Standard for informationssikkerhed



Relaterede dokumenter
Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Informationsteknologi Sikkerhedsteknikker. Informationssikkerhed (ISMS) Krav

Quality management systems Guidelines for quality plans

Aarhus Kommune. IT-sikkerhedspolitik. Politik

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Informationssikkerhedspolitik

Politik <dato> <J.nr.>

Faxe Kommune. informationssikkerhedspolitik

Arbejdsmiljøledelsessystemer Vejledning i implementering af OHSAS 18001:2007

Beregning af bygningers varmetab Del 2: Beregning af effektiv varmekapacitet

Assens Kommune Sikkerhedspolitik for it, data og information

Elektronisk arkivering Del 1: Specifikationer vedrørende udvikling og drift af et informationssystem til sikring af elektroniske dokumenter

Informationssikkerhedspolitik. Frederiksberg Kommune

Arbejdsmiljøledelsessystemer Kravbeskrivelse

Støbning SG-jern (støbejern med kuglegrafit)

PSYKIATRIFONDENS Informationssikkerhedspolitik

Overordnet Informationssikkerhedspolitik

Armeringsstål til betonkonstruktioner Identifikation og klassificering i henhold til EN og EN 10138

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Norm for etablering af ledningsanlæg i jord

Brolægning og belægningsarbejder

Sundhedsinformatik Patientjournaler Definition, anvendelsesområde og kontekst

Varme- og køleanlæg i bygninger

IT-sikkerhedspolitik for Lyngby Tandplejecenter

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Vejledning i informationssikkerhedspolitik. Februar 2015

Krav og anbefalinger vedrørende udbud af rengøringsopgaver

Beregning af bygningers varmetab Del 1: Beregning af kuldebroer med detaljerede beregningsprogrammer

Informationssikkerhedspolitik for <organisation>

IT-sikkerhedspolitik S i d e 1 9

Informationssikkerhedspolitik Frederiksberg Kommune

Udførelse af særlige geotekniske arbejder Jordankre Prøvning

KOMBIT sikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Markeds-, opinions- og samfundsundersøgelser

Grafiske symboler til miljøledelse og intern miljøkommunikation

Legepladsredskaber og -underlag Del 1: Generelle sikkerhedskrav og prøvningsmetoder

Hjælpemidler til blinde og svagsynede personer Taktile indikatorer på fodgængerarealer

Informationssikkerhedspolitik. for Aalborg Kommune

Konsekvensklasser for bygningskonstruktioner

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Brolægning og belægningsarbejder

Informationssikkerhedspolitik for Norddjurs Kommune

Norm for mekaniske ventilationsanlæg

SOPHIAGÅRD ELMEHØJEN

Ledelsessystemer for fødevaresikkerhed Vejledning i anvendelsen af ISO 22000:2005

Ledelsessystemer Vejledning i opbygning af et integreret ledelsessystem

Teknisk tegning Emnekanter af udefineret facon Terminologi og angivelse på tegninger

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Informationssikkerhedspolitik for Sønderborg Kommune

IT-sikkerhedspolitik for

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

Vejledning i projektledelse

MedComs informationssikkerhedspolitik. Version 2.2

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Databeskyttelsespolitik for DSI Midgård

Bilag 1 Databehandlerinstruks

Overordnet organisering af personoplysninger

Varme- og køleanlæg i bygninger

It-sikkerhedspolitik for Farsø Varmeværk

Informationssikkerhedshåndbog

Bitumen og bituminøse bindemidler Terminologi

Informationssikkerhedspolitik For Aalborg Kommune

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Specifikation af kvalificerede certifikater

Informationssikkerhedspolitik for Region Midtjylland

INFORMATIONS- SIKKERHEDSPOLITIK

Overordnet organisering af personoplysninger

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Informationssikkerhedspolitik for <organisation>

Informationsteknologi Informationsudveksling

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Procedure for tilsyn af databehandleraftale

Kunstig belysning i arbejdslokaler

Polybuten-1-rør (PB-1-rør) Virkning af tid og temperatur på den forventede styrke

Overordnet It-sikkerhedspolitik

Tilgængelighed for alle

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Dansk standard DS/ISO

Identifikationskort Kort med integrerede kredse Del 6: Interindustrielle dataelementer

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

DATABESKYTTELSESPOLITIK

Olieprodukter Bestemmelse af sulfataske i smøreolier og additiver

Informationssikkerhedspolitik for Horsens Kommune

Informationsteknologi Standardiserede, kodede grafiske tegnsæt til brug i 8-bit koder

Styring af infektionshygiejne i sundhedssektoren Del 5: Krav til perioperativ infektionsprofylakse

Informationssikkerhedspolitik for Vejen Kommune

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Informationsteknologi Sikkerhedsteknikker Applikationssikkerhed Del 1: Oversigt og begreber

Udførelse af betonkonstruktioner Regler for anvendelse af EN i Danmark

IT-SIKKERHEDSPOLITIK UDKAST

Transkript:

Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20

DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del af denne publikations betegnelse er: DS, hvilket betyder, at det er en standard udarbejdet på nationalt niveau. DS-publikationen er på dansk. Denne publikation erstatter: DS 484-1:2000 og DS 484-2:2000. DS-publikationstyper Dansk Standard udgiver forskellige publikationstyper. Typen på denne publikation fremgår af forsiden. Der kan være tale om: Dansk standard standard, der er udarbejdet på nationalt niveau, eller som er baseret på et andet lands nationale standard, eller standard, der er udarbejdet på internationalt og/eller europæisk niveau, og som har fået status som dansk standard DS-information publikation, der er udarbejdet på nationalt niveau, og som ikke har opnået status som standard, eller publikation, der er udarbejdet på internationalt og/eller europæisk niveau, og som ikke har fået status som standard, fx en teknisk rapport, eller europæisk præstandard DS-håndbog samling af standarder, eventuelt suppleret med informativt materiale DS-hæfte publikation med informativt materiale Til disse publikationstyper kan endvidere udgives tillæg og rettelsesblade DS-publikationsform Publikationstyperne udgives i forskellig form som henholdsvis fuldtekstpublikation (publikationen er trykt i sin helhed) godkendelsesblad (publikationen leveres i kopi med et trykt DS-omslag) elektronisk (publikationen leveres på et elektronisk medie) DS-betegnelse Alle DS-publikationers betegnelse begynder med DS efterfulgt af et eller flere præfikser og et nr., fx DS 383, DS/EN 5414 osv. Hvis der efter nr. er angivet et A eller Cor, betyder det, enten at det er et tillæg eller et rettelsesblad til hovedstandarden, eller at det er indført i hovedstandarden. DS-betegnelse angives på forsiden. Overensstemmelse med anden publikation: Overensstemmelse kan enten være IDT, EQV, NEQ eller MOD IDT: Når publikationen er identisk med en given publikation. EQV: Når publikationen teknisk er i overensstemmelse med en given publikation, men præsentationen er ændret. NEQ: Når publikationen teknisk eller præsentationsmæssigt ikke er i overensstemmelse med en given standard, men udarbejdet på baggrund af denne. MOD: Når publikationen er modificeret i forhold til en given publikation.

Indholdsfortegnelse Forord... 7 0 Indledning... 8 0.1 Hvad er informationssikkerhed?... 8 0.2 Hvorfor er informationssikkerhed nødvendig?... 8 0.3 Formulering af sikkerhedsbehov... 8 0.4 Opgørelse af sikkerhedsbehov... 8 0.5 Valg af sikringsforanstaltninger... 9 0.6 Det basale udgangspunkt... 9 0.7 Kritiske succesfaktorer... 9 0.8 Virksomhedens specifikke sikkerhedsretningslinjer... 10 1 Formål... 11 2 Termer og definitioner... 12 2.1 Ordforklaring... 12 2.2 Tilknyttede standarder med videre... 19 3 Standardens opbygning... 21 4 Risikovurdering og -håndtering... 22 4.1 Vurdering af sikkerhedsrisici... 22 4.2 Risikohåndtering... 22 5 Overordnede retningslinjer... 23 5.1 Informationssikkerhedsstrategi... 23 5.1.1 Formulering af en informationssikkerhedspolitik... 23 5.1.2 Løbende vedligeholdelse... 23 6 Organisering af informationssikkerhed... 25 6.1 Interne organisatoriske forhold... 25 6.1.1 Ledelsens rolle... 25 6.1.2 Koordinering af informationssikkerhed... 25 6.1.3 Ansvarsplacering... 26 6.1.4 Godkendelsesprocedure ved anskaffelser... 26 6.1.5 Tavshedserklæringer... 27 6.1.6 Kontakt med myndigheder... 27 6.1.7 Fagligt samarbejde med grupper og organisationer... 27 6.1.8 Periodisk opfølgning... 28 6.2 Eksterne samarbejdspartnere... 28 6.2.1 Identifikation af risici i forbindelse med eksternt samarbejde... 28 6.2.2 Sikkerhedsforhold i relation til kunder... 29 6.2.3 Samarbejdsaftaler... 30 7 Styring af informationsrelaterede aktiver... 32 7.1 Identifikation af og ansvar for informationsrelaterede aktiver... 32 7.1.1 Fortegnelse over informationsaktiver... 32 7.1.2 Ejerskab... 32 7.1.3 Accepteret brug af aktiver... 33 7.2 Klassifikation af informationer og data... 33 7.2.1 Klassifikation... 33 7.2.2 Mærkning og håndtering af informationer og data... 34 8 Medarbejdersikkerhed... 35 8.1 Sikkerhedsprocedure før ansættelse... 35 8.1.1 Opgaver og ansvar... 35 8.1.2 Efterprøvning... 35 8.1.3 Aftale om ansættelse... 36 8.2 Ansættelsesforholdet... 36 8.2.1 Ledelsens ansvar... 37 8.2.2 Uddannelse, træning og oplysning om informationssikkerhed... 37 8.2.3 Sanktioner... 37 8.3 Ansættelsens ophør... 38 8.3.1 Ansvar ved ansættelsens ophør... 38 8.3.2 Returnering af aktiver... 38 3

8.3.3 Inddragelse af rettigheder... 39 9 Fysisk sikkerhed... 40 9.1 Sikre områder... 40 9.1.1 Fysisk afgrænsning... 40 9.1.2 Fysisk adgangskontrol... 40 9.1.3 Sikring af kontorer, lokaler og udstyr... 41 9.1.4 Beskyttelse mod eksterne trusler... 41 9.1.5 Arbejdsmæssige forhold i sikre områder... 41 9.1.6 Områder til af- og pålæsning med offentlig adgang... 42 9.2 Beskyttelse af udstyr... 42 9.2.1 Placering af udstyr... 42 9.2.2 Forsyningssikkerhed... 43 9.2.3 Sikring af kabler... 43 9.2.4 Udstyrs og anlægs vedligeholdelse... 44 9.2.5 Sikring af udstyr uden for virksomhedens overvågning... 44 9.2.6 Sikker bortskaffelse eller genbrug af udstyr... 44 9.2.7 Fjernelse af virksomhedens informationsaktiver... 45 10 Styring af netværk og drift... 46 10.1 Operationelle procedurer og ansvarsområder... 46 10.1.1 Driftsafviklingsprocedurer... 46 10.1.2 Ændringsstyring... 46 10.1.3 Funktionsadskillelse... 47 10.1.4 Adskillelse mellem udvikling, test og drift... 47 10.2 Ekstern serviceleverandør... 47 10.2.1 Serviceleverancen... 48 10.2.2 Overvågning og revision af serviceleverandøren... 48 10.2.3 Styring af ændringer hos ekstern serviceleverandør... 48 10.3 Styring af driftsmiljøet... 49 10.3.1 Kapacitetsstyring... 49 10.3.2 Godkendelse af nye eller ændrede systemer... 49 10.4 Skadevoldende programmer og mobil kode... 50 10.4.1 Beskyttelse mod skadevoldende programmer... 50 10.4.2 Beskyttelse mod mobil kode... 50 10.5 Sikkerhedskopiering... 51 10.5.1 Sikkerhedskopiering... 51 10.6 Netværkssikkerhed... 51 10.6.1 Netværket... 52 10.6.2 Netværkstjenester... 52 10.7 Databærende medier... 52 10.7.1 Bærbare datamedier... 52 10.7.2 Destruktion af datamedier... 53 10.7.3 Beskyttelse af datamediers indhold... 53 10.7.4 Beskyttelse af systemdokumentation... 54 10.8 Informationsudveksling... 54 10.8.1 Informationsudvekslingsretningslinjer og -procedurer... 54 10.8.2 Aftaler om informationsudveksling... 55 10.8.3 Fysiske datamediers sikkerhed under transport... 56 10.8.4 Elektronisk post og dokumentudveksling... 56 10.8.5 Virksomhedens informationssystemer... 57 10.9 Elektroniske forretningsydelser... 57 10.9.1 Elektronisk handel... 57 10.9.2 Onlinetransaktioner... 58 10.9.3 Offentligt tilgængelige informationer... 58 10.10 Logning og overvågning... 59 10.10.1 Opfølgningslogning... 59 10.10.2 Overvågning af systemanvendelse... 59 10.10.3 Beskyttelse af log-oplysninger... 60 10.10.4 Administrator- og operatørlog... 61 10.10.5 Fejllog... 61 10.10.6 Tidssynkronisering... 61 11 Adgangsstyring... 62 11.1 De forretningsmæssige krav til adgangsstyring... 62 4

11.1.1 Retningslinjer for adgangsstyring... 62 11.2 Administration af brugeradgang... 62 11.2.1 Registrering af brugere... 63 11.2.2 Udvidede adgangsrettigheder... 63 11.2.3 Adgangskoder... 64 11.2.4 Periodisk gennemgang af brugernes adgangsrettigheder... 64 11.3 Brugernes ansvar... 65 11.3.1 Brug af adgangskoder... 65 11.3.2 Uovervåget udstyr... 65 11.3.3 Beskyttelse af datamedier på den personlige arbejdsplads... 66 11.4 Styring af netværksadgang... 66 11.4.1 Retningslinjer for brug af netværkstjenester... 66 11.4.2 Autentifikation af brugere med ekstern netværksforbindelse... 67 11.4.3 Identifikation af netværksudstyr... 67 11.4.4 Beskyttelse af diagnose- og konfigurationsporte... 68 11.4.5 Opdeling af netværk... 68 11.4.6 Styring af netværksadgang... 68 11.4.7 Rutekontrol i netværk... 69 11.5 Styring af systemadgang... 69 11.5.1 Sikker log-on... 69 11.5.2 Identifikation og autentifikation af brugere... 70 11.5.3 Styring af adgangskoder... 71 11.5.4 Brug af systemværktøjer... 71 11.5.5 Automatiske afbrydelser... 72 11.5.6 Begrænset netværksforbindelsestid... 72 11.6 Styring af adgang til brugersystemer og informationer... 72 11.6.1 Begrænset adgang til informationer... 72 11.6.2 Isolering af særligt kritiske brugersystemer... 73 11.7 Mobilt udstyr og fjernarbejdspladser... 73 11.7.1 Mobilt udstyr og datakommunikation... 73 11.7.2 Fjernarbejdspladser... 74 12 Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer... 76 12.1 Sikkerhedskrav til informationsbehandlingssystemer... 76 12.1.1 Analyse og specifikation af krav til sikkerhed... 76 12.2 Korrekt informationsbehandling... 76 12.2.1 Validering af inddata... 77 12.2.2 Kontrol af den interne databehandling... 77 12.2.3 Meddelelsers integritet... 78 12.2.4 Validering af uddata... 78 12.3 Kryptografi... 78 12.3.1 Retningslinjer for brugen af kryptografi... 79 12.3.2 Nøglehåndtering... 79 12.4 Styring af driftsmiljøet... 80 12.4.1 Sikkerhed ved systemtekniske filer... 81 12.4.2 Sikring af testdata... 81 12.4.3 Styring af adgang til kildekode... 82 12.5 Sikkerhed i udviklings- og hjælpeprocesser... 82 12.5.1 Ændringsstyring... 82 12.5.2 Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne... 83 12.5.3 Begrænsninger i ændringer til standardsystemer... 83 12.5.4 Lækage af informationer... 84 12.5.5 Systemudvikling udført af en ekstern leverandør... 84 12.6 Sårbarhedsstyring... 85 12.6.1 Sårbarhedssikring... 85 13 Styring af sikkerhedshændelser... 87 13.1 Rapportering af sikkerhedshændelser og svagheder... 87 13.1.1 Rapportering af sikkerhedshændelser... 87 13.1.2 Rapportering af svagheder... 88 13.2 Håndtering af sikkerhedsbrud og forbedringer... 88 13.2.1 Ansvar og forretningsgange... 88 13.2.2 At lære af sikkerhedsbrud... 89 13.2.3 Indsamling af beviser... 89 5

14 Beredskabsstyring... 91 14.1 Beredskabsstyring og informationssikkerhed... 91 14.1.1 Informationssikkerhed i beredskabsstyringen... 91 14.1.2 Beredskab og risikovurdering... 92 14.1.3 Udarbejdelse og implementering af beredskabsplaner... 92 14.1.4 Rammerne for beredskabsplanlægningen... 93 14.1.5 Afprøvning, vedligeholdelse og revurdering af beredskabsplaner... 93 15 Overensstemmelse med lovbestemte og kontraktlige krav... 95 15.1 Overensstemmelse med lovbestemte krav... 95 15.1.1 Identifikation af relevante eksterne krav... 95 15.1.2 Ophavsrettigheder... 95 15.1.3 Sikring af virksomhedens kritiske data... 96 15.1.4 Beskyttelse af personoplysninger... 97 15.1.5 Beskyttelse mod misbrug af informationsbehandlingsfaciliteter... 97 15.1.6 Lovgivning vedrørende kryptografi... 98 15.2 Overensstemmelse med sikkerhedspolitik og -retningslinjer... 98 15.2.1 Overensstemmelse med virksomhedens sikkerhedsretningslinjer... 98 15.2.2 Opfølgning på tekniske sikringsforanstaltninger... 98 15.3 Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer... 99 15.3.1 Sikkerhed i forbindelse med systemrevision... 99 15.3.2 Beskyttelse af revisionsværktøjer... 100 Anneks A Eksempel på en informationssikkerhedspolitik... 101 Informationssikkerhedspolitik for Virksomhed NN... 101 A.1 Indledning... 101 A.2 Formål... 101 A.3 Omfang... 101 A.4 Sikkerhedsniveau... 102 A.5 Sikkerhedsbevidsthed... 102 A.6 Brud på informationssikkerheden... 102 Bilag 1 Anvendelse i praksis... 103 Anneks B Risikovurdering... 104 B.1 Den anvendte terminologi... 104 B.2 Fremgangsmåde i praksis... 105 B.3 Eksempel... 107 B.4 Konklusion... 109 6

Forord Denne standard indeholder en række bestemmelser, der sigter mod at gøre informationssikkerhed til en specificerbar kvalitet. Standardens krav er i størst muligt omfang funktionelt betingede og baserede på teknisk og administrativ viden. Det er så vidt muligt undgået at give regler for standardiserede projekteringsmetoder, udførelsesmåder eller fysiske dele. I teksten forekommer henvisninger til andre danske og udenlandske standarder. Det vil dog kun i særlige tilfælde være nødvendigt at supplere med disse standarder. Standarden tager sit udgangspunkt i ISO/IEC 17799:2005, Information technology Security techniques Code of practice for information security management. Standarden er udarbejdet på en sådan måde, at det er muligt at referere mellem de to dokumenter. ISO/IEC 17799 er imidlertid af ren vejledende karakter. Der er ingen krav om konkret implementering af de enkelte sikrings- og kontrolforanstaltninger. En del af disse er dog karakteriseret ved: at være omfattet af generelle danske lov- og myndighedskrav, fx Persondataloven og Bogføringsloven at være et nødvendigt grundlag for overhovedet at anvende standarden, fx en overordnet risikovurdering og formulering af en informationssikkerhedspolitik at være så almene, at de ud fra en generel vurdering af god praksis bør være fundamentet for informationssikkerheden i enhver virksomhed. Disse foranstaltninger betegnes i den danske udgave som de basale sikringsforanstaltninger, der som minimum skal være etableret, for at en virksomhed kan påberåbe sig, at den lever op til DS 484. Herudover beskriver standarden en række skærpede sikringsforanstaltninger, som en virksomhed bør etablere, såfremt særlige forhold gør sig gældende. Disse forhold kan være: Særlige lovkrav, eksempelvis for banker, sparekasser, forsikringsselskaber, realkreditinstitutter, arbejdsløshedskasser og offentlige virksomheder. Særlige branchenormer, hvor brancheforeninger anbefaler deres medlemmer at etablere nogle supplerende sikringsforanstaltninger af hensyn til branchens etiske regler, omdømme osv. Særlige tilfælde, hvor risikoen for eller konsekvensen af et brud på informationssikkerheden er så stor, at skærpede sikringsforanstaltninger er påkrævet. Særlige forretningssystemer, eksempelvis elektronisk handel og kundevendte banksystemer, hvor den åbne kontaktflade og brugen af offentlige netværk samt kundernes forventninger til tilgængelighed nødvendiggør skærpede sikringsforanstaltninger. Det er således op til brugeren af denne standard selv at vurdere, om særlige forhold giver anledning til krav om skærpede sikringsforanstaltninger. De skærpede sikringsforanstaltninger er markeret med en *. Standardens krav skal vurderes og anvendes i overensstemmelse med dens hensigt og med hensyntagen til den udvikling, der finder sted inden for dens område. Derfor forudsættes det, at standardens brugere har et vist generelt kendskab til informationsbehandling. I visse tilfælde forekommer der henvisninger til love eller cirkulærer mv., hvor de har relevant sammenhæng med beskrivende tekster og vejledninger. Det forudsættes i øvrigt, at standardens brugere har fornødent kendskab til lovgivningen og andre eksterne bestemmelser, der har betydning for standardens praktiske brug. 7

0 Indledning 0.1 Hvad er informationssikkerhed? Information er et aktiv, der i lighed med øvrige virksomhedsaktiver er væsentlig for virksomhedens forretningsaktiviteter og derfor skal beskyttes på passende vis. Dette er specielt vigtigt med den øgede digitale informationsudveksling, som har medført en forøgelse af både trusler og sårbarheder, jf. eksempelvis OECD Guidelines. Information kan eksistere i mange former. Det kan være skrevet på papir, lagret elektronisk, transmitteret via kabler eller gennem luften, ligge på en film eller være fremført i en konversation. Uanset formen skal information beskyttes i henhold til dens betydning for virksomheden. Informationssikkerhed defineres som den samlede mængde af beskyttelsesforanstaltninger, der skal sikre virksomhedens daglige drift, minimere skader, samt beskytte virksomhedens investeringer og sikre grundlaget for nye forretningsmuligheder. Informationssikkerhed opnås ved at implementere, overvåge, revurdere og løbende ajourføre et passende sæt af beskyttelsesforanstaltninger bestående af politikker, praksis, procedurer, organisatoriske tiltag og system- eller maskintekniske funktioner. 0.2 Hvorfor er informationssikkerhed nødvendig? Information og informationsbehandlingsprocesser, -systemer og -netværk er væsentlige virksomhedsaktiver. At definere, etablere og vedligeholde en passende informationssikkerhed kan være afgørende for virksomhedens konkurrencedygtighed, rentabilitet, omdømme og efterlevelse af gældende lovgivning. Virksomhederne udsættes for en bred vifte af trusler spændende fra svindel, industrispionage, sabotage og terror til ildebrand og oversvømmelse. Trusler som skadevoldende programmer (virus m.m.), uautoriseret indtrængen og blokering af transmissionsforbindelser bliver mere og mere almindelige og mere og mere sofistikerede, jf. anneks B, Risikovurdering. Informationssikkerhed er væsentlig både for den offentlige og den private sektor og for at beskytte kritisk infrastruktur. En troværdig informationssikkerhed er en afgørende forudsætning for digital forvaltning og e-handel. Samtidigt giver det øgede antal adgangsmuligheder, hjemmearbejdspladser og private brugere en øget sårbarhed, da det ikke længere er muligt at forlade sig på traditionelle, centrale sikringsforanstaltninger. Mange informationssystemer er ikke konstrueret med et forsvarligt sikkerhedsniveau. Det er derfor begrænset, hvor meget sikkerhed der kan opnås med en ren teknisk indsats. Den fornødne sikkerhed må følgelig etableres ved hjælp af organisatoriske og ledelsesmæssige foranstaltninger. Etablering af disse foranstaltninger kræver omhyggelig og detaljeret planlægning. Implementeringen af en optimal informationssikkerhed kræver som minimum en aktiv medvirken fra alle i virksomheden. Herudover kan det også kræve medvirken fra leverandører, samarbejdspartnere, kunder og andre eksterne interessenter. Det kan endvidere være påkrævet at søge yderligere ekstern bistand. 0.3 Formulering af sikkerhedsbehov Det er af afgørende betydning, at virksomheden definerer sine sikkerhedsbehov. Man kan her tage udgangspunkt i tre hovedkilder: 1. Virksomhedens egen risikovurdering baseret på virksomhedens forretningsstrategi og -målsætning. Her vurderes trusselbilledet, virksomhedens sårbarhed og de forretningsmæssige konsekvenser, hvis et uheld skulle ske. 2. Eksterne krav til virksomheden, dens samarbejdspartnere og dens leverandører. Disse krav kan være lovgivning, bekendtgørelser, forordninger, samarbejdsaftaler eller hensyn til det omgivende samfund. 3. Interne krav afledt af virksomhedens egne kvalitetskrav for at støtte en specifik forretningsmålsætning. 0.4 Opgørelse af sikkerhedsbehov Sikkerhedsbehov identificeres ved en metodisk vurdering af sikkerhedsrisici. Udgifterne til sikringsforanstaltninger skal holdes op mod de forretningsmæssige tab herunder også de immaterielle tab som fx dårligt omdømme ved en given sikkerhedsbrist. En risikovurdering kan gennemføres for den samlede virksomhed, for enkelte afdelinger eller for specifikke informationssystemer, systemkomponenter eller -ydelser. 8

En risikovurdering omfatter en analyse af virksomhedens aktiver, trusler, sårbarheder og uheldskonsekvenser for at skabe et samlet risikobillede og derved afdække de enkelte risicis væsentlighed. I anneks B findes en yderligere uddybning af teknikken bag en risikovurdering. Mere detaljerede beskrivelser kan findes i BS 7799-2:2002, Information security management Specification with guidance for use, og ISO/IEC TR 13335-3, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT Security. Resultatet af risikovurderingen indgår i virksomhedsledelsens risikostyring, hvor de enkelte risici prioriteres, og det besluttes, hvilke sikringsforanstaltninger der skal iværksættes. Det vil i mange tilfælde være nødvendigt at gennemføre risikovurderingen i flere trin for at bevare det samlede overblik. Endelig skal det understreges, at en risikovurdering skal gentages regelmæssigt og ved større organisatoriske eller teknologiske ændringer. 0.5 Valg af sikringsforanstaltninger Når virksomhedens sikkerhedsbehov og risici er afdækket, og risiciene er prioriterede i henhold til deres væsentlighed, skal de basale sikringsforanstaltninger og relevante skærpede sikringsforanstaltninger udvælges og implementeres for at sikre, at risiciene bliver reduceret til et acceptabelt niveau. I enkelte specielle tilfælde kan det blive nødvendigt at udvikle og implementere yderligere foranstaltninger. Man skal dog være opmærksom på, at ingen sikringsforanstaltninger kan give fuldstændig sikkerhed. De skal altid suppleres med en ledelsesmæssig overvågning og en løbende ajourføring for at sikre deres effektivitet. En given risiko kan ofte reduceres med forskellige sikringsforanstaltninger. Det konkrete valg afhænger af risikoens væsentlighed og omkostningerne ved sikringsforanstaltningen. For at reducere omkostningerne og øge effektiviteten bør sikringsforanstaltninger integreres i en given systemløsning så tidligt som muligt i udviklingsforløbet. Jo senere i forløbet de integreres, jo større bliver omkostningerne, og man risikerer i værste fald, at det bliver umuligt at opnå en tilfredsstillende sikkerhed. 0.6 Det basale udgangspunkt Som nævnt i forordet er standardens sikringsforanstaltninger delt i to kategorier for at gøre det lettere og hurtigere for virksomhederne at få etableret og vedligeholdt et rimeligt og betryggende sikkerhedsniveau. De basale sikringsforanstaltninger er de sikrings- og kontrolforanstaltninger, der i henhold til god praksis bør være grundlaget for informationssikkerheden i enhver virksomhed. Langt de fleste af disse foranstaltninger vil sandsynligvis allerede være etableret, om end måske ikke videre systematisk og struktureret. Her vil standarden være en god hjælp som tjekliste ved en systematisk gennemgang. Herudover skal der gennemføres en overordnet risikovurdering for at afdække, om virksomheden har nogle sikkerhedsbehov, som ikke er dækket af de basale sikringsforanstaltninger. 0.7 Kritiske succesfaktorer Erfaringen har vist, at der er en række faktorer, som er afgørende for implementeringen af en betryggende informationssikkerhed i en virksomhed: a) En sikkerhedspolitik, -målsætning og -strategi, som afspejler virksomhedens forretningsmæssige målsætning. b) En organisatorisk tilgang til sikkerhedsimplementering, -vedligeholdelse, -overvågning og -ajourføring, som er i overensstemmelse med virksomhedens kultur. c) Ledelsens synlige støtte og engagement. d) En god forståelse for sikkerhedsbehov, risikovurdering og risikostyring. e) En effektiv markedsføring af sikkerhed over for ledelse og medarbejdere. f) God vejledning om sikkerhedspolitik og -retningslinjer til ledelse og medarbejdere. g) Tilstrækkelige midler til at gennemføre de nødvendige styringsaktiviteter. h) Tilstrækkelige midler til at gennemføre den nødvendige træning og uddannelse. i) Etablering af et effektivt hændelsesstyringssystem. j) Et ledelsesrapporteringssystem, som løbende kan vurdere sikringsforanstaltningernes effektivitet og sikre opfølgning på forslag til forbedringer. 9

0.8 Virksomhedens specifikke sikkerhedsretningslinjer Al sikkerhedsrelateret dokumentation i form af sikkerhedspolitik, -strategi og de mere specifikke retningslinjer og instrukser skal være samlet og struktureret på en sådan måde, at den er umiddelbart tilgængelig for de relevante personer. 10

1 Formål Det er denne standards formål at: udgøre et generelt grundlag for en virksomheds sikkerhedsmålsætning med henblik på udvikling, implementering, indførelse og effektiv styring af sikkerhedsmæssige kontroller, forholdsregler og sikringsforanstaltninger være generel referenceramme for virksomhedens interne og eksterne brug af informationsteknologiske faciliteter skabe grundlag for tillid til virksomhedens informationsbehandling både internt og eksternt være referenceramme ved anskaffelse og kontrahering af informationsteknologiske produkter og tjenesteydelser. 11

2 Termer og definitioner Nedenfor findes en ordforklaring for de begreber, som anvendes i denne standard. Begreberne er tilpasset internationale standarder i den udstrækning, det har været muligt. For de præcise internationale definitioner henvises til ISO/IEC Guide 73 og SC 27 Standing Document 6. 2.1 Ordforklaring adgangskontrol fysisk Enhver fysisk sikringsforanstaltning mod uautoriseret adgang til et sikkerhedsområde. adgangskontrol logisk Enhver programmerbar sikringsforanstaltning mod uautoriseret anvendelse af en virksomheds informationsaktiver. adgangskontrolliste En liste over brugere og deres tildelte autorisationer og rettigheder til at anvende virksomhedens informationsaktiver. Se også autorisation og rettigheder. adgangskode (password) Kombination af tegn, som benyttes til verifikation af en brugers identitet. adgangskort Et adgangskort er en identifikationsbærer, der fx er udformet som et plastikkort. Kortets dataindhold identificerer den person, kortet er udstedt til. aktiver Alt, der har værdi for virksomheden således også immaterielle værdier som fx informationsbehandlingssystemer, data, procedurer og dokumentation. Se også informationsaktiver. anråb/svarsystem En sikringsmekanisme, der validerer, hvorvidt en opkaldende brugers forsøg på at få tilladelse til at anvende et informationsbehandlingssystem kan godkendes. Inden godkendelsen gives, sender den opkaldte node et anråb til den opkaldende node med krav om et autenticitetsbevis. Kun, hvis det modtagne svar /autenticitetsbevis godkendes, gives der tilladelse. På engelsk kaldes det Challenge/Respons -system. applikationssystem Se informationsbehandlingssystemer. arbejdsstation/plads Betegnelse på en PC, skærmterminal eller lignende, der benyttes af en enkelt bruger, og som er tilkoblet et netværk, der giver mulighed for at anvende fælles ressourcer og datakommunikation. arkiv (dataarkiv) Opbevaringssted, hvor man systematisk opbevarer data på maskinlæsbare medier. autenticitet Egenskab, der sikrer, at en ressource eller person er den hævdede (anvendes fx ved log-on og elektronisk underskrift/digital signatur). autentificering/autentifikation Verifikation af en afsenders eller en modtagers autenticitet. autorisation Rettighed til at udføre specifikke funktioner samt tilladelse til at anvende på forhånd tildelte ressourcer. 12

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback