Sikkerhedsvurderinger

Relaterede dokumenter
CERTA yder rådgivning og anden form for bistand og støtte vedrørende sikkerhedsmæssige spørgsmål.

Rejsesikkerhed. CERTA har i den forbindelse udviklet rejsesikkerhedskoncepter, der omfatter

Sikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur?

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Kursus: Ledelse af it- sikkerhed

CYBER CRIME ET LEDELSESANSVAR MORTEN BØDSKOV, MEDLEM AF FOLKETINGET

Informationssikkerhedspolitik

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

IT-sikkerhedspolitik S i d e 1 9

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

BILAG 5 DATABEHANDLERAFTALE

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

BESKYT DIN VIRKSOMHED. Tænk sikkerheden med

Assens Kommune Sikkerhedspolitik for it, data og information

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten.

Beredskabspolitik Kommunerne Hovedstadens Beredskab

Vejledning i informationssikkerhedspolitik. Februar 2015

Beredskabspolitik. Københavns Kommune

Sikkerhed og Revision 2015

Jyske Bank Politik for It sikkerhed

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

Beredskabstesten Vurdering af niveauet for en organisations samlede beredskabsplan Revideret 2009

Organisering og styring af informationssikkerhed. I Odder Kommune

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

OVERORDNET IT-SIKKERHEDSPOLITIK

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

ITA-konferencen Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

Vejledning om funktionsbeskrivelse for intern revision

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Faxe Kommune. informationssikkerhedspolitik

Årshjul for persondata. v/henrik Pors

Overordnet informationssikkerhedsstrategi

IT-SIKKERHEDSPOLITIK UDKAST

Informationssikkerhedspolitik for Horsens Kommune

CYBERFORSIKRING OFFENTLIG KONFERENCE

Hver af myndighederne meddeler afgørelse om accept af sikkerhedsniveauet inden for hver deres kompetenceområde.

Holstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)

Sikkerhed i cloud computing

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Databehandleraftale (Skabelon fra Datatilsynet)

POLITIK FOR FORTSAT DRIFT

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Folketinget Retsudvalget Christiansborg 1240 København K DK Danmark

Andersen & Martini A/S

INFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING OM RISIKOHÅNDTERING (SIKKERHEDSKONTROLLER) Version 1.0

RISIKOVURDERING I PRAKSIS

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Transkript:

Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i CERTA s arbejde er at gennemføre sikkerhedsvurderinger for danske og udenlandske virksomheder. Dette kan ske enten som en særskilt vurdering eller i form af en årlig sikkerhedsvurdering til brug for virksomhedens bestyrelse. En sikkerhedsvurdering indebærer, at CERTA på grundlag af en konkret trusselsvurdering for virksomheden foretager en gennemgang, analyse og vurdering af virksomhedens sikkerhedsniveau og sikkerhedsforanstaltninger. Endvidere gennemføres en nærmere analyse af virksomhedens sikkerhedsrelaterede omkostninger med henblik på at identificere effektiviseringsmuligheder. Arbejdet munder ud i en samlet vurdering og konkrete anbefalinger, som CERTA ligeledes vil kunne bistå virksomhedens ledelse med at gennemføre. Formålet med en sikkerhedsvurdering er sikre, at virksomheden har et klart overblik over de sikkerhedsmæssige trusler og risici, som har betydning for virksomheden, kan træffe de nødvendige foranstaltninger med henblik på at beskytte virksomheden bedst muligt mod disse sikkerhedsmæssige trusler og risici, og er i stand til effektivt at forebygge og håndtere sikkerhedsmæssige hændelser og dermed begrænse eventuelle skadevirkninger i forhold til virksomheden. En sikkerhedsvurdering er i øvrigt særlig relevant i tilfælde, hvor virksomheden ønsker at blive betrygget i, at virksomheden er beskyttet på tilstrækkelig vis, at der ikke udvises forsømmelighed i virksomhedens håndtering af sikkerhedsmæssige trusler og risici, og at virksomheden har en effektiv ressourceanvendelse - også på det sikkerhedsmæssige område.

Sikkerhedsvurderingen kan omfatte hele virksomheden eller en del af denne, f.eks. en produktionsfacilitet i udlandet, ligesom sikkerhedsvurderingen kan fokusere på ét eller flere sikkerhedsmæssige områder, herunder: Fysisk sikring Personbeskyttelse Cyber- og informationssikkerhed Rejsesikkerhed Sikkerhed i forhold til insider-trusler Beredskab og krisestyring Sikkerhedsorganisation og anden sikkerhedsmæssig understøttelse CERTA tilbyder tre former for sikkerhedsvurderinger: Sikkerhedskortlægning (Security Survey) o Trusselsvurdering o Kortlægning af virksomhedens sikkerhed o Anbefalinger o Bistand til implementering Sikkerhedsgennemgang (Security Review) o Trusselsvurdering o Kortlægning af virksomhedens sikkerhed o Konsekvens- og sårbarhedsanalyse o Risikovurdering o Gennemgang af sikkerhedsniveau og sikkerhedsforanstaltninger o Anbefalinger og handlingsplan o Bistand til implementering Sikkerhedsevaluering (Security Evaluation/Security Audit) o Inspektion o Test og øvelse o Evaluering o (Revision/audit) o Anbefalinger o Bistand til implementering 2

Mens et Security Survey eller et Security Review vil omfatte hele eller dele af virksomheden samt alle eller enkelte af virksomhedens sikkerhedsområder, vil en Security Evaluation eller en Security Audit typisk være relevant i de tilfælde, hvor virksomheden målrettet har arbejdet med at opbygge og udvikle virksomhedens sikkerhed, f.eks. som følge af særlige sikkerhedsmæssige trusler, og hvor man ønsker en evaluering af, om virksomheden har nået sine mål, og om de iværksatte tiltag fungerer efter hensigten. En Security Audit indebærer i øvrigt, at der ud over en evaluering tillige gennemføres en sikkerhedsmæssig revision på grundlag af relevante standarder. 3

Årlig sikkerhedsvurdering for bestyrelser Som virksomhedsledelse må man i stadig større omfang forholde sig til, at virksomheden kan blive berørt af sikkerhedsmæssige trusler i form af bl.a. terrorisme, politisk ekstremisme, spionage og organiseret kriminalitet, herunder cyberkriminalitet. Udviklingen stiller virksomhedsledelserne over for nye, strategiske udfordringer. I sidste ende er det således et ledelsesmæssigt ansvar at sikre, at virksomheden også på det sikkerhedsmæssige område har en effektiv risikostyring, og at der er truffet de nødvendige foranstaltninger med henblik på beskytte virksomheden samt dens værdier, aktiviteter og omdømme bedst muligt. En ansvarlig virksomhedsledelse må nødvendigvis stille sig selv følgende spørgsmål: Har virksomheden fuldt overblik over de sikkerhedsmæssige trusler og risici, som kan have betydning for virksomheden? Hvad vil konsekvenserne være, og hvor sårbar er virksomheden, i tilfælde af en sikkerhedshændelse, og er virksomhedens sikkerhedsorganisation og beredskab tilstrækkelig og velfungerende? Er virksomhedens sikkerhedsniveau og sikkerhedskultur passende, og er der truffet de sikkerhedsforanstaltninger, der må anses for nødvendige, og som i øvrigt kan forventes af virksomheden? Anvender virksomheden på det sikkerhedsmæssige område sine ressourcer på en effektiv og hensigtsmæssig måde, herunder i forhold til virksomhedens sikkerhedsleverandører? Virksomhedens bestyrelse har ansvaret for den overordnede, strategiske ledelse af virksomheden og for at sikre en forsvarlig organisation samt de fornødne procedurer for risikostyring og interne kontroller. Dette er efter selskabslovgivningen en juridisk forpligtelse, hvor en tilsidesættelse efter omstændighederne kan medføre bl.a. erstatningsansvar. For bestyrelsen kan det være vanskeligt at danne sig et samlet og sammenhængende overblik over virksomhedens sikkerhedsmæssige situation eller at tage stilling, hvad det er for oplysninger, som bestyrelsen har brug for med henblik på at kunne danne sig et sådant overblik. 4

Behandlingen af sikkerhedsmæssige spørgsmål i bestyrelsen sker ofte fragmentarisk og uden det nødvendige strategiske fokus, hvilket gør det vanskeligt for bestyrelsen at varetage sine opgaver og forpligtelser i forhold til virksomhedens sikkerhed. Når det gælder virksomhedens sikkerhed, må bestyrelsen regelmæssigt og systematisk sikre sig, at virksomheden er beskyttet på tilstrækkelig vis i lyset af det aktuelle trusselsbillede, at der ikke udvises forsømmelighed i virksomhedens håndtering af sikkerhedsmæssige trusler og risici, og at virksomheden har en effektiv ressourceanvendelse på det sikkerhedsmæssige område. Disse vurderinger kræver typisk indsigt og kompetencer, som virksomheden ikke selv råder over i tilstrækkeligt omfang, og det kan derfor være både nødvendigt og hensigtsmæssigt at søge uafhængig og sagkyndig bistand. Dette gælder særligt, når bestyrelsens stillingtagen forudsætter en evaluering af virksomhedens egen indsats. CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand med henblik på bestyrelsers håndtering af sikkerhedsmæssige spørgsmål. CERTA tilbyder i den forbindelse at foretage en årlig vurdering af virksomhedens sikkerhed, således at bestyrelsen på grundlag af denne vurdering kan tage stilling til, om virksomheden er tilstrækkelig beskyttet mod de relevante sikkerhedsmæssige trusler og risici. Den årlige sikkerhedsvurdering indebærer, at CERTA på grundlag af en konkret trusselsvurdering for virksomheden foretager en gennemgang, analyse og vurdering af dels virksomhedens sikkerhedsniveau og sikkerhedsforanstaltninger, dels virksomhedens sikkerhedsorganisation, beredskab og krisestyring samt sikkerhedskultur. Der vil som led i vurderingen blive foretaget en evaluering af relevante strategier, politikker og planer. Endvidere vil der blive gennemført en nærmere analyse af virksomhedens sikkerhedsrelaterede omkostninger med henblik på at identificere effektiviseringsmuligheder. Arbejdet munder ud i en samlet vurdering og konkrete anbefalinger, som CERTA eventuelt vil kunne bistå virksomhedens ledelse med at gennemføre. 5

Den årlige sikkerhedsvurdering, der udarbejdes i samarbejde med virksomheden, vil kunne tilpasses bestyrelsens konkrete ønsker og behov, ligesom der i forbindelse med sikkerhedsvurderingen vil kunne fokuseres på særlige områder af betydning for virksomhedens sikkerhed. Der vil som led i den årlige sikkerhedsvurdering tillige kunne gennemføres en sikkerhedsmæssig revision (Security Audit) på grundlag af relevante standarder. Endvidere vil der som led i den årlige sikkerhedsvurdering og efter nærmere aftale kunne foretages inspektion, afprøvning, test eller øvelser i forhold til specifikke dele af virksomhedens sikkerhed. Den årlige sikkerhedsvurdering vil efter omstændighederne inddrage og tage højde for øvrige evalueringer mv. af betydning for virksomhedens sikkerhed, herunder f.eks. virksomhedens IT-revision. 6

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback