Region Nordjylland Informationssikkerhedspolitik November 2012. Informationssikkerhedspolitik. Side 1

Relaterede dokumenter
Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik

Informationssikkerhed

Informationssikkerhedspolitik for Region Midtjylland

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

Informationssikkerhedspolitik. Frederiksberg Kommune

Procedure for ansættelse af nye medarbejdere

Ledelsesgrundlag. Baggrund. Allerød Kommune

5. Persondataloven 5.1. Indsamling, behandling, behandlingssikkerhed, videregivelse og oplysningspligt Indsamling Behandling

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Informationssikkerhedspolitik for Svendborg Kommune

Politik <dato> <J.nr.>

Vejledning til ledelsestilsyn

Indgåelse af aftaler med sikkerhedsmæssigt indhold

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

PSYKIATRIFONDENS Informationssikkerhedspolitik

IT-sikkerhedspolitik for

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Til rette vedkommende. 11. april NOTAT - IC-Meter indeklimamålinger i relation til Persondataloven

Samarbejde om arbejdsmiljø på midlertidige eller skiftende arbejdssteder på bygge- og anlægsområdet

Lov om dag-, fritids- og klubtilbud m.v. til børn og unge (dagtilbudsloven)

Ved aktivt medborgerskab kan vi gøre Silkeborg Kommune til en attraktiv kommune med plads til alle. Silkeborg Kommunes Socialpolitik

ArbejdsPladsVurdering

04.85 O.11 39/2011 Side 1. Aftale om deltidsansattes adgang til et højere timetal

Strategi for it og digitalisering i Skole- og Kulturforvaltningen

Handlingsplan for Vestre Landsret 2010

Ringkjøbing Landbobank s Adfærdskodeks (Code of Conduct)

2.2 Selskabet skal sikre, at spildevandsforsyningen drives effektivt under hensyntagen til forsyningssikkerhed, sundhed, natur og miljø.

XXXXX. SUNDHEDS- POLITIK i Faaborg-Midtfyn Kommune

Kvalitetssystemet på Herningsholm Erhvervsskole

Kvalitetsstandard for aflastning

INFORMATIONS- SIKKERHEDSPOLITIK

Bekendtgørelse om EU- og EØS-statsborgeres adgang til udøvelse af virksomhed som autoriseret sundhedsperson 1)

Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder

GOD KOMMUNIKATION I BUF: ALLE MEDARBEJDERE KOMMUNIKERER VI KOMMUNIKERER EFTER MODTAGERNES BEHOV VI KOMMUNIKERER ÅBENT OG TROVÆRDIGT

Kommissorium for Revisionsudvalget. Juni 2016

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Kanalstrategi en strategi for henvendelseskanaler til og fra kommunen [Udkast] Juni Natur og Udvikling

KONCERNPERSONALEPOLITIK MINISTERIET FOR SUNDHED OG FOREBYGGELSE

Opgaveproduktion og kvalitetssikring af opgaver til de nationale test

Kort beskrivelse af barnets baggrund. Til at kopiere ind. Til at. Side 1 af 5. Genogram over barnets vigtigste netværk

Håndtering af personfølsomme oplysninger

Kommuneplantillæg 1. til Kommuneplan Klimatilpasningsplan

Virksomheder uden ArbejdsMiljøOrganisation:

Assens Kommune Sikkerhedspolitik for it, data og information

Forretningsorden for Haderslev Katedralskole s bestyrelse

Fagprofil social- og sundhedshjælper.

Samlet Funktion Køn Anciennitet Alder

Overordnet It-sikkerhedspolitik

Informationssikkerhedspolitik. for Aalborg Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Mulighederne for at anvende sociale klausuler om uddannelse

Åbent referat Beredskabskommissionen

Høring af ændring af bekendtgørelse om ledelse, styring og administration af danske UCITS

Implementeringsstrategi vedr. førtidspension- og fleksjobreform

Job- og personprofil for leder til Børnehaven Albert i Hjørring Kommune

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Informationssikkerhedspolitik for Horsens Kommune

V E D T Æ G T E R. for. Den Selvejende institution Vendsyssel Kunstmuseum. CVR.nr I henhold til. Lovbekendtgørelse nr. 358 af 8.

Lov om Social Service 101 og Sundhedslovens 141 og 142

RIGSREVISIONEN København, den 11. januar 2007 RN A601/07

Vejledning om ikke erhvervsmæssig jernbanedrift Veteranbanebekendtgørelsen

Kl til på Psykiatrisk Center Ballerup, Ballerup Boulevard 2, 2750 Ballerup

Forslag til principerklæring til vedtagelse på FOAs strukturkongres 12. og 13. januar 2006 i Aalborg

Informationssikkerhedspolitik For Aalborg Kommune

God adfærd i det offentlige - kort og godt. December 2007

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Fredensborg Kommune Ældre og Handicap. Kvalitetsstandard for forebyggende hjemmebesøg

Revideret indstilling om forslag til modeller for ændring af Københavns Kommunes revisionsordning, herunder Intern Revision og Revisionsudvalget.

Holbæk Kommunes tilsyn med dagtilbud jævnfør Lov om Dagtilbud for Børn og Unge

Notat om håndtering af aktualitet i matrikulære sager

Bofællesskaberne Edelsvej

Udbud af afklarings- og jobsøgningsforløb. visiteret til fleksjob. Bilag 1 - Kravspecifikation

Forberedelser forud for EU s databeskyttelsesforordning. 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til

Lederuddannelsen Den Bevidste Leder

SUNDHEDSAFTALE

Kalundborg kommune september Ældrepolitik

Forslag. Lov om ændring af lov om arbejdsmiljø 1)

Job- og personprofil. Økonomichef Økonomi og IT Holstebro Kommune

Emne: Udkast til Bruger- Patient- og Pårørendepolitik for Region Hovedstaden

Retsudvalget REU Alm.del endeligt svar på spørgsmål 104 Offentligt

Informationssikkerhedspolitik for <organisation>

MED-aftale. Midtjysk Brand og Redning

Fritidstilbud for unge under 18 år efter Dagtilbudsloven og Lov om social service.

OPLÆG FOR DANSK PSYKOLOG FORENING D OM PSYKOLOGENS ROLLE I BESKÆFTIGELSESINDSATSEN

Retningslinier for adgangsstyring til Banedanmarks informationsaktiver.

Direktionens strategiplan

FÆLLES UDBUD AF ØKONOMI- OG LØNSYSTEM VISIONSPAPIR

Lov om net- og informationssikkerhed 1)

Kommissorium ny sammenhængende børnepolitik

Den fælles strategi for rehabilitering skal bidrage til at skabe et fælles basisfundament for tilgangen til rehabilitering i Ældre og Handicap.

Overholdelse af forvaltningsretlige krav ved indførelse af nye offentlige IT-systemer

Danske virksomheders erfaringer med outsourcing

Aarhus Kommune. Politik

Frivillighedspolitik. Politik for det frivillige sociale arbejde i Skive Kommune. Frivillighedspolitikken er vedtaget i Skive Byråd 1.

Notat til Statsrevisorerne om beretning om beslutningsgrundlaget for et eventuelt køb af nye kampfly. Juni 2009

Information om afløsning i eget hjem

Transkript:

Informationssikkerhedspolitik Side 1

Informationssikkerhedspolitik for Region Nordjylland Informationssikkerhedspolitikken er gældende for hele Regionen. Den er tilvejebragt af I-sikkerhedsudvalget og tiltrådt af den Udvidede direktion, Forretningsudvalget og Regionsrådet. Den gældende version ligger på Region Nordjyllands hjemmeside. Hvis man udskriver eller kopierer en udgave af Informationssikkerhedspolitikken til senere brug, skal man sikre sig, at det er den gældende version, der ageres efter. Indeværende version er godkendt af Regionsrådet d. 18. august 2009, og er i november 2012 opdateret af I-sikkerhedskoordinatoren med godkendelse af I- sikkerhedsudvalget. Det eneste helt sikre i universet er, at intet er helt sikkert Side 2

Indhold 1 Begreber... 4 2 Formål... 5 3 Anvendelse og målgruppe... 5 4 Omfang... 5 5 Ansvar... 5 6 Mål... 5 7 Sikkerhedsniveau... 8 8 I-sikkerhedsorganisation... 8 9 Sikkerhedsbevidsthed... 9 10 Brud på i-sikkerheden... 9 11 Kontrol... 9 12 Dispensation... 9 13 Ajourføring... 9 Side 3

1 Begreber Informationssikkerhed Informationssikkerheden inddeles i tre overordnede fokusområder: Tilgængelighed Sikring af, at det er muligt at foretage den nødvendige informationsbehandling, når der er behov for det. Korrekthed - Sikring af, at al information er korrekt, og at informationsbehandlingen ikke forringer indholdet. Fortrolighed Sikring af, at ethvert specifikt sæt af information kun kan behandles og kommunikeres af dem, som er berettiget og har fået tildelt adgang til det. Informationsaktiver Informationssikkerhed er rettet mod håndteringen og de nødvendige sikringsforanstaltninger knyttet til de tre typer af informationsaktiver: information, it-systemer og teknik. - --- Information Information er oplysninger, der fysisk er repræsenteret som data. Disse kan være på elektronisk form eller på f.eks. bånd og papir. Information til alle formål i regionen er omfattet. Information klassificeres ud fra indhold i kategorierne: Almen information, som stilles til rådig for offentligheden på alle kanaler og medier med offentlig adgang. Intern information, som ikke i sig selv har en nytteværdi eller giver mening for offentligheden. Det kan være materiale som f.eks. er belagt med copyright, arbejdsdokumentation ved udviklingsaktiviteter, interne notater samt detaljerede beskrivelser af sikringsforanstaltninger. Følsom personhenførbar information. Følsomme oplysninger om menneskers rent private forhold. Det drejer sig om oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Andre typer af oplysninger om rent private forhold anses også for at være følsomme. Det drejer sig om oplysninger om strafbare forhold, væsentlige sociale problemer og lignende følsomme privatlivsoplysninger, f.eks. om interne familieforhold. Fortrolig information som kun er beregnet til behandling af en begrænset og fastlagt persongruppe. I denne kategori kan der være både personhenførbart og andet indhold. - It-systemer Systemer er funktionelt afgrænsede programkomplekser. Systemer kan være integrerede med andre systemer via lokalt netværk eller internettet. Systemer kan være i drift internt i Region Nordjylland eller hos eksterne serviceleverandører og samarbejdspartnere. Systemer kan inddeles i kategorier ud fra hvor kritiske de er for brugerne samt udbredelsen i regionen. - Teknik Teknik er komponenterne i den tekniske infrastruktur i form af fysisk databehandlingsudstyr som f.eks. pc er, servere og mobile enheder samt kommunikationsudstyr og netværk. Datalagre og mobile databærende medier samt data- og kommunikationsdelen af medicoteknisk apparatur, der er koblet til det fælles netværk, og som behandler patientdata, er også en del af denne gruppe. Side 4

2 Formål Informationssikkerhedspolitikken er den overordnede ramme for håndtering af informationssikkerhed - herefter benævnt i-sikkerhed i Region Nordjylland. For at regionen kan levere ydelser af høj kvalitet til sine borgere og samarbejdspartnere skal et effektivt værn mod i- sikkerhedsmæssige risici til stadighed udvikles og vedligeholdes. Dette bidrager til, at regionens forretningsområder kan fungere, og at Region Nordjyllands borgere, virksomheder, samarbejdspartnere og medarbejdere kan være trygge ved regionens behandling af information. Politikken beskriver styrende principper og mål for i-sikkerhedsindsatsen. Udgangspunktet er Region Nordjyllands strategiske mål, hvor det nødvendige sikkerhedsniveau er en afgørende faktor for, at regionen kan fremstå som en troværdig myndighed. 3 Anvendelse og målgruppe I-sikkerhedspolitikken skal udmøntes i et sæt retningslinjer, der detaljeret fastlægger rammerne for forretningsgange og sikringsforanstaltninger på i-sikkerhedsområdet. Til styring af den konkrete adfærd og udformning af sikringsforanstaltninger skal der udarbejdes detaljerede instrukser. Målgruppen for i-sikkerhedspolitikken er alle, der skal udmønte den i retningslinjer og instrukser for indretning og håndtering af i-sikkerheden. I-sikkerhedspolitikken skal offentliggøres på Region Nordjyllands hjemmeside. Retningslinjer og instrukser er til intern brug. 4 Omfang Politikken gælder for: - alle informationsaktiver inden for grupperne: information, systemer og teknik - al intern informationsbehandling og den informationsbehandling, som foretages for regionen, hos samarbejdspartnere og leverandører - alle typer af information, ligegyldigt i hvilken form de behandles, opbevares og kommunikeres. Dette gælder for information, som regionen enten selv er ansvarlig for, eller som stammer fra samarbejdspartnere - alle medarbejdere, både fastansatte og personer, som midlertidigt udfører arbejdsopgaver for Region Nordjylland - medarbejdere hos samarbejdspartnere og leverandører med adgang til regionens informationsaktiver. 5 Ansvar Udvidet direktion har det overordnede ansvar for informationssikkerheden i Region Nordjylland og indgår således i regionens informationssikkerhedsorganisation. Denne organisation har et I- sikkerhedsudvalg, en I-sikkerhedskoordinator og en I-sikkerhedsarbejdsgruppe. Alle med ledelsesansvar i Region Nordjylland har et aktivt og udførende ansvar for, at politikken overholdes i forbindelse med de daglige processer og arbejdsopgaver i Regionen. En nærmere beskrivelse af ledernes opgaver i forhold til i-sikkerhed kan findes i Den administrative ledelseshåndbog. Side 5

Nogle af regionens informationsaktiver kan være fysisk placeret i eller serviceret af andre organisationer. Dette ændrer ikke regionens grundlæggende ansvar, som varetages af rollerne tilknyttet disse aktiver. 6 Mål Aktiviteter og håndtering af i-sikkerheden i Region Nordjylland skal indrettes, så følgende mål tilfredsstilles: Generelt: - Håndtering af i-sikkerhed skal integreres i alle forretningsgange, der involverer informationsbehandling. - I-sikkerhed skal vurderes og indarbejdes i alle Region Nordjyllands udviklingsaktiviteter, som resulterer i ændringer i bestående eller helt ny informationsbehandling. - Ingen sikringsforanstaltninger må forringe patientsikkerheden. - I-sikkerheden skal håndteres og sikringsforanstaltninger indrettes, så der tages hensyn til medarbejdernes sikkerhed og rettigheder. - Medarbejderne skal orienteres om væsentlige hændelser eller ændringer, der har indflydelse på i-sikkerheden. - Såfremt der indtræffer en alvorlig i-sikkerhedshændelse, skal den berørte ledelse foretage en vurdering af årsagen til den givne hændelse og en vurdering af, om dette giver anledning til nødvendige i-sikkerhedsmæssige tiltag. - Alle i-sikkerhedshændelser skal registreres for at kunne vurdere, om der er ændringer i det trusselsbillede, som benyttes i risikovurderinger. - Kompetencer om i-sikkerhed skal ajourføres og fastholdes gennem videndeling og andre aktiviteter hos alle, der beskæftiger sig med indretning og overvågning af i-sikkerheden. Informationsaktiver: - Alle informationsaktiver skal registreres. - Alle informationsaktiver skal klassificeres ud fra: - hvor kritiske de er for udførelsen af arbejdsopgaver og for patientsikkerheden - indhold - deres betydning for Region Nordjylland - krav fra lovgivning - deres relation til eller direkte afhængighed af andre informationsaktiver. - Alle væsentlige informationsaktiver skal risikovurderes med jævne mellemrum. Risikovurderingen skal fastlægge det ønskede i-sikkerhedsniveau med udgangspunkt i aktivets brug i forhold til tilgængelighed, korrekthed og fortrolighed. Der skal foretages fornyede risikovurderinger ved: - væsentlige ændringer i trusselsbilledet - større organisatoriske forandringer i regionen - væsentlige forandringer i it-arkitekturen - ved indgåelse af eksterne serviceaftaler - ved outsourcing af driftsopgaver. Side 6

- Ejerskabet til hvert informationsaktiv skal fastlægges. Ejere skal løbende udarbejde aktuelle risiko- og konsekvensvurderinger af deres informationsaktiver, og bevirke at de pågældende aktiver er sikret i forhold til trusselsbilledet, og hvor kritiske aktiverne er. - For informationsaktiver, som teknisk og driftsmæssigt håndteres af en leverandør af drift og serviceydelser, skal ejeren af aktivet indgå en aftale i form af en kontrakt eller service niveauaftale - SLA - med leverandøren om betingelserne for håndteringen. I aftalen skal de specifikke i-sikkerhedsmæssige krav indgå. Der skelnes ikke her mellem interne eller eksterne leverandører. Aftaler skal omhandle alle faser af informationsaktivets livscyklus. - Der kan hos en leverandør af drift og serviceydelser såvel internt som eksternt - være medarbejdere, som har omfattende adgang til at se information og mulighed for at slette denne. Region Nordjylland forbeholder sig ret til om fornødent at sikkerhedsgodkende disse medarbejdere ud fra en konkret risikovurdering. Beredskab: - Beredskabsstyring skal udføres i en kontinuerlig proces, som sikrer, at regionens forretningsområder kan fungere ved manglende tilgængelighed og tab af informationsaktiver, når der er beredskabssituationer forårsaget af nedbrud, i- sikkerhedshændelser eller katastrofer. - Der skal foretages en nøjagtig kortlægning af samtlige afdelingers afhængighed af informationsbehandling ved brug af information, systemer og teknik. Ved denne kortlægning skal informationsaktivernes vigtighed prioriteres ud fra en afdelings følsomhed i situationer hvor systemer og teknik svigter, så den nødvendige og aftalte anvendelse er umulig. - Der skal udarbejdes planer for kommunikation samt forberedelse, vedligeholdelse og reetablering af forretningsaktiviteter før, under og efter en beredskabssituation. - Beredskabsplaner skal etableres, så der er sammenhæng med andre krav og beredskabsplaner vedrørende drift, personale, forsyning, materiel, transport og øvrige faciliteter. Koordineringen udøves af den instans, som har det overordnede ansvar for beredskabsplanlægningen i Region Nordjylland. - Beredskabsplanerne skal afprøves og om nødvendigt ajourføres løbende, dog minimum en gang om året. Side 7

7 Sikkerhedsniveau Regionen er forpligtet til at etablere sikringsforanstaltninger og håndtere i-sikkerheden ud fra: - love og afledte forskrifter - obligatoriske standarder - krav fra samarbejdspartnere - internt vedtagne regler og valgte standarder. Konkrete sikringsforanstaltninger skal etableres og dimensioneres ud fra risikovurderinger. Med udgangspunkt i risikovurderingen sammenholdt med de forretningsmæssige prioriteringer af informationsaktiverne fastlægger og prioriterer ledelsen de nødvendige sikringsforanstaltninger til opretholdelse af det for regionen nødvendige og tilstrækkelige i-sikkerhedsniveau. Som reference for det basale sikkerhedsniveau benytter regionen Dansk Standard for informationssikkerhed DS484:2005. 8 I-sikkerhedsorganisation Den Udvidede direktion har nedsat regionens I-sikkerhedsudvalg og besluttet principperne for sammensætningen. Udvalget er normgivende og fastsætter på grundlag af I-sikkerhedspolitikken de principper og aktiviteter, der skal sikre målopfyldelsen. Udvalget behandler alle i-sikkerhedsspørgsmål af principiel karakter. For hvert spørgsmål vurderes, om der er særlige hensyn, om spørgsmålet skal behandles på et andet niveau i organisationen, og om andre relevante fora skal involveres. I-sikkerhedsudvalget fastsætter selv forretningsgangen og varetager opgaverne kontinuerligt. Udvalgets aktiviteter skal som udgangspunkt omfatte: At der igangsættes initiativer, der løbende skal sikre, at Region Nordjylland har et for regionen acceptabelt i-sikkerhedsniveau. At sikre, at der gennemføres en løbende kontrol af om i-sikkerhedspolitikkens mål er nået. At der indsamles oplysninger om i-sikkerhedshændelser og tilstande med et uacceptabelt højt risikoniveau. At der løbende på baggrund af de udførte kontroller og de indsamlede oplysninger igangsættes aktiviteter til ajourføring af i-sikkerheden, således at i-sikkerhedsniveauet svarer til det aktuelle trusselsbillede. At i-sikkerheden integreres i alle relevante forretningsgange, driftsopgaver og udviklingsaktiviteter. At iværksætte aktiviteter, som udbygger og fastholder medarbejdernes bevidsthed om i- sikkerhed. At der årligt foretages afrapportering af i-sikkerhedsniveauet til den Udvidede direktion. Al håndtering af i-sikkerhed i Region Nordjylland skal koordineres centralt. Til at varetage koordineringsaktiviteterne er der ansat en I-sikkerhedskoordinator. Ud over koordineringen yder vedkommende konsulentbistand og deltager i løsning af konkrete opgaver på i-sikkerhedsområdet. Endelig deltager koordinatoren i aktiviteter, til styrkelse af i-sikkerheden nationalt og i regionerne. Koordinatoren er sekretær for I-sikkerhedsudvalget. Side 8

9 Sikkerhedsbevidsthed Alle medarbejdere i Region Nordjylland skal i deres løsning af de daglige opgaver bidrage til at beskytte information mod uautoriseret adgang, ukorrekt ændring og ødelæggelse. En høj sikkerhedsbevidsthed er derfor forudsætningen for, at medarbejderne aktivt kan medvirke til at håndtere i-sikkerheden. Regionens medarbejdere skal kende principperne for i-sikkerhed. De skal have kendskab til hvilke retningslinjer og instrukser, der er aktuelle i en bestemt sammenhæng. Der skal derfor hos hver enkelt medarbejder være en forståelse for, at der er behov for at efterleve reglerne for i-sikkerhed. 10 Brud på i-sikkerheden Såfremt en medarbejder opdager potentielt alvorlige trusler mod i-sikkerheden eller brud på denne, skal dette straks rapporteres til nærmeste leder eller næste ledelseslag. Hvis det skønnes, at det observerede er så alvorligt, at der skal foretages en omgående teknisk indgriben, kontaktes ServiceDesk hos Koncern IT. Hvis medarbejdere bevidst bryder i-sikkerheden, vil der blive anvendt disciplinære forholdsregler i overensstemmelse med gældende regler og personalepolitik i Region Nordjylland. For mere information, se www.informationssikkerhed.rn.dk 11 Kontrol Der skal periodisk, dog mindst en gang årligt, udføres kontroller til verifikation af kvaliteten og relevansen af de gennemførte sikringsforanstaltninger. Kontrollerne skal også bruges til at registrere i hvilken udstrækning håndteringen af i-sikkerheden opfylder kravene. Nogle kontroller foretages af den eksterne revision efter aftale med Region Nordjylland. Kontrollerne vedrører alle områder, underlagt I-sikkerhedspolitikken, herunder også de områder, der måtte være outsourcet. Kontrollerne tilrettelægges, så de omfatter selv-kontrol af overholdelse af retningslinjer og instrukser samt central opfølgning. Udgangspunktet for kontrol af basisniveauet er DS484:2005. Resultatet af foretagne kontroller indgår i den årlige rapport til den Udvidede direktion. 12 Dispensation Hvis der opstår tilstande, hvor der er væsentlige forretningsmæssige interesser, særlige krav til patientsikkerhed eller væsentlige samfundsmæssige interesser, kan der ansøges om midlertidig dispensation fra regler, retningslinjer og instrukser baseret på I-sikkerhedspolitikken. Ansøgninger forelægges I-sikkerhedskoordinatoren, som sammen med I-sikkerhedsudvalget vurderer ansøgningen. Afhængig af det ansøgtes omfang og ændring af risikobilledet kan ansøgningen afgøres af enten I-sikkerhedsudvalget eller af den Udvidede direktion. 13 Ajourføring I-sikkerhedspolitikken skal på grundlag af den løbende overvågning og rapportering revideres og om nødvendigt ajourføres og godkendes, hvis der er markante ændringer i forudsætningerne for informationsbehandlingen. I-sikkerhedsudvalget har denne opgave. Side 9

INFORMATIONSSIKKERHEDSPOLITIK Opdateret, november 2012 Godkendt, august 2009 Udgivet af I-sikkerhedsudvalget. Regionssekretariatet Region Nordjylland Niels Bohrs Vej 30 9220 Aalborg Ø 9764 8000 www.rn.dk Side 10

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback