Banedanmark Informationssikkerhed Overordnet politik Banedanmarks informationssikkerhedspolitik Version 4.0 10-12-2012
Indholdsfortegnelse Politik 2 Informationssikkerhedspolitik for Banedanmark 2 Indledning 2 Definition 2 Omfang 2 Formål 2 Sikkerhedsniveau 3 Ledelsens støtte og engagement 3 Sikkerhedsbevidsthed 3 Ansvar for informationssikkerheden 3 Brud på informationssikkerheden 4 Kontrol og revision 4 Godkendelse 4
Politik Informationssikkerhedspolitik for Banedanmark Ændringer i forhold til sidste version (2008) er markeret med understregning. Indledning Denne informationssikkerhedspolitik fastsætter den overordnede ramme for informationssikkerheden i Banedanmark. Informationssikkerhedspolitikken udgør grundlaget for den daglige styring af informationssikkerhed i Banedanmark. Ansvarsplacering, retningslinier, procedurer, risikovurdering, og it-beredskabsplaner er således emner, der reguleres under denne overordnede politik. Definition Informationssikkerhed defineres som værende alle de sikkerhedsforanstaltninger, der har til formål at beskytte informationsaktiver, hvad enten det er fysiske, elektroniske eller mundtlige informationer. Omfang Informationssikkerhedspolitikken omfatter alle Banedanmarks informationer, uanset i hvilken form de opbevares og formidles på. Formål Banedanmark er dybt afhængige af at informationer og informationssystemer er tilgængelige og informationssikkerhedspolitikken har derfor vital betydning for Banedanmarks daglige virke. Informationssikkerheden skal medvirke til at opfylde Banedanmarks vision: Vi vil genskabe en velfungerende jernbane med høj sikkerhed, effektivitet og regularitet og dermed skabe grundlag for vækst i jernbanetrafikken. Banedanmarks ledelse kræver at der udføres en effektiv og aktiv sikkerhedsledelse. Ledelsen har fastsat formålet med informationssikkerhedspolitikken, som er at definere en ramme for at sikre: Tilgængelighed: At opnå den aftalte tilgængelighed (oppetid) med minimeret risiko for nedbrud. Integritet: At opnå en pålidelig og korrekt funktion af informationssystemerne med minimeret risiko for ukorrekt datagrundlag, for eksempel som følge af menneskelige og systemmæssige fejl eller udefrakommende hændelser. Fortrolighed: At etablere mulighed for fortrolig behandling, transmission og opbevaring af informationer hvor kun autoriserede og autentificerede brugere har adgang. Banedanmarks informationssikkerhedssystem (ISMS) er baseret på den fælles statslige standard for informationssikkerhed og fastsætter de styringsmæssige principper for informationssikkerhed. Side 2 af 4
Sikkerhedsniveau Banedanmark ønsker at beskytte sine informationer, således at anvendelse og adgang, herunder offentligørelse af informationer skal ske i overenstemmelse med virksomhedens retningslinier og under hensyn til den til enhver tid gældende lovgivning. Banedanmark fastlægger sikkerhedsnivauet på baggrund af en risikovurdering, som foretages gennem en afvejning af omkostninger til sikkerhedsforanstaltninger i forhold til de risici der er forbundet med manglende sikkerhed. Gældende lovkrav og bekendtgørelser skal overholdes. Overordnet risikovurdering skal gennemføres én gang årligt, således at ledelsen kan forholde sig til det aktuelle sikkerhedsniveau. Banedanmarks sikkerhedsniveau skal som minimum opfylde de basale krav i DS 484, som er den fælles statslige standard for informationssikkerhed. Såfremt risikovurderingen viser behov for det, kan det besluttes at de skærpede krav i DS 484 skal opfyldes. Det ønskede sikkerhedsniveau for Banedanmark er: Tilgængelighed: Højt niveau Fortrolighed: Middel niveau Integritet: Middel niveau For de informationsaktiver der anvendes til jernbanesikkerhed er sikkerhedsniveauet for integritet høj. Ledelsens støtte og engagement Banedanmarks ledelse vil udvise støtte og engagement til gennemførelse af informationssikkerheden. Banedanmarks ledelse vil oplyse medarbejderne om ansvarlighed i relation til Banedanmarks informationer og informationssystemer. Sikkerhedsbevidsthed Informationssikkerheden har betydning for virksomhedens processer og arbejdsgange. Gennemførelse kan ikke ske af ledelsen alene. Alle medarbejdere har derfor et ansvar for at bidrage til at beskytte Banedanmarks informationer mod uautoriseret adgang og ændring samt tyveri. Alle medarbejdere skal modtage uddannelse og informeres om informationssikkerhed i relevant omfang. Alle medarbejdere modtager senest på første arbejdsdag virksomhedens sikkerhedsregler og kvitterer for at ville følge dem. Alle brugere af Banedanmarks informationer, såvel interne som eksterne, skal følge de fastsatte regler, kun anvende informationer i overenstemmelse med det arbejde de udfører og skal beskytte informationer i overensstemmelse med informationernes følsomhed og eventuelle særlige karakter. Ansvar for informationssikkerheden Banedanmarks adm. direktør har det overordnede ansvar for informationssikkerheden. Dette ansvar er delegeret til it-chefen, som har udpeget en informationssikkerhedschef, som står for styring og implementering af Banedanmarks informationssikkerhed. Side 3 af 4
Ledelsen har ansvaret for at retningslinier for informationssikkerheden følges og at medarbejderne instrueres herom. Styring af informationssikkerheden er beskrevet i "styringsmodel for informationssikkerhed". Brud på informationssikkerheden Enhver medarbejder der anvender informationer skal rapportere om brud på informationssikkerheden til Informationsikkerhed. Brud på informationssikkerhedsregler kan følges af de samme sanktioner som ved øvrige brud på Banedanmarks regler og personalepolitik. Kontrol og revision Intern Revision foretager efter vurdering revision af hele eller dele af Banedanmarks informationssikkerhed. Direktionen, Rigsrevisionen, it-ledelsen og informationssikkerhed kan beslutte om der skal foretages yderligere kontrol og revision. Godkendelse Denne politik er godkendt af Banedanmarks direktion den 25. juni 2010 Side 4 af 4