Retningslinier for adgangsstyring til Banedanmarks informationsaktiver.



Relaterede dokumenter
Informationssikkerhed

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Informationssikkerhed Version

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik

Informationssikkerhedspolitik. Frederiksberg Kommune

Fællesregional Informationssikkerhedspolitik

Overordnet organisering af personoplysninger

Databeskyttelsespolitik for DSI Midgård

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Overordnet organisering af personoplysninger

IT-sikkerhedspolitik for

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 7 Informationssikkerhed

Informationssikkerhedspolitik for <organisation>

SOPHIAGÅRD ELMEHØJEN

Informationssikkerhedspolitik. for Aalborg Kommune

Informationssikkerhedspolitik For Aalborg Kommune

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

DATABESKYTTELSESPOLITIK

Faxe Kommune. informationssikkerhedspolitik

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf Sagsnr: Doknr: april 2009

Databeskyttelsespolitik

Overordnet It-sikkerhedspolitik

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Informationssikkerhedspolitik

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

1 Informationssikkerhedspolitik

Politik <dato> <J.nr.>

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Region Hovedstadens Ramme for Informationssikkerhed

MedComs informationssikkerhedspolitik. Version 2.2

Procedure for tilsyn af databehandleraftale

PSYKIATRIFONDENS Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik

Hovmosegaard - Skovmosen

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

IT-sikkerhedspolitik for Lyngby Tandplejecenter

Overordnet Informationssikkerhedspolitik

Tro og love erklæring er personlig, og skal underskrives af den pågældende bestiller ved indgåelse af Firmaaftalen.

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

IT-SIKKERHEDSPOLITIK UDKAST

Til Økonomiudvalget 25. februar Sagsnr Bilag 5: Uddybende konklusioner på tilsyn med informationssikkerheden 2018

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

ADGANGSSTYRING TIL ODIN

It-revision af Sundhedsdatanettet januar 2016

Informationssikkerhedspolitik for Odder Gymnasium

Bilag 1 Databehandlerinstruks

Fællesregional Informationssikkerhedspolitik

Region Nordjylland Informationssikkerhedspolitik November Informationssikkerhedspolitik. Side 1

Samarbejde om arbejdsmiljø på midlertidige eller skiftende arbejdssteder på bygge- og anlægsområdet

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Bekendtgørelse om fritagelse af fysiske personer fra tilslutning til Offentlig Digital Post m.v.

Beskatning af fri telefon den systemmæssige understøttelse

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Vejledning til rapport om udbud af spil 1/5

Procedure for ansættelse af nye medarbejdere

It-sikkerhedspolitik for Farsø Varmeværk

Persondataloven hvad er nyt?

Assens Kommune Sikkerhedspolitik for it, data og information

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Greve Kommune. Revision af generelle it-kontroller 2011

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Politik for informationssikkerheddatabeskyttelse

GDPR Persondatapolitik Tage E. Nielsen A/S

1. Ledelsens udtalelse

Notat til Statsrevisorerne om beretning om statens behandling af fortrolige oplysninger om personer og virksomheder. Februar 2015

Greve Kommune. It-sikkerhedspolitik. Center for Byråd & Økonomi 2013

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

OVERORDNET IT-SIKKERHEDSPOLITIK

IndFak Kontrakt manual

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

1. Introduktion til SoA Indhold og krav til SoA 4

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010

Andelsvandværket Helle Vest A.M.B.A. Andelsvandværket Helle Vest A.M.B.A. Politik. Privatlivspolitik. Version 1.0. Jens Christensen, formand

Ballerup Kommune Politik for databeskyttelse

Aarhus Vand A/S. Kontrolsystem for vandmålere i drift

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Aarhus Kommune. IT-sikkerhedspolitik. Politik

IT-sikkerhedspolitik S i d e 1 9

Vejledning i informationssikkerhedsstyring. Februar 2015

Valg til Arbejdsmiljøorganisationen i Skanderborg Kommune 2015

ANNONCERING. Leasing af el-biler

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Persondatapolitik for Grønbjerg-Langelund Vandværk A.m.b.a

Transkript:

Informationssikkerhed Vers.3.0 Retningslinier for adgangsstyring til Banedanmarks informationsaktiver. 19.04.2010 Informationsaktiver omhandler alle informationer hvad enten de er elektroniske, papirbaserede eller mundtlige. Disse retningslinjer beskriver krav og sikringsforanstaltninger i forbindelse med adgang til Banedanmarks elektroniske informationsaktiver. Krav til fysisk adgang, er beskrevet i retningslinjer for fysisk sikring af bygninger, lokaler og installationer. Krav til beskyttelse af informationer og fastsættelse af beskyttelsesniveauet er beskrevet i retningslinjer for klassifikation af informationer. Mål og risikovurdering Det skal sikres at adgang til Banedanmarks informationsaktiver tager udgangspunkt i de forretningsmæssige og lovgivningsmæssige krav. Trusler kan være uautoriseret adgang til følsomme eller fortrolige informationer. Risici kan være brud på fortrolighed og integritet. Informationssikkerhedskrav Adgangsstyring: Adgangsstyring omfatter både logisk og fysisk adgang. Såvel medarbejdere som eksterne samarbejdspartnere skal være bekendt med kravene der ligger til grund for adgangsstyringen. I henhold til it-sikkerhedspolitikken påhviler det system og dataejer at fastsætte de itsikkerhedsmæssige krav til systemer og data. Kravene skal fastsætte sikkerhedsklassifikation og krav til adgangsbeskyttelse (lovgivnings-, kontraktligt og forretningsmæssigt). Grundlaget for adgangsstyring er en oversigt over alle forretningssystemer og informationsaktivers ejere og kontaktpersoner (systemforvaltere). Oversigten skal indeholde en beskrivelse af sikkerhedsniveau (risici og krav til beskyttelse) og sikkerhedsklassifikation. Administration af brugeradgang: For hvert forretningsmæssigt it-system skal der foreligge formelle procedurer og instrukser for styring af brugeradministration herunder: Oprettelse af brugerprofiler, autorisationer, tildeling af rettigheder, gennemgang af rettigheder og sletning af rettigheder. Drift Telefon Telefax Journalnr. It 8234 0000 82342333 051-0004/Maa Amerika Plads 15 Direkte maa@bane.dk Notat 2100 København Ø 82343903 www.banedanmark.dk Side 1(5)

Oprettelse af brugerprofiler Brugere skal tildeles en entydig identitet, med unikke initialer, som gør det muligt at kunne spore en given handling til en given person. Brugerens identitet skal kunne anvendes på tværs af alle informationssystemer i Banedanmark. Eksterne brugere skal have tildelt unikke initialer (med foranstillet x, y eller z)initialer, som gør det muligt at kunne identificere dem, afhængig af om det er interne konsulenter dvs. konsulenter eller vikarer som arbejder på medarbejderlignende vilkår, eller om det er eksterne (med foranstillet y eller z), som tilgår Banedanmarks informationsaktiver på begrænset vis fra ekstern lokation. Inden brugeren tildeles initialer og får adgang til systemer, aktiver og netværk, skal brugeren personligt kvittere for modtagelse af Banedanmarks informationssikkerhedsregler, og for intentionen om at overholde disse. Y-brugere og Z-brugere indgår dog ien samlet firmaaftale Det skal sikres, at tredjepart, der kan få adgang til virksomhedens data, er omfattet af en fortrolighedserklæring. Genåbning af bruger Hvis en bruger genåbnes og det sker indenfor 5 år efter lukning, kan initialer genbruges. Det skal i den forbindelse sikres at gamle rettigheder ikke følger med. Har brugeren været lukket i mere end 6 måneder, skal brugeren skrive under på Tro&love igen. Ved skift af tilhørsforhold, f.eks. konsulenter/vikarer der har fået ny arbejdsgiver skal der laves en ny brugeroprettelse, som sikrer at firmaoplysninger mv. rettes. Autorisationer og tildeling af rettigheder Chefen, system og/eller dataejere skal autorisere (give tilladelse) hvilke informationer brugeren/medarbejderen skal have adgang til. Inden en ekstern samarbejdspartner får adgang til data og systemer skal der foreligge en skriftlig aftale om betingelserne for adgang. Medarbejdere der fratræder eller afskediges, skal fratages alle rettigheder senest ved fratrædelsesdagen. Udvidede adgangsrettigheder Tildeling og anvendelse af udvidede adgangsrettigheder skal begrænses og overvåges. (Er beskrevet i retningslinier for tildeling af kritiske rettigheder). Gennemgang af adgangsrettigheder Brugernes rettigheder skal gennemgås regelmæssigt efter en formaliseret forretningsgang som skal omfatte: Interval for gennemgang af brugeradgange Revurdering ved forflyttelse og organisatoriske ændringer Side 2(5)

Gennemgang af udvidede adgangsrettigheder Ændringer i autorisationer til udvidede adgangsrettigheder skal logges og gennemgås regelmæssigt Adgangskoder Tildeling af adgangskoder skal styres ved en formaliseret proces, som skal omfatte: Brugernes accept af kravet om hemmeligholdelse og behandling af password Instruks til brugeren om ændring af førstegangspassword Forretningsgang for verificering af brugere ved udlevering af udløbet password Forsendelse af adgangskoder Sletning af rettigheder Ved fratrædelse skal alle brugerprofiler og systemrettigheder for brugeren øjeblikkeligt lukkes. Efter tre måneder nedlægges brugerkontoen. Ved omplacering af medarbejdere skal alle rettigheder for pågældende bruger revurderes. En nedlagt brugeridentitet må ikke tildeles nye brugere i indtil 5 år efter nedlæggelsen af revisionsmæssige årsager. Sikringsforanstaltninger Brugeroprettelse er opdelt i tre procedurer: 1. Medarbejdere 2. Konsulenter/vikarer som har arbejdsplads i Banedanmark (X-bruger) 3. Eksterne firmaer, som tilgår data/systemer via ekstern forbindelse (Y-bruger) 4. Eksterne firmaer, som tilgår data/systemer på SharePoint via ekstern forbindelse (Z-bruger) De gældende procedurer kan findes på intranettet under informationssikkerhed. Lukning af brugeradgang for medarbejdere Adgang til informationer, herunder fysisk adgang skal lukkes ved fratrædelsesdatoen. Proceduren er beskrevet i procedure for: Lukning af adgang til it-systemer og tilbagelevering af it og telefonudstyr som findes på intranettet på informationssikkerheds siderne. Informationssikkerhed sikrer dokumentation og at der foretages stikprøvekontrol af om lukning er sket. Lukning af adgang for øvrige brugere Informationssikkerhed modtager en systembesked når ekstern bruger overskrider sin udløbsdato og skal lukkes. Brugere der ikke har været aktive i mere end tre måneder skal automatisk disables (spærres i systemet). Efter 1 år nedlægges kontoen. Side 3(5)

Oprydning i brugerid Et brugerid er spærret i 5 år efter disabling og må ikke tildeles nye brugere. Efter 5 år skal brugerens id slettes. Nødprocedurer Informationssikkerhed i Banedanmark kan give dispensation fra disse retningslinier. Siemens Helpdesk skal sikre at brugeren verificerer sig selv i tilfælde af glemt/udløbet password. Roller HR system & struktur er overordnet ansvarlig for at oprette medarbejdere i SAP-HR og sikre at der er foretaget korrekte registreringer. HR Service sender informationssikkerhedsregler + Tro&Love til medarbejdere inden ansættelsen. HR System og Struktur opretter alle eksterne konsulenter og vikarer med unikt brugernavn og sikrer at Tro & Love foreligger inden der gives adgang. Chefer, system og/eller dataejere er som udgangspunkt bemyndigede til at autorisere brugere, eller bemyndige en medarbejder til dette. It-driftleverandør varetager Helpdesk opgaven på vegne af Banedanmark Banedanmarks it-driftchef er ansvarlig for at Helpdesk foretager de beskrevne opgaver for Banedanmark Lukning af brugere sker automatisk ved slutdato. It-driftleverandør adviseres automatisk på slutdato om at foretage manuelle steps i nedluk. Informationssikkerhed kvitterer for lukning af brugere og at der foretages kontrol heraf Dokumenthåndtering Banehuset sikrer at blanketten Tro & Love opbevares i medarbejderens personalesager. Informationssikkerhed er overordnet ansvarlig for denne procedure og at den er implementeret og følges Referencer Kontrol DS 484-2005, Afsnit 11. Banedanmarks informationssikkerhedspolitik Procedure for lukning af adgang til it-systemer mv. Hurit instrukser Guide for informationssikkerhed i Banedanmark Blanketsæt for brugeroprettelser og autorisationer (findes på intranettet) Procedure for dataadgang for eksterne samarbejdspartnere Retningslinier for tildeling af kritiske rettigheder Side 4(5)

Informationssikkerhed i Banedanmark er ansvarlig for at: Der tages stikprøver af om der foreligger dokumentation for brugeroprettelser og at brugere har underskrevet Tro og love inden de får adgang Der tages stikprøvekontrol af om der er overensstemmelse i forhold til den adgang der er givet og brugeren reelt har. Der udføres kontrol på udvidede rettigheder til brugere Der tages kontrol af om lukning af brugere er sket. Kontrollen skal kunne dokumenteres. Godkendelse Godkendt af It-chef Kenneth Lau Rentius, den 26.02.2010 HR systemchef Carsten Johan Møller den 19.4.2010 Informationssikkerhedschef, Marianne Bo Krowicki, den 26.2.2010 Side 5(5)

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback