FYSISK SIKKERHED Bilag 10-1
Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6
1. FYSISK SIKKERHED Kundens IT-infrastruktur, lokaler, informationsbehandlingsudstyr og kommunikationsudstyr skal beskyttes mod uautoriseret fysisk adgang samt fysiske skader og uønskede hændelser. IT-sikkerhedschefen beskriver retningslinjer for fysisk afgrænsning af områder, fysisk adgangskontrol, sikring af kontorer, lokaler og udstyr, beskyttelse mod eksterne trusler, forsyningssikkerhed, sikker bortskaffelse eller genbrug af udstyr m.v. 1.1. SIKRE OMRÅDER Oversigt over datacentre Driftsleverandører/databehandlere skal levere en oversigt over datacentre og back-up centre med præcis adresseangivelse af hvor data findes. Offentlige områder I offentligt tilgængelige områder skal det sikres, at uvedkommende ikke kan få adgang til de sikre områder via Kundens øvrige lokaliteter. Informationer og udstyr, der er placeret i offentligt tilgængelige områder, skal sikres, således at uvedkommende hindres adgang hertil. Adgang til serverrum, hovedkrydsfelter og IT-klargøringsrum Den enkelte IT-chef er ansvarlig for godkendelse af personale med adgang til sikre områder. Adgang til serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse/databehandleraftale. Øvrige personer som har behov for adgang til lokaliteterne skal ledsages af en betroet medarbejder fra Kunden. Aflåsning af serverrum, hovedkrydsfelter, IT-klargøringsrum og øvrige teknikrum Serverrum, hovedkrydsfelter, IT-klargøringsrum og øvrige teknikrum, som har indflydelse på driften, skal være aflåste med specialnøgle. Indbrudsalarmer Bilag 10-1 FYSISK SIKKERHED Kunden, side 3 af 6
Som hovedregel skal alle Kundens bygninger være sikret med tyverialarm, herunder specialsikring af serverrum og krydsfelter. Brug af personlige adgangskort Såfremt medarbejdere eller leverandører arbejder i særligt sikre områder og er i besiddelse af et personligt adgangskort skal dette bæres synligt. Alternativt skal de kunne identificere sig på anden vis. Sikring af serverrum Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod uønskede hændelser som f.eks. brand, vand, eksplosion og tilsvarende påvirkninger. Sikring af lokaler og bygninger Alle vinduer og døre skal være låst forsvarligt, når lokationen forlades. Ansvar for den fysiske adgangskontrol Den enkelte magistratsafdeling har ansvaret for administration af den fysiske adgangskontrol, f.eks. nøgleadministration. 1.2. BESKYTTELSE AF UDSTYR Placering af udstyr Udstyr, der benyttes til at behandle fortrolige, følsomme og/eller kritiske informationer, skal sikres, således at informationerne ikke kan ses af uvedkommende. Udstyr, herunder computere, servere, routere og schwitche skal placeres eller beskyttes så risikoen for skade og uautoriseret adgang minimeres. Bilag 10-1 FYSISK SIKKERHED Kunden, side 4 af 6
Adgang til data på mobile enheder Adgang til data på mobile enheder, herunder bærbare computere skal beskyttes tilstrækkeligt. Adgang til data på mobiltelefoner og tablets skal beskyttes via Kundens MDM-løsning. Den fortrolige låsekode skal som minimum bestå af mindst 4 cifre, dog 6 cifre, hvis enheden indeholder følsomme oplysninger. Hvis den mobile enhed har et simkort med adgang til Kundens netværk, men endnu ikke har installeret MDM, skal pinkoden bestå af 4 cifre. Opbevaring af mobile enheder Mobile enheder skal opbevares sikret mod uvedkommendes adgang. Dette gælder også ved medtagelse uden for Kundens lokaliteter. Forsikringsdækning af mobile og stationære enheder Ved anskaffelse af udstyr skal den enkelte afdeling vurdere, om udstyret skal anskaffes med en forsikring. Sikring af kabling, krydsfelter, krydsfelt-switche og øvrige LAN-komponenter Kabling, krydsfelter, krydsfelt-switche og øvrige LAN-komponenter til datakommunikation skal beskyttes mod uautoriserede indgreb og skader. Faste kabler og udstyr skal mærkes klart og entydigt. Der skal til enhver tid være dokumentation for kabelføringen. Udlån af udstyr Udlån af udstyr må kun ske, hvis dette registreres skriftligt. Såfremt der er tale om udstyr, der indeholder fortrolige data, må dette kun ske med godkendelse fra den pågældende sikkerhedsansvarlige. Tyverimærkning af IT-udstyr Som udgangspunkt skal alt mobilt udstyr være tydeligt mærket for at minimere risikoen for tyveri. Bilag 10-1 FYSISK SIKKERHED Kunden, side 5 af 6
Service af udstyr og anlæg Inden udstyr med fortrolige informationer sendes til ekstern teknisk service, skal der så vidt muligt ske sikkerhedskopiering og sikker sletning af de kritiske og fortrolige informationer, med mindre der foreligger en databehandleraftale med pågældende leverandør. Bortskaffelse af data, licenser og udstyr I forbindelse med salg, kassation og overdragelse af udstyr skal der foretages sikker sletning af data og licenser som ikke tilhører maskinen, før enhver overdragelse af ejendomsretten til udstyret. Sikring af mobilt udstyr og fjernarbejdspladser Opkobling til Kundens netværk må kun ske via faste opkoblinger eller VPN-forbindelser udført af Kundens netværksoperatør. Adgang til systemer kan herudover etableres via Citrix og sikkerhedsgodkendt tofaktor-autentifikationsløsning. Den enkelte bruger af det mobile og det fastopkoblede udstyr har ansvaret for, at ingen uvedkommende kan få adgang til Kundens netværk, ligesom der ikke må lagres fortrolige, kritiske og følsomme informationer på udstyret med mindre, at harddisken er sikret, f.eks. ved kryptering. Der må ikke lagres fortrolige, kritiske og følsomme informationer på privat udstyr. Det skal sikres, at eventuelle printudskrifter bortskaffes via arbejdspladsens makuleringsordning. Sikring mod uønskede hændelser som f.eks. brand, kølesvigt, vandskader og strømsvigt Serverrum og deres indretning skal sikres mod uønskede hændelser i den nødvendige udstrækning for at sikre udstyr, data og drift Bilag 10-1 FYSISK SIKKERHED Kunden, side 6 af 6