af netværkstjenester 11.4.2 Autentifikation af brugere med ekstern netværkstjeneste 11.4.3 Identifikation af netværksudstyr 11.4.4 Beskyttelse af diagnose- og konfigurationsporte 11.4.5 Opdeling af netværk 11.4.6 Styring af netværksadgang 11.4.7 Rutekontrol i netværk 11.5 Styring af systemadgang 11.5.1 Sikker log-on 11.5.2 Identifikation og autentifikation af brugere 11.5.3 Styring af adgangskoder 11.5.4 Brug af systemværktøjer 11.5.5 Automatiske afbrydelser 11.5.6 Begrænset netværksforbindelsestid 11.6 Styring af adgang til brugersystemer og informationer 11.6.1 Begrænset adgang til informationer 11.6.2 Isolering af særligt kritiske brugersystemer 11.7 Mobilt udstyr og fjernarbejdspladser 11.7.1 Mobilt udstyr og datakommunikation 11.7.2 Fjernarbejdspladser 32 33 33 34 34 34 35 35 35 35 35 36 36 36 36 36 36 37 37 37 37 38 38 38 38 38 38 38 39 12 Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer 12.1 Sikkerhedskrav til informationsbehandlingssystemer 12.1.1 Analyse og specifikation af krav til sikkerhed 41 41 41
12.2 Korrekt informationsbehandling 12.2.1 Validering af inddata 12.2.2 Kontrol af den interne databehandling 12.5 Sikkerhed i udviklings- og hjælpeprocesser 12.5.1 Ændringsstyring 12.5.2 Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne 12.5.3 Begrænsinger i ændringer til standardsystemer 12.5.4 Lækage af informationer 12.5.5 Systemudvikling udført af en ekstern leverandør 12.6 Sårbarhedsstyring 12.6.1 Sårbarhedssikring 13 Styring af sikkerhedshændelser 13.1 Rapportering af sikkerhedshændelser og svagheder 13.1.1 Rapportering af sikkerhedshændelser 13.1.2 Rapportering af svagheder 13.2 Håndtering af sikkerhedsbrud og forbedringer 13.2.1 Ansvar og forretningsgange 13.2.2 At lære af sikkerhedsbrud 13.2.3 Indsamling af beviser 14 Beredskabsstyring 14.1 Beredskabsstyring og informationssikkerhed 14.1.1 Informationssikkerhed i beredskabsstyringen 14.1.2 Beredskab og risikovurdering 14.1.3 Udarbejdelse og implementering af beredskabsplaner 14.1.4 Rammerne for beredskabsplanlægningen 14.1.5 Afprøvning, vedligeholdelse og revurdering af beredskabsplaner 41 41 42 42 42 42 42 43 43 43 43 44 44 44 44 44 44 45 45 46 46 46 46 46 47 47 15 Overensstemmelse med lovbestemte og kontraktlige krav 15.1 Overenstemmelse med lovbestemte krav 15.1.1 Identifikation af relevante eksterne krav 15.1.2 Ophavsrettigheder 15.1.3 Sikring af virksomhedens kritiske data 48 48 48 48 48
15.1.4 Beskyttelse af personoplysninger 15.1.5 Beskyttelse mod misbrug af informationsbehandlingsfaciliteter 15.1.6 Lovgivning vedrørende kryptografi 15.2 Overensstemmelse med sikkerhedspolitik og -retningslinier 15.2.1 Overensstemmelse med virksomheden sikkerhedsretningslinier 15.2.2 Opfølgning på tekniske sikringsforanstaltninger 15.3 Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer 15.3.1 Sikkerhed i forbindelse med systemrevision 15.3.2 Beskyttelse af revisionsværktøjer 49 55 55 55 55 56 56 56 56
4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici Overordnet risikovurdering Der skal være udført en overordnet risikovurdering, der indeholder konsekvensvurdering og sårbarhedsvurdering. Risikovurderingen skal opdateres mindst en gang om året. 4.2 Risikohåndtering Håndtering af risici Risici der er vurderet som værende kritiske for forretningen, skal formelt håndteres. Side 2 af 56
5 Overordnede retningslinier 5.1 Informationssikkerhedsstrategi 5.1.1 Formulering af informationssikkerhedspolitik Definition på it-sikkerhed It-sikkerhed defineres som værende alle sikringsforanstaltninger, der har til formål at beskytte virksomhedens informationer, aktiver og data. Godkendelse af sikkerhedspolitik Sikkerhedspolitikken skal godkendes af direktionen. Offentliggørelse af sikkerhedspolitik Sikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere. Omfang af it-sikkerhedspolitik Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceduremæssige, regel- og lovmæssige kontroller. 5.1.2 Løbende vedligeholdelse Vedligeholdelse af sikkerhedspolitik Sikkerhedschefen har det overordnede ansvar for at oprette, vedligeholde og distribuere sikkerhedspolitikker, regler og procedurer. Revision af sikkerhedspolitik Der skal ske revision af sikkerhedspolitikken mindst en gang om året. Opfølgning på implementering af sikkerhedspolitikken Hver enkelt leder skal løbende sikre at sikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. Dispensation for krav i sikkerhedspolitikken Sikkerhedschefen kan give dispensation for krav i sikkerhedspolitikken. Side 3 af 56
6 Organisering af informationssikkerhed 6.1 Interne organisatoriske forhold 6.1.1 Ledelsens rolle Ledelsens rolle Ledelsen skal støtte virksomhedens informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar. 6.1.2 Koordinering af informationssikkerhed Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen bæres af den sikkerhedsansvarlige. Sikkerhedsorganisation Skanderborg Kommune s sikkerhedsorganisation følger den formelle organisation. Digitaliserings og IT udvalget har ansvaret for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med virksomhedens mål. 6.1.3 Ansvarsplacering Sikkerhedsansvar for informationsaktiver Kontraktholderne har ansvaret for at vedligeholde en liste over samtlige it-aktiver. Denne vedligeholdes via web-baseret adgange. Listen skal angive den sikkerhedsansvarlige ejer for hvert enkelt aktiv. 6.1.4 Godkendelsesprocedurer ved anskaffelser Anskaffelser It-afdelingen skal tilse, at kun kendt og sikkert udstyr eller software, med et defineret formål, anskaffes og sættes i drift. Udstyr og software må kun indkøbes fra leverandører som it-afdelingen vurderer som seriøse og som må forventes ikke at krænke tredjeparts ophavsret. Specifikation af sikkerhedskrav Sikkerhedskrav skal være dokumenteret i forbindelse med enhver it-system-nyanskaffelse eller itsystemopgradering. Dette gælder både for kundetilpassede- og standardsystemer. Side 4 af 56
Anskaffelsesprocedurer Anskaffelse af it-systemer og services skal være i overensstemmelse med it-sikkerhedspolitikken. Hvis det findes nødvendigt, skal der gennemføres risikoanalyse inden anskaffelse. Anskaffelse og installation af nyt informationsbehandlingsudstyr og -systemer skal godkendes af it-chefen. 6.1.6 Kontakt med myndigheder Kontakt med relevante myndigheder Ved brud på sikkerheden skal der være etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. 6.1.8 Periodisk opfølgning Uafhængig audit af informationssikkerheden Skanderborg Kommunes sikkerhedspolitik bliver auditeret i forbindelse med den årlige sikkerhedsrevision af en uafhængig revisionsvirksomhed. Audit skal omfatte: Informationssikkerhedspolitik It-sikkerhedsregler - og disses efterlevelse It-sikkerhedsprocedurer Audit skal gennemføres 1 gang om året. 6.2 Eksterne samarbejdspartnere 6.2.1 Identifikation af risici i forbindelse med eksternt samarbejde Outsourcing Ved outsourcing af it-systemer der kan indeholde fortrolige eller personhenførbare data skal der, inden indgåelse af kontrakt, indhentes information om outsourcing-partnerens sikkerhedsniveau, herunder dennes sikkerhedspolitik. Outsourcing-partnere Sikkerhedsniveauet hos alle outsourcing-partnere skal være acceptabelt. Alle outsourcing-partnere skal godkendes af sikkerhedschefen. Alle outsourcing-partnere skal bekræfte kendskab til organisationens sikkerhedspolitik. Ekstern revision af outsourcing-partnere Outsourcing-partnere skal sørge for ekstern revision mindst en gang om året. Side 5 af 56
Vurdering og godkendelse af outsourcingleverandør Informationssikkerhedschefen skal deltage i vurdering og godkendelse af outsourcingleverandører. Leverandøren skal kunne dokumentere sit sikkerhedsniveau eksempelvis i form af revisorerklæring, intern auditrapport eller it-revisionsrapport. Anskaffelse, udvikling og vedligeholdelse ved outsourcing Leverandøren skal have passende formelle procedurer baseret på best practices på området (change- og patch management-procedurer). Anvendelse af cloudløsninger Der skal gennemføres en risikovurdering, hvor de it-sikkerhedsmæsige trusler som er forbundet med cloudløsningen, vurderes, inden aftale indgås It-afdelingen er ansvarlig for, at der findes en opdateret fortegnelse over godkendte udbydere af cloudløsninger. 6.2.3 Samarbejdsaftaler Fortrolighedserklæring for tredjepart Det skal sikres, at tredjepart, der kan få adgang til virksomhedens data, er omfattet af en fortrolighedserklæring. Samarbejdsaftaler For at sikre, at virksomhedens sikkerhedsmålsætning ikke kompromitteres, skal ethvert formaliseret eksternt samarbejde være baseret på en samarbejdsaftale. Formalisering af samarbejde med outsourcingleverandør Der skal indgås en formel skriftlig kontrakt mellem parterne. Kontrakt mellem parterne skal blandt andet fastsætte krav til organisering og ansvar, servicemål, kontroller, overvågning, håndtering og rapportering af hændelser. Outsourcingleverandørens brug af underleverandører Outsourcingleverandøren må kun benytte underleverandører, som på forhånd er godkendt af virksomheden. Ophør af kontrakt med outsourcingleverandør Ved kontraktens ophør skal leverandøren returnere udstyr og informationer efter aftale. Evt. destruktion af udstyr og informationer skal ske efter aftale med virksomheden og i henhold til aktivets klassifikation. Outsourcingleverandørens håndtering af informationsaktiver Leverandøren skal følge virksomhedens regler for håndtering af informationer. Brugeradministration, outsourcingleverandør Leverandøren skal følge virksomhedens regler for brugerstyring. Netværkssikkerhed, outsourcingleverandør Leverandøren skal sikre en hensigtsmæssig opbygning af netværk, firewall, segmentering, kryptering mm. Side 6 af 56
Virksomheden kan beslutte, at der skal foretages periodiske test af netværk og firewall, fx. penetrationstest. Disse kan udføres af tredjepart. Personalesikkerhed hos outsourcingleverandøren Leverandøren må kun anvende personale, som er godkendt af virksomheden. Uddannelse i informationssikkerhed, outsourcingleverandør Leverandøren skal sikre, at eget personale har fået tilstrækkelig uddannelse i virksomhedens informationssikkerhedsregler, procedurer og instrukser. Outsourcingleverandørens behandling og videregivelse af informationer Leverandøren må ikke anvende eller videregive virksomhedens informationer til andre formål end de aftalte. Sikkerhedshændelser hos outsourcingleverandør Leverandøren skal underrette virksomhedens informationssikkerhedschef, hvis der sker en sikkerhedshændelse, f.eks. ved brud på fortrolighed, integritet eller tilgængelighed. Virksomheden gennemgår eventuelle sikkerhedshændelser sammen med leverandøren med faste intervaller, eksempelvis på aftalte kontraktmøder. Kontrakt om cloud-løsning Aftale med cloud-udbyder sker på grundlag af udbyderens standardkontrakt. Virksomheden skal sikre, at kontrakten som minimum tager højde for de lovgivningsmæssige krav, f.eks. vedr. personoplysninger. Ophør af aftale, cloudløsning Ved aftalens udløb skal virksomheden sikre, at cloud-udbyderen sletter eller tilbageleverer informationer på forsvarlig vis og i henhold til eventuel lovgivning og aktivets klassifikation. Misligholdelse, cloudløsning Virksomheden skal sikre, at servicen kan afbrydes i tilfælde af misligholdelse, ved brud på sikkerheden, eller hvis løsningen indebærer en uacceptabel risiko for virksomhedens informationer og netværk. Virksomheden skal have en "exit-strategi" på plads i tilfælde af misligholdelse. Beredskab, cloud-løsning Virksomheden skal have et internt beredskab, der sikrer fortsat drift i tilfælde af uventet afbrydelse af cloudservicen. Brugeradministration, cloudløsning Virksomheden er selv ansvarlig for brugeradministration i cloudløsninger. Side 7 af 56
7 Styring af informationsrelaterede aktiver 7.1 Identifikation af og ansvar for informationsrelaterede aktiver 7.1.1 Fortegnelse over informationsaktiver Administration af internet-domænenavne Der skal forefindes en liste over virksomhedens registrerede domænenavne. 7.1.2 Ejerskab Ansvar for internetforbindelser Det overordnede ansvar for internetforbindelserne ligger hos it-afdelingen. Sikkerhedsansvar for it-funktioner Alle kritiske it-funktioner, der kræver specialviden, færdighed eller erfaring, skal identificeres, og der skal udpeges en driftsansvarlig ejer. Sikkerhedsansvarlige systemejere for virksomhedskritiske systemer skal identificeres og gøres opmærksom på dette ansvar. Disse ejere skal have ansvar og beføjelser til at sikre tilstrækkelig beskyttelse. Ejerskab Alle informationsaktiver skal have udpeget en ejer. Ansvar for klassifikation Aktivets ejer har ansvaret for, at aktivet er klassificeret. Ansvar for adgangsrettigheder Aktivets ejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med virksomhedens generelle adgangspolitik. Ansvar for sikkerheden på it-platforme It-afdelingen er ansvarlig for sikkerheden på de anvendte platforme. Kontroller skal implementeres og defineres i samråd med systemejerne. Ejere af data på mobile enheder Brugere af virksomhedens bærbare pc er og andre mobile dataenheder er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv. Ejerskab Virksomheden betragter alle e-mails som virksomhedens ejendom. Side 8 af 56
7.1.3 Accepteret brug af aktiver Installation af programmer på arbejdsstationer Kun it-afdelingen må installere programmer på virksomhedens arbejdsstationer. Krav til indstillinger af internet-browser MS Internet Explorer og andre browsere opsættes jævnfør sikkerhedspolitikken. Brugerne kan ikke ændre denne opsætning. Afsendere og modtagere Messenger-kommunikation må anvendes med medarbejdere og samarbejdspartnere. Filudveksling Der må gerne udveksles filer og internet-links via messenger-programmer, forudsat at brugeren sikrer, at virusscanning udføres henholdsvis før åbning eller afsendelse. Autentificering Brugere skal være opmærksomme på at de, via messenger-programmer, kan udsættes for "social engineering". Med "social engineering" menes andre personers forsøg på at udnytte brugerens hjælpsomhed til at få informationer. Forbindelse til fremmede trådløse netværk Brugere må forbinde deres mobile udstyr til fremmede trådløse netværk. Installation af trådløst udstyr Medarbejdere må ikke installere udstyr, der giver trådløs netadgang. Medarbejdere må installere og bruge udstyr, forudsat at it-afdelingen har godkendt det. Sagsbehandling og journalisering af e-mail Modtaget og afsendt e-mail skal journaliseres og behandles efter samme principper som gælder for almindelig brevpost og fax. Vedhæftede filer It-afdelingen skal blokere for filtyper som it-afdelingen vurderer farlige eller uhensigtsmæssige. Medarbejderes private brug af e-mail Medarbejderne må anvende mailsystemerne til personligt brug i begrænset omfang, hvis dette ikke har indflydelse på virksomhedens drift og sikkerhed i øvrigt. Al mailtrafik betragtes som virksomhedens ejendom. Virksomheden forbeholder sig ret til at skaffe sig adgang til data og e-mail for medarbejdere, hvis dette sker af drifts- eller sikkerhedshensyn. Virksomheden vil så vidt muligt forsøge at undgå at åbne eventuel privat e-mailkorrespondance. Phishing og bedrageri Brugere skal være opmærksomme på "phishing" og "social engineering", der f.eks. kan betyde, at de modtager tilsyneladende oprigtige e-mails, der forsøger at franarre personlige eller fortrolige oplysninger eller forsøger at få brugeren til at foretage uønskede handlinger. Side 9 af 56
Adgang til surfing på internettet Netværket må bruges til internet-browsing i forbindelse med arbejdsrelaterede opgaver. Medarbejderes private brug af internetadgang Virksomhedens internetadgang må også anvendes til private formål, såfremt sikkerhedspolitikken i øvrigt overholdes, og såfremt arbejdsrelateret brug ikke generes på nogen måde. Sikkerhedsindstillinger i web-browser Der må kun anvendes godkendte webbrowsere. Brugerne må ikke forsøge at omgå eller bryde sikringsforanstaltningerne. Terminalsessioner til fjernstyring Godkendt personale må tilgå visse virksomhedssystemer over internet eller gennem dial-up-forbindelser, hvis disse sikres på forsvarlig vis. Adgang skal tillades af den sikkerhedsansvarlige i samråd med systemejerne. Afvikling af programmer i forbindelse med internetsurfing Det er tilladt at afvikle browserbaserede programmer, f.eks. netbank-programmer, forudsat at sikkerhedspolitikken i øvrigt overholdes. Streaming via internet Det er ikke tilladt at anvende virksomhedens netværk til tung og vedvarende trafik, som eksempelvis radio- og tv-tjenester eller film, medmindre det er fagligt relevant. Download af programmer fra internettet Det er ikke tilladt at hente programmer fra internettet. Internetbaserede tjenester Der må kun anvendes godkendte internetservices. Download af filer fra internettet Hentning af filer fra Internettet skal ske med største forsigtighed og må ikke ske uden et arbejdsmæssigt legitimt behov. Love og regler om ophavsrettigheder og distribuering skal til enhver tid overholdes. Accepteret brug af informationsaktiver It-sikkerhedsafdelingen skal lave retningslinier for accepteret brug af alle virksomhedens informationsaktiver. Anvendelse af sociale netværk Sociale netværk må gerne anvendes fra virksomhedens it-systemer, når anvendelsen har et forretningsmæssigt formål. Blokering af sociale netværk It-afdelingen skal blokere brugernes adgang til forbudte sociale netværk. Brugere af sociale netværk skal være specielt opmærksomme på at: De sociale netværk, som du bruger, kan registrere og gemme oplysninger om dig og hvilke informationer du søger og bruger. Side 10 af 56
Informationer som du har lagt ud på et socialt netværk, kan kun meget vanskeligt, måske aldrig, trækkes tilbage Du vil med stor sandsynlighed opleve at nogen forsøger at franarre dig dine bruger-id er og/eller dine adgangskoder (phishing). Download af filer som du modtager via et socialt netværk er underlagt de samme regler som øvrige downloads Betalingskort-oplysninger må aldrig deles på sociale netværk Persondata må aldrig deles på sociale netværk Omfang af brug af sociale netværk Din brug af sociale netværk må ikke genere almindelig drift og brug af virksomhedens it-systemer. Du har selv et arbejdsmæssigt ansvar for at kontrollere dit tidsforbrug på sociale netværk. Sociale netværk med forretningsforbindelser Du må gerne "connecte" eller "være ven" med samarbejdspartnere og kunder på sociale netværk, forudsat at sikkerhedspolitikken i øvrigt overholdes. Virksomhedens informationer på sociale netværk Bortset fra offentlige eller uklassificerede informationer, må virksomhedens informationer aldrig deles på et socialt netværk. Brug af 3.-parts applikationer på sociale netværk Du må ikke anvende 3.-parts-applikationer på virksomhedens it-systemer. Overvågning af sociale netværk Virksomhedens sikkerhedskopier kan indeholde data om din brug af it generelt, herunder din brug af sociale netværk. Som led i den almindelige netværksovervågning bliver netværkstrafik til sociale netværk også overvåget. Ansvar og ejerskab for privat udstyr Medarbejderen forpligter sig til at overholde de samme regler, som gælder for øvrig brug af virksomhedens udstyr. Medarbejderen skal underskrive særskilt erklæring om, at virksomheden må slette (Wipe) data på privat udstyr, der anvendes til opbevaring af virksomhedens informationer. Virksomheden er ikke erstatningspligtig for tyveri, bortkomst, skade eller tab af personlige informationer for privat udstyr. 7.2 Systemejerskab Systemejeren skal sikre, at systemets funktionalitet og anvendelse løbende tilpasses og bedst muligt understøtter It-sikkerhedskravene samt forretningens og brugernes behov. 7.2.1 Aftale om drift og support Systemejer skal som forretningsansvarlig sikre, at der bliver indgået relevante og passende aftaler omkring teknisk drift og support for IT systemet. I særlige tilfælde kan aftalen indgås af systemejer, såfremt dette vil være mere hensigtsmæssigt i forhold til organisation og økonomi. I sådanne tilfælde deltager IT afdelingen som Side 11 af 56
rådgiver ved kontraktindgåelse og - opfølgning, således der sikres en fordelagtig driftsøkonomi. I forbindelse med anskaffelsen af systemet skal der foreligge en kortfattet risikoanalyse. 7.2.2 Funktionalitet og opbygning Systemejerskabet skal varetages ud fra kommunens forretningsmæssige behov. Systemejeren er ansvarlig for it-systemets funktionalitet, opbygning, anvendelse og sikkerhedsløsning. Der kan indgås aftale mellem fagområderne og leverandøren/it afdelingen som beskriver niveauet for service. Ændringer i systemer som har snitflader til andre it-systemer/deling af it ressourcer, skal ske efter IT afdelingens "change" procedure. 7.2.3 Understøttelse af arbejdsgange Systemejer er ansvarlig for, at it-systemet kan anvendes mest muligt effektivt og at systemet løbende forbedres, så det bedst muligt understøtter arbejdsopgaverne og kommunens forretningsmæssige behov og lever op til kravene i IT Standarden. Der skal etableres processer, der sikre en stabil, effektiv og sikker drift af systemet 7.2.4 Dokumentation Systemejer er ansvarlig for, at dokumentationen af systemer og processer er ajourført og tilgængelig for relevante medarbejdere. Endvidere har systemejer ansvar for, at der indgås aftale om it-beredskab efter kriterier og retningslinjer fastlagt i it-standarden, og systemejeren skal endvidere bidrage til kommunens itberedskabsplan. 7.2.5 Eksterne samarbejdspartnere Ved brug af eksterne samarbejdspartnere/leverandører er systemejer ansvarlig for, at der indgås en databehandler-/it-sikkerhedsaftale, hvor sikkerhedsforanstaltninger i forbindelse med samarbejdet/leverancerne er beskrevet. Nye aftaler baseres på den standard, der er fastlagt i it-sikkerhedshåndbogen. 7.2.6 Logning Systemejeren skal sikre, at it-systemet kan logge behandling af data, når det er krævet i de uddybende Itsikkerhedsregler og som følge af gældende lovgivning. 7.2.7 Vurdering af integrationer Hvis integration af it-systemer indebærer en øget it-sikkerhedsrisiko, skal denne risiko vurderes nærmere af systemejeren med inddragelse af IT sikkerhedsfunktionen, typisk IT-Chefen. Side 12 af 56
7.2.8 Rådighed for revision Systemejer står til rådighed for kommunen med oplysninger om it-systemet så vidt som dette er sikkerhedsmæssigt forsvarligt, f.eks. i forbindelse med revision. 7.2.9 Udpegning af systemejer For systemer der anvendes på tværs af kommunen udpeges systemejeren af Digitaliserings og IT udvalget. Systemejer kan uddelegere varetagelsen af de opgaver, der følger af systemejeransvaret. Selve ansvaret kan dog ikke uddelegeres. Hvis der endnu ikke er udpeget en systemejer, varetages systemejerskabet af lederen af det område, som anskaffer systemet eller af en af denne udpeget projekt-ejer, hvis ansvaret for et systemet er overdraget til en anden leder er det denne som varetager systemejers opgaver. For mindre vigtige systemer, som ikke indeholder væsentlige økonomioplysninger eller følsomme personoplysninger består systemejers rolle i at være system-kontaktperson. 7.2.10 Økonomi Der skal laves en økonomimodel for centralt/decentralt bidrag/finansieringsandel, hvor vedligeholdelse og drift er en naturlig del. IT afdelingen skal også vurdere om det har nogen større ressourcemæssig påvirkning og heraf afledt økonomisk konsekvens. 7.3 Klassifikation af informationer og data 7.3.1 Klassifikation Informationer og data skal klassificeres som følger: Offentligt: Materiale, der frit må udleveres til offentligheden. Internt brug: Materiale, der er tilgængeligt for alle internt i organisationen. Personhenførbart: Data er relateret til et individ, f.eks. en kunde, en borger, en patient eller en medarbejder. Fortroligt: Materiale, der er tilgængeligt for en begrænset gruppe personer. 7.3.2 Mærkning og håndtering af informationer og data Fortrolige informationer i offentlige rum Der skal udvises forsigtighed ved omtale af fortrolige informationer i offentlige rum. Fortrolige informationer må ikke efterlades uden opsyn i offentligt tilgængelige rum. Side 13 af 56
Klassifikationsmærkning Informationsbærende medier skal markeres tydeligt med klassifikation. Udskrifter skal helst markeres på hver side. Filer skal have en elektronisk label. Kontrol med klassificerede informationer Sikkerhedschefen er ansvarlig for at definere et fast sæt af egnede og relevante sikkerhedskontroller til beskyttelse af de enkelte informationskategorier. Hvis der er tale om virksomhedskritiske informationer, skal der udarbejdes yderligere detaljerede kontroller ud fra en risikovurdering. Side 14 af 56
8 Medarbejdersikkerhed Sikkerhedsuddannelse for it-medarbejdere Alle it-medarbejdere skal uddannes i sikkerhedsaspekterne af deres job, for bl.a. at mindske risiko for hændelser i forbindelse med privilegeret adgang. Uddannelse i sikkerhedspolitikken Alle it-brugere modtager løbende instruktioner i overholdelse af virksomhedens informationssikkerhedspolitik. Alle medarbejdere skal læse virksomhedens informationssikkerhedspolitik. Side 15 af 56
9 Fysisk sikkerhed 9.1 Sikre områder 9.1.1 Fysisk afgrænsning Aflåsning af lokaler og bygninger Alle døre og vinduer med adgang til/fra bygningerne skal lukkes og låses ved arbejdstids ophør. Døre til sikrede lokationer i bygningerne skal ligeledes aflåses. Sidste medarbejder der forlader et område er ansvarlig for sikring af dette Distribueret it-udstyr Alle krydsfelter, afdelings-serverrum og lignende faciliteter med delt it-udstyr skal aflåses for at hindre uautoriseret adgang til disse. 9.1.2 Fysisk adgangskontrol Adgang til serverrum og hovedkrydsfelter Adgang til serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse eller ved overvåget adgang af medarbejdere fra it-afdelingen. Adgang for serviceleverandører Serviceleverandører må kun få adgang til sikre områder, når dette er påkrævet. Adgang til maskinstuer og it-klargøringsrum Adgangen skal beskyttes med kodelås, og koden må kun kendes af sikkerhedsgodkendte medarbejdere. It-chefen er ansvarlig for godkendelse af personale med adgang til sikre områder. Adgangskort Adgangskontrolkort er personlige. De skal opbevares forsvarligt og må ikke overdrages til tredjepart. Adgangskort til håndværkere og andet midlertidigt personale Håndværkere, reparatører, teknikere og andre gæster, der får udleveret midlertidige adgangskort, skal bære disse synligt. Brug af personlige adgangskort Alle medarbejdere skal bære synligt identifikationskort, når de er i virksomheden. ID-kortene er personlige og må ikke overdrages til tredjepart. Gæster skal aflevere deres ID-kort når de forlader virksomheden. Side 16 af 56
Koder på kodelås skal ændres: - hvis en medarbejder, der kender koden, forlader firmaet. 9.1.3 Sikring af kontorer, lokaler og udstyr Sikring af kontorer, lokaler og udstyr Kontorer og andre lokaler, hvor der opbevares systemer med følsom data, skal kunne låses. Der skal desuden benyttes et adgangskontrolsystem til styring af adgangen til lokalerne. 9.1.4 Beskyttelse mod eksterne trusler Brandsikring It-afdelingen har ansvaret for, at der benyttes branddøre, der kan lukke automatisk og er forsynet med alarm til sikre områder. Serverrum må ikke benyttes som lager for brændbare materialer. Serverrum skal sikres med veldimensioneret brandslukningsudstyr. Farlige eller brandfarlige materialer skal lagres i sikker afstand fra sikre områder. Passende brandsikringsudstyr skal forefindes og være korrekt placeret. 9.1.5 Arbejdsmæssige forhold i sikre områder Kameraer Kameraer, f.eks. i mobiltelefoner og håndholdte computere, må ikke anvendes på virksomhedens område. Overvågning i sikre områder It-afdelingen skal sikre at arbejde i sikre områder så vidt muligt overvåges. Ubenyttede lokaler i sikre områder It-afdelingen har ansvaret for, at ubenyttede lokaler i sikre områder er aflåst og inspiceres jævnligt. 9.2 Beskyttelse af udstyr Side 17 af 56
9.2.1 Placering af udstyr Miljømæssig sikring af serverrum Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger. Tyverimærkning af it-udstyr Alt mobilt udstyr skal være tydeligt mærket for at minimere risikoen for tyveri. Køling Lokaler med væsentlige mængder af it-udstyr skal sikres med aircondition. Lokaler med virksomhedskritisk itudstyr skal sikres med redundant aircondition. Placering af udstyr It-afdelingen skal begrænse fysisk adgang til gateways og trådløse adgangspunkter. Udstyr skal placeres eller beskyttes, så risikoen for skader og uautoriseret adgang minimeres. Spisning og rygning i nærheden af udstyr Der må ikke ryges i serverrum. Der må ikke spises og drikkes i serverrum. 9.2.2 Forsyningssikkerhed Nødstrømsanlæg Alle ikke-redundante forretningskritiske systemer skal beskyttes med nødstrømsanlæg med kapacitet til mindst 30 minutters uafbrudt drift. Forsyningssikkerhed It-chefen har ansvaret for, at forsyninger som elektricitet og ventilation har den fornødne kapacitet, og løbende inspiceres for at forebygge uheld, der kan have indflydelse på informationsaktiverne. Data-og telekommunikationsforbindelser skal etableres via minimum to adgangsveje for forretningskritiske systemer. 9.2.3 Sikring af kabler Aflåsning af hovedkrydsfelter og lignende teknikrum Alle krydsfelter og andre teknikrum skal være aflåste. Sikring af kabler Dokumentation skal opdateres, når den faste kabelføring ændres. Kabler til datakommunikation skal beskyttes mod uautoriserede indgreb og skader. Faste kabler og udstyr skal mærkes klart og entydigt. Side 18 af 56
Fysisk sikring af netværk Der skal etableres alternative kommunikationsveje. It-afdelingen skal regelmæssigt kontrollere, om uautoriseret udstyr er blevet tilkoblet. Krydsfelter og kabeltermineringer skal være placeret så fysisk adgang begrænses. Krydsfelter og kabeltermineringer skal være aflåste. 9.2.4 Udstyrs og anlægs vedligeholdelse Vedligeholdelse af udstyr og anlæg It-afdelingen er ansvarlig for, at der føres log over alle fejl og mangler samt reparationer og forbyggende vedligeholdelse. Kun godkendte personer må udføre reparationer og vedligeholdelse. It-afdelingen skal vedligeholde udstyr efter leverandørens anvisninger. Kritiske/følsomme informationer skal slettes fra udstyr, der repareres eller vedligeholdes uden for virksomheden. Sikkerhedsopdateringer til netværksudstyr It-afdelingen skal dagligt sørge for, at alle benyttede trådløse adgangspunkter og software til disse er opdateret med de seneste sikkerhedsrettelser. Udrulning/installation skal foretages senest 30 dage efter udgivelsen af sikkerhedsrettelsen. 9.2.5 Sikring af udstyr uden for virksomhedens overvågning Brug af mobile enheder Bærbart udstyr skal medbringes som håndbagage under rejser. Opsyn med mobile enheder Adgang til data på bærbare pc er skal beskyttes med en login-adgangskode. Udstyr med klassificerede informationer skal anvende harddisk-kryptering. Mobile enheder skal altid låses inde, når disse ikke er i brug. Mobile enheder må ikke efterlades uden opsyn i uaflåste rum. Hvor det er muligt skal der anvendes hardware/bios-adgangskode for at sikre uautoriseret opstart af udstyret. Derudover skal der anvendes en stærk administrativ adgangskode, og systemet skal være konfigureret til ikke at kunne starte fra usikre flytbare medier som disketter, CD, USB-nøgler og lignende. Opstartsbeskyttelse kan ikke fravælges i forbindelse med beskyttelse af følsomme informationer på mobilt udstyr. Sikring af hjemmearbejdspladser Hjemmearbejdspladser og deres kommunikationsforbindelser skal beskyttes i forhold til de informationer og forretningssystemer, de benyttes til. Forsikringsdækning for mobile enheder Forsikringsdækningen ved opbevaring og anvendelse af udstyr uden for virksomheden skal afklares. Side 19 af 56
Hardwarebaserede adgangskoder Der skal benyttes adgangskode for at sikre systemer mod tyveri. Som minimum skal det sikres, at systemet ikke kan startes, medmindre adgangskoden indtastes. Hardware-adgangskode må kun benyttes på bærbare computere. 9.2.6 Sikker bortskaffelse eller genbrug af udstyr Bortskaffelse eller genbrug af udstyr Når udstyr bortskaffes eller genbruges, skal kritiske/følsomme informationer og licensbelagte systemer fjernes eller overskrives. 9.2.7 Fjernelse af virksomhedens informationsaktiver Fjernelse af udstyr fra virksomheden Udstyr må kun fjernes fra virksomheden, hvis der foreligger en underskrevet kvittering på det udleverede. Udstyr, der indeholder fortrolige data, må kun fjernes efter behørig godkendelse fra pågældende dataejer. Side 20 af 56
10 Styring af netværk og drift 10.2 Ekstern serviceleverandør 10.2.1 Serviceleverancen Information til eksterne partnere Relevante interessenter skal informeres om krav til efterlevelse af sikkerhedspolitikkerne i virksomheden. Fysisk sikkerhed, outsourcingleverandør Leverandøren skal sikre, at der er etableret passende fysiske adgangskontroller således at virksomhedens systemer og aktiver beskyttes i henhold til den fastsatte klassifikation. Beredskab hos outsourcingleverandøren Leverandøren skal etablere et beredskab, som håndterer virksomhedens it-drift i tilfælde af driftsforstyrrelser og katastrofer. Leverandøren indgår i virksomhedens beredskabsorganisation. 10.2.2 Overvågning og revision and serviceleverandøren Overvågning af serviceleverandøren It-afdelingen skal regelmæssigt overvåge serviceleverandørerne, gennemgå de aftalte rapporter og logninger for at sikre, at aftalen overholdes, og at sikkerhedshændelser og -problemer håndteres på betryggende vis. Overvågning og audit af outsourcingleverandør Leverandøren skal levere rapportering for, i hvilken grad aftalte servicemål er opfyldt. Rapportering for opfyldelse af servicemål behandles på kontraktmøder. Virksomheden kan foretage audit af leverandøren, alternativt kan intern auditrapport, it-revisionsrapport, årlig risikovurdering eller it-outsourcing-erklæring indgå i overvågningen. Virksomhedens overvågning og audit skal fastslå, om leverandøren har passende organisering og ansvarsfordeling, og om de eksisterende kontroller følges og er tilstrækkelige Overvågning og audit, cloudløsning Udbyderen skal kunne dokumentere et passende sikkerhedsniveau, eksempelvis revisorerklæring, intern audit, ISO-certificering i 27xxx eller tilsvarende. Udbyderen skal kunne levere rapportering for, i hvilken grad aftalte servicemål er opfyldt. Virksomhedens overvågning skal fastslå, om udbyderen har en passende styring og organisering af sikkerheden og om eksisterende kontroller følges. Side 21 af 56
10.2.3 Styring af ændringer hos ekstern serviceleverandør Styring af ændringer hos serviceleverandøren It-afdelingen skal sikre, at ændringsstyring af serviceleverandørens ydelser følger samme retningslinier som virksomhedens egne. 10.3 Styring af driftsmiljøet 10.3.1 Kapacitetsstyring Kapacitetsplanlægning It-systemernes dimensionering skal afpasses efter kapacitetskrav. Belastning skal overvåges således, at opgradering og tilpasning kan finde sted løbende. Dette gælder især for virksomhedskritiske systemer. Driftsafdelingen skal have procedurer, der minimerer risikoen for driftsstop som følge af manglende kapacitet. Kapacitetsovervågning Alle serversystemer skal løbende overvåges for tilstrækkelig kapacitet for at sikre pålidelig drift og tilgængelighed. Alle serversystemer skal overvåges døgnet rundt for tilstrækkelig kapacitet for at sikre pålidelig drift og tilgængelighed. Større afvigelser fra normal-kapacitet skal registreres og håndteres som en hændelse. 10.3.2 Godkendelse af nye eller ændrede systemer Sikring af serversystemer Alle servere skal hærdes gennem deaktivering af unødvendige og usikre services og protokoller. Alle systemkomponenter skal hærdes gennem deaktivering eller fjernelse af unødvendige funktioner (f.eks. scripts, drivere, underliggende filsystemer og webservere). Alle sikkerhedsparametre i samtlige serversystemer skal konfigureres optimalt for at forhindre misbrug. Alle servere skal sikres inden ibrugtagning. Servere skal sikres og testes inden implementering i produktionsmiljøet jvf. kravspec. og designspec. Inden ibrugtagning af serversystemer skal der foreligge sikkerhedsgodkendt designspecifikation og godkendt systemtest. Godkendelse af nye eller ændrede systemer It-afdelingen skal etablere en godkendelsesprocedure for nye systemer, for nye versioner og for opdateringer af eksisterende systemer samt de afprøvninger, der skal foretages, inden de kan godkendes og sættes i drift. Godkendelsesproceduren skal sikre, at standardværdier, eksempelvis standard administrator-logins og andre Side 22 af 56
"fabriksindstillinger", bliver ændret, før et system installeres på netværket. 10.4 Skadevoldende programmer og mobil kode 10.4.1 Beskyttelse mod skadevoldende programmer Kontrol af antivirus på arbejdsstationer Medarbejdere kan antage, at antivirus fungerer. Det er alene it-afdelingens ansvar at kontrollere korrekt funktion. Antivirus-produkter på servere Der skal være installeret antivirus-beskyttelse på alle systemer, hvor dette er muligt. Spyware It-afdelingen skal sikre, at der regelmæssigt scannes for spyware på alle arbejdsstationer. Installation af spyware søges undgået gennem begrænsningerne i muligheder for softwareinstallation. Installation af spyware søges undgået gennem patch-management-processer. Adware It-afdelingen skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer. Adware-beskyttelse baseres på medarbejder-awareness, sikkerhedsindstillinger i internetbrowser, begrænsninger i brugeres muligheder for softwareinstallation samt brug af adware-scannere. Beskyttelse mod uønsket software Godkendt antivirus-software skal anvendes, hvor dette er muligt. Rapportering af virusangreb Hvis der observeres virus eller mistanke om virus, skal det omgående rapporteres til HelpDesk. Styring af antivirus It-afdelingen skal kunne styre antivirus på alle systemer centralt. Med styring menes overvågning af, om alle antivirus-programmer er aktivt kørende, tvungen opdatering, scanning, oprydning og generering af opfølgningslog. 10.4.2 Beskyttelse mod mobil kode Antivirus-produkter på arbejdsstationer It-driftsafdelingen skal sikre, at der er installeret aktive antivirus-produkter på samtlige computere i virksomheden, og at disse opdateres højst et døgn efter leverandørens opdateringer. Der skal etableres foranstaltninger til at sikre mod vira, orme, trojanske heste mv. Dette indebærer, at der skal indføres procedurer for personalet til at håndtere disse. Beskyttelse mod mobilkode Anvendelse af mobil kode skal begrænses til et afgrænset driftsmiljø. Side 23 af 56
10.5 Sikkerhedskopiering 10.5.1 Sikkerhedskopiering Overvågning af procedurer for sikkerhedskopiering Muligheden for at retablere data fra backup-systemer skal regelmæssigt aftestes i et testmiljø. Endvidere skal retablering testes efter system- eller proces-ændringer, der kan påvirke backup-rutiner. Opbevaring af sikkerhedskopier på ekstern lokation Den fysiske sikkerhed på den eksterne opbevarings-lokalitet skal sikres gennem besigtigelse mindst en gang årligt. Reserveanlæg og -udstyr samt datamedier med sikkerhedskopier skal opbevares i sikker afstand for at undgå skadevirkninger fra et uheld på det primære anlæg. Sikkerhedskopiering af data på serversystemer It-afdelingen er ansvarlig for sikker lagring og backup af data på serverudstyr. Nødplaner for sikkerhedskopiering Alle forretningskritiske systemer skal have en nødplan for sikkerhedskopiering, således at risikoen for tab af data minimeres. Sikkerhedskopiering af data på andre systemer Såfremt forretningskritiske data ikke opbevares på serversystemer, er dataejer ansvarlig for etablering af relevant sikkerhedskopiering. 10.6 Netværkssikkerhed 10.6.1 Netværket Firewall-funktioner på servere Alle servere skal benytte firewalls til at sikre, at der kun gives adgang til nødvendige services. Adgang til aktive netværksstik Netværksadgang skal kontrolleres og styres af it-afdelingen. Kun nødvendige adgange må være aktive i infrastrukturen. Alle øvrige skal være lukket ned. It-afdelingen skal sikre, at der ikke er ubenyttede aktive netværksstik i offentligt tilgængelige rum som reception, kantine og lignende. Brug af trådløse lokalnetværk Sikkerhedssystemerne WPA eller WPA2 skal anvendes i alt trådløst netværksudstyr, som understøtter denne Side 24 af 56
teknologi. Trådløse netværk betragtes som usikre, ubeskyttede netværk. Placering af trådløse netværk Trådløst udstyr må kun forbindes til den eksisterende infrastruktur. Tilslutning af udstyr til netværk Medarbejdere må koble godkendt udstyr på det interne netværk uden yderligere aftale. Indkommende netværksforbindelser Der må ikke være mulighed for at etablere forbindelser direkte fra internettet til interne systemer. IT chefen skal godkende enhver form for indkommende netværksforbindelse fra internet til interne netværk. Der tillades kun etablering af forbindelser fra internet til sikkerhedsgodkendte servere, eksempelvis e-mail- og web-servere. Forbindelser fra internettet til den demilitariserede netværkszone (DMZ) må kun oprettes til specifikke IPadresser. Det må ikke være muligt at etablere forbindelser fra internettet til den demilitariserede netværkszone (DMZ) ved anvendelse af interne ip-adresser. Adgang til trådløse netværk Brugere skal autentificeres, før der gives adgang til virksomhedens trådløse netværk. F.eks. ved hjælp af IEEE 802.1x. Gæsters brug af virksomhedens trådløse netværk Netværket kan og må kun anvendes til internetadgang, og ikke til direkte adgang til interne systemer. Adgang til trådløse netværk for gæster Gæster, hvis identitet er kendt, må få udleveret adgangskode til gæstenettet. Gæster, hvis identitet er kendt, må tilslutte eget udstyr til gæstenettet, forudsat at udstyret ikke generer andre systemer. Sikring af netværk It-afdelingen har det overordnede ansvar for at beskytte virksomhedens netværk. Netværksdokumentation Netværksdiagrammet skal omfatte samtlige trådløse netværk. Netværksdokumentationen skal indeholde en beskrivelse af samtlige netværksporte og services, som er nødvendige for driften. Netværksdiagrammet skal omfatte samtlige netværksforbindelser. It-afdelingen skal vedligeholde et opdateret netværksdiagram. Side 25 af 56
10.6.2 Netværkstjenester Netværksleverandøren skal kunne levere: De nødvendige teknologiske muligheder for autentifikation, kryptering og overvågning. De nødvendige tekniske opsætninger til at sikre opkoblinger i overensstemmelse med samarbejdsaftalen. Adgangskontrol, der sikrer mod uvedkommendes adgang. 10.7 Databærende medier 10.7.1 Bærbare datamedier Opbevaring og registrering af datamedier Systemejer skal sikre, at medierne eller informationerne på mediet klassificeres, og at brugere er instrueret i at opbevare mediet i henhold til regler for klassifikationen. It-afdelingen skal registrere alle datamedier, som ikke fysisk befinder sig i allerede registreret udstyr. Adgang til bærbare computere Bærbare computere er beskyttes med adgangskode. Adgang til data på bærbare pc er skal beskyttes med adgangskode.. 10.7.2 Destruktion af datamedier Bortskaffelse og genbrug af medier Papirmateriale skal makuleres, når det ikke længere skal benyttes. Alle datamedier, f.eks. harddiske, disketter, cd er, dvd er, bånd og hukommelsesenheder skal sikkerhedsslettes eller destrueres inden bortskaffelse. Beholdere med papirmateriale til destruktion skal holdes aflåste. Hvis en ekstern leverandør benyttes til destruktion af virksomhedens datamedier, skal det sikres at leverandøren efterlever de aftalte sikkerhedskrav. Sletning skal foregå i overensstemmelse med proceduren for sikkerhedssletning. Opbevaring og bortskaffelse af data Data må kun opbevares i det tidsrum, som er nødvendigt. Side 26 af 56
10.7.3 Beskyttelse af datamediers indhold Udskrivning Printkøer og lignende med følsomt indhold skal sikres mod uautoriseret adgang. Brugerne skal sikre, at følsomme udskrifter indsamles så hurtigt som muligt. Printere, som benyttes til udskrivning af fortrolige eller personhenførbare informationer skal placeres i lokaler, der ikke er offentligt tilgængelige. Beskyttelse af følsomme og fortrolige data på datamedier It-afdelingen skal etablere procedurer, der sikrer datamediers indhold mod uautoriseret adgang og misbrug af mediernes indhold. Elektroniske dokumenter Elektroniske kopier af dokumenter, f.eks. indscannede dokumenter og faxer, med fortrolige eller personhenførbare oplysninger må kun behandles på virksomhedens it-udstyr. Sikring af arbejdsstationer inden ibrugtagning Alle arbejdsstationer skal sikres inden brug. Minimum sikring inkluderer installation af seneste sikkerhedsrettelser for operativsystemet og antivirus-program. Alle personlige computere, arbejdsstationer og lignende skal sikres af it-afdelingen inden brug. Brugerne må ikke omgå denne sikring 10.7.4 Beskyttelse af systemdokumentation Lagring og adgangsrettigheder til systemdokumentation Systemdokumentation opbevares i mindst 5 år. Beskyttelse af systemdokumentation It-afdelingen skal opbevare systemdokumentation passende sikkert. Adgangsrettigheder til systemdokumentation skal holdes på et minimum og godkendes af systemejer. 10.8 Informationsudveksling 10.8.1 Informationsudvekslingsretningslinier og -procedurer Udlevering af fortrolige informationer og oplysninger Fortrolig information må ikke videregives til tredjepart i nogen form, uden godkendelse af dette fra informationsejeren. Dette gælder især for følsom information, samt personhenførbare oplysninger givet til organisationen. Personhenførbare og fortrolige oplysninger må kun udleveres til bemyndigede personer. Side 27 af 56