Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Relaterede dokumenter
Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af Informationssikkerhed

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Fællesregional Informationssikkerhedspolitik

Vejledning i informationssikkerhedspolitik. Februar 2015

Informationssikkerhedspolitik

ISO Styr på Arbejdsmiljøet på din virksomhed

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Faxe Kommune. informationssikkerhedspolitik

Næstved Kommune. Informationssikkerhedspolitik ISO 27001

MedComs informationssikkerhedspolitik. Version 2.2

1. Introduktion til SoA Indhold og krav til SoA 4

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik for Horsens Kommune

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Region Hovedstadens Ramme for Informationssikkerhed

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Assens Kommune Sikkerhedspolitik for it, data og information

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet

Informationssikkerhedspolitik for <organisation>

Kursus: Ledelse af it- sikkerhed

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Informationssikkerhedspolitik. for Aalborg Kommune

Informationssikkerhedspolitik Frederiksberg Kommune

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

INFORMATIONS- SIKKERHEDSPOLITIK

Informationssikkerhedspolitik For Aalborg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

CHECKLISTE FOR ARBEJDSMILJØCERTIFICERING

Politik for informationssikkerheddatabeskyttelse

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

IT-sikkerhedspolitik for

KOMBIT sikkerhedspolitik

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Overordnet Informationssikkerhedspolitik

Vejledning i informationssikkerhedsstyring. Februar 2015

Certificering ISO 14001:2015

Velkommen Grupperne SJ-1 & SJ-2

Politik <dato> <J.nr.>

Revideret Miljøledelsesstandard

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Risikostyring ifølge ISO27005 v. Klaus Kongsted

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

IT-SIKKERHEDSPOLITIK UDKAST

PSYKIATRIFONDENS Informationssikkerhedspolitik

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Vejledning i evaluering og opfølgning. Juni 2016

Ballerup Kommune Politik for databeskyttelse

Infoblad. IATF Automotive

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Informationssikkerhedspolitik for Region Midtjylland

IT-sikkerhedspolitik S i d e 1 9

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

IT sikkerhedspolitik for Business Institute A/S

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Standard for offentlig revision nr. 2 Rigsrevisionens kvalitetsstyring SOR 2 SOR 2. Standarderne SOR 2. for offentlig

Ny bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Infoblad. ISO/TS Automotive

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Sikkerhedsvurderinger

Struktureret Compliance

Digitaliseringsstyrelsen Risikovurdering Marts 2018

Audit beskrivelser for PL

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

IMPLEMENTERING AF MILJØLEDELSE

Kommissorium for revisionsudvalget i TDC A/S

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

ITA-konferencen Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

Informationssikkerhedspolitik for Sønderborg Kommune

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Overordnet informationssikkerhedsstrategi

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Velkommen Gruppe SJ-1

Hvad er Informationssikkerhed

Overordnet It-sikkerhedspolitik

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

Velkommen Gruppe SJ-1

Velkommen Gruppe SJ-1

SOPHIAGÅRD ELMEHØJEN

Transkript:

Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018

Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst 1 4.2 Forståelse af interessenters behov og forventninger 1 4.3 Bestemmelse af omfanget af ledelsessystemet for 1 informationssikkerhed 4.4 Ledelsessystem for informationssikkerhed 1 5 Lederskab 1 5.1 Lederskab og engagement 1 5.2 Politik 1 5.3 Roller, ansvar og beføjelser i organisationen 2 6 Planlægning 2 6.1 Handlinger til håndtering af risici og muligheder 2 6.1.1 Generelt 3 6.1.2 Vurdering af informationssikkerhedsrisici 3 6.1.3 Håndtering af informationssikkerhedsrisici 3 6.2 Informationssikkerhedsmålsætninger og planlægning for 4 opnåelse heraf 7 Support 4 7.1 Ressourcer 4 7.2 Kompetencer 4 7.3 Bevidsthed 4 7.4 Kommunikation 5 7.5 Dokumenteret information 5 7.5.1 Generelt 5 7.5.2 Udarbejdelse og opdatering af information 5 7.5.3 Styring af dokumenteret information 6 8 Drift 6 8.1 Driftplanlægning og styring 6 8.2 Vurdering af informationssikkerhedsrisici 6 8.3 Håndtering af informationssikkerhedsrisici 6 9 Evaluering 6 9.1 Overvågning, måling, analyse og evaluering 7 9.2 Intern audit 7 9.3 Ledelsens gennemgang 7.0

10 Forbedring 7 10.1 Afvigelser og korrigerende handlinger 7 10.2 Løbende forbedring 8.0

4 Organisationens kontekst 4.1 Forståelse af organisationen og dens kontekst Dokumentation af organisationen Organisationen skal dokumenteres ved hjælp af et organisationsdiagram Alle relevante eksterne interessenter bør identificeres og dokumenteres 4.2 Forståelse af interessenters behov og forventninger Dokumentation af interesserede parters behov og forventninger Alle sikkerhedskrav fra interne og eksterne parter skal dokumenteres Alle interne og eksterne parter, der er relevante for informationssikkerheden, skal identificeres Alle juridiske krav, der berører informationssikkerhed, skal identificeres Alle kontraktlige forpligtelser, der påvirker informationssikkerheden skal identificeres. 4.3 Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed Omfang af informationssikkerhedspolitik Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceduremæssige, regel- og lovmæssige kontroller. Dokumentation af anvendelsesområdet for ISMS Det organisatoriske anvendelsesområde for ISMS'et skal dokumenteres 4.4 Ledelsessystem for informationssikkerhed Informationssikkerhedsprocessen Der skal etableres en informationssikkerhedsproces Informationssikkerhedsprocessen skal revideres regelmæssigt Informationssikkerhedsprocesserne skal løbende forbedres baseret på regelmæssige reviews 5 Lederskab 5.1 Lederskab og engagement Ledelsens engagement Ledelsen skal aktivt lede og støtte de medarbejdere, der er ansvarlige for at vedligeholde informationssikkerheden Ledelsen skal aktivt fremme og støtte forbedringer af informationssikkerheden Ledelseskommunikation Ledelsen skal kommunikere betydningen af at overholde kravene til informationssikkerhed. Ledelsens rolle Ledelsen skal støtte virksomhedens informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar. 5.2 Politik Side 1 af 8

Distribution af informationssikkerhedspolitikken Informationssikkerhedspolitikken skal være dokumenteret Informationssikkerhedspolitikken skal kommunikeres ud i organisationen Informationssikkerhedspolitikken skal være tilgængelig for alle relevante parter Revision af informationssikkerhedspolitikken Der skal ske revision af sikkerhedspolitikken mindst en gang om året. Informationssikkerhedspolitikken skal revideres når de forretningsmæssige behov eller virksomhedens mål ændres Etablering af informationssikkerhedspolitikken Ledelsen skal sikre, at sikkerhedsmålene er definerede som en del af informationssikkerhedspolitikken Ledelsen skal sikre, at informationssikkerhedspolitikken dækker alle gældende krav - interne såvel som eksterne Ledelsen skal sikre, at informationssikkerhedspolitikken fremmer den løbende forbedring af ISMS'et Publicering af sikkerhedspolitik Informationssikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere. Opfølgning på implementering af sikkerhedspolitikken Mindst en gang årligt skal der udføres systematisk opfølgning på overholdelse af sikkerhedspolitikken i hele organisationen. Resultatet skal rapporteres til øverste ledelse. Godkendelse af sikkerhedspolitik Sikkerhedspolitikken skal hvert år godkendes af ledelsen. Vedligeholdelse af sikkerhedspolitik Sikkerhedschefen har det overordnede ansvar for at oprette, vedligeholde og distribuere sikkerhedspolitikker, regler og procedurer. 5.3 Roller, ansvar og beføjelser i organisationen Sikkerhedsorganisation Skanderborg Kommune skal have et forum for informationssikkerhed, der har ansvar for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med Skanderborg Kommunes mål. Der skal være en separat og veldefineret sikkerhedsfunktion, hvis primære arbejdsopgave er at sikre Skanderborg Kommune. Ansvar og bemyndigelse i forbindelse med informationssikkerhed Ledelsen skal uddelegere ansvar og bemyndigelse til at sikre, at kravene i ISO 27001-standarden er opfyldt Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen bæres af den sikkerhedsansvarlige. 6 Planlægning 6.1 Handlinger til håndtering af risici og muligheder Side 2 af 8

6.1.1 Generelt Plan for risikostyring Ledelsen skal sikre at risikostyring er implementeret og planlagt i organisationen. Risikostyringen skal planlægges således både risici og muligheder identificeres. Risikostyringsaktiviteter skal planlægges i et årshjul for Skanderborg Kommune. Konsekvensvurdering Konsekvenser af hændelser i forbindelse med it-systemerne skal løbende vurderes. Konsekvensvurdering skal opdateres hvert år. 6.1.2 Vurdering af informationssikkerhedsrisici Ejerskab Der skal udpeges en ejer for forretningskritiske systemer. Risikokriterier Organisationen skal udarbejde en risikometode, der definerer kriterierne for accept af risiko Organisationen skal udarbejde en risikometode, der definerer kriterierne for, hvornår der skal udføres risikovurderinger. Eksempelvis periodiske vurderinger samt vurderinger ved større it-ændringer. Dokumentation af risikovurderingen Resultaterne af risikovurderingen bør være systematisk og konsekvent dokumenteret Konsistens i risikovurderingerne Organisationen skal fastlægge fælles kriterier for risikovurdering Identifikation af risici Organisationen skal identificere risici forbundet med tab af fortrolighed, integritet og/eller tilgængelighed Identifikation af kritiske processer Alle forretningskritiske funktioner og disses relaterede processer, systemer og ejere skal være identificerede og dokumenterede. Risikostyring Vores risikostyringsprocedurer for informationssikkerhed er i overensstemmelse med ISO 27005 6.1.3 Håndtering af informationssikkerhedsrisici Forsikring mod hændelser Ledelsen skal vurdere, om forsikring kan medvirke til at minimere konsekvensen af tab. Især på områder, hvor sikringsforanstaltninger er vurderet som uhensigtsmæssige eller utilstrækkelige, skal dette overvejes. Risikohåndtering Der skal indføres passende sikringstiltag baseret på risikovurderingen Det valgte sikringstiltag bør sammenholdes med sikringstiltaget anført i standardens Annex A for at sikre, at ingen nødvendige kontroller udelades Der skal udarbejdes en SoA baseret på de valgte sikringstiltag Side 3 af 8

Statement of Applicability bør omfatte begrundelsen for at medtage eller fravælge kontrolforanstaltninger Vi behandler risici ved hjælp af de fire muligheder i ISO 27005: Accepter risici Reducer risici ved at implementere kontroller Del risici Undgå risici 6.2 Informationssikkerhedsmålsætninger og planlægning for opnåelse heraf Om at opnå informationssikkerhedsmål Der skal udarbejdes en plan for, hvordan målene for informationssikkerhed opnås. Planerne for at opnå målsætningerne for informationssikkerhed skal indeholde beskrivelser af: hvilke aktiviteter, der vil blive iværksat hvilke ressourcer, der vil være behov for hvem der skal udføre aktiviteterne hvornår planen vil blive udført hvordan det vurderes, om målene er opfyldt Informationssikkerhedsmål Målsætningerne for informationssikkerhed skal være: i overensstemmelse med informationssikkerhedspolitikken målbare (om muligt) kommunikerede regelmæssigt opdaterede Målsætningerne for informationssikkerhed skal tage hensyn til gældende sikkerhedskrav, internt såvel som eksternt Målsætningerne for informationssikkerhed skal være baseret på risikovurderinger og risikohåndteringsplaner Informationssikkerhedsmålene bør dokumenteres struktureret og ensartet 7 Support 7.1 Ressourcer Sikring af ressourcer til ISMS'et Ledelsen skal sikre, at der afsættes tilstrækkelige ressourcer til at holde ISMS'et kørende 7.2 Kompetencer Tilstrækkelige kompetencer til at drive ISMS et Organisationen skal sikre, at de personer, der er ansvarlige for ISMS'et har de nødvendige kompetencer Hvis ikke alle nødvendige kompetencer er til stede i organisationen, skal der tages initiativ til at tilegne sig disse kompetencer Organisationen skal kunne dokumentere, at de relevante kompetencer er til rådighed 7.3 Bevidsthed Uddannelse i sikkerhedspolitikken Det er en forudsætning for fortsat ansættelse at medarbejdere kvitterer for modtagelse af virksomhedens informationssikkerhedspolitik og for intention om at overholde denne. Side 4 af 8

Alle medarbejdere skal kvittere for, at de har læst og forstået Skanderborg Kommunes informationssikkerhedspolitik. Træning af medarbejderne i Skanderborg Kommunes informationssikkerhedspolitik skal foregå ved inddragelse af forskellige formidlingsmetoder, eksempelvis ved hjælp af e-mail, plakater, rundskrivelser, møder eller kampagner. Alle medarbejdere modtager løbende uddannelse for at sikre viden om og opmærksomhed på informationssikkerhed. Alle nye medarbejdere modtager, senest på første arbejdsdag, Skanderborg Kommunes informationssikkerhedspolitik. 7.4 Kommunikation Kommunikation om informationssikkerhed Organisationen skal fastlægge en kommunikationsplan for informationssikkerhed Kommunikationsplanen for informationssikkerhed skal beskrive: hvad der skal kommunikeres hvornår der skal kommunikeres modtagere hvem, der skal kommunikere hvordan kommunikationen skal foretages (medie/form) 7.5 Dokumenteret information 7.5.1 Generelt Dokumentation af informationssikkerhed Obligatoriske ISMS-dokumenter omfatter: ISMS'ets anvendelsesområde Informationssikkerhedspolitik og -målsætninger metoder for risikovurdering og -håndtering Statement of Applicability Risikovurderingsrapport Risikohåndteringsplan De registreringer, der er nødvendige for at dokumentere effektiviteten af ISMS'et omfatter: resultater af uddannelse, kompetencer, erfaring og kvalifikationer resultater af overvågning og måling intern audit-programmer resultater af intern audit resultater af ledelsesberetningen resultater af korrigerende handlinger 7.5.2 Udarbejdelse og opdatering af information Sprog for sikkerhedspolitik It-sikkerhedspolitikken skal udarbejdes på dansk. Vedligeholdelse af informationssikkerhedsdokumenter og -registreringer Informationssikkerhedsdokumenter og -registreringer skal være klart identificerede (beskrivelse, titel, dato, forfatter, nummer) Side 5 af 8

Informationssikkerhedsdokumenter og -registreringer skal foreligge i en form og på et medie, som er fundet passende Informationssikkerhedsdokumenter og -registreringer skal reviewes og godkendes inden offentliggørelse 7.5.3 Styring af dokumenteret information Håndtering af informationssikkerhedsdokumenter og -registreringer Adgang til informationssikkerhedsdokumenter og -registreringer skal begrænses til personer med et behov for dette Informationssikkerhedsdokumenter og -registreringer skal beskyttes på passende måde Informationssikkerhedsdokumenter og registreringer bør være underlagt versionsstyring 8 Drift 8.1 Driftplanlægning og styring Operationel planlægning af informationssikkerhed Organisationen skal lave planer for imødegåelse af identificerede risici og muligheder Organisationen skal planlægge, hvordan de aftalte informationssikkerhedsmål nås Outsourcede informationssikkerhedsprocesser skal styres på samme måde som de interne informationssikkerhedsprocesser 8.2 Vurdering af informationssikkerhedsrisici Risikoanalyse Der skal udføres detaljeret risikoanalyse for organisationen for de områder, hvor den overordnede risikovurdering begrunder det. Der skal udføres detaljeret risikoanalyse for organisationen. Der skal være udført en overordnet risikoanalyse for virksomheden. Der skal udarbejdes en detaljeret risikoanalyse for alle forretningskritiske systemer. Overordnet risikovurdering Risikovurderingen skal opdateres mindst en gang om året. Der skal gennemføres en bredt funderet risikovurdering med revurdering, der dækker hele organisationen. Målet er at sikre at sårbarheder, trusler og konsekvenser er kendte, og at deres sammenhæng afspejles i organisationens risikoprofil. Risikovurderingen skal som minimum indeholde en generel beskrivelse af de planlagte behandlinger samt en vurdering af risici i forbindelse med den registreredes rettigheder. Risikovurderingen skal desuden beskrive planlagte foranstaltninger i forbindelse med risici, sikkerhedsforanstaltninger og mekanismer til at sikre beskyttelse af persondata under hensyntagen til de registrerede og andre berørte personer rettigheder og legitime interesser. 8.3 Håndtering af informationssikkerhedsrisici Planer for risikohåndtering Risikohåndteringsplaner der adresserer relevante risici, skal implementeres. Definerede risikohåndteringsplaner skal prioriteres og dokumenteres. 9 Evaluering Side 6 af 8

9.1 Overvågning, måling, analyse og evaluering Overvågning af effektiviteten af ISMS et Organisationen skal overvåge effektiviteten af ISMS'et Metoder til overvågning af informationssikkerhedsprocesser og kontrolmål skal indbefatte: hvornår overvågningsaktiviteterne skal foregå, hvem der skal foretage dem, hvornår analysen af resultaterne skal finde sted, hvem der skal foretage analysen af resultaterne Resultaterne af overvågningen skal dokumenteres på en struktureret og sammenhængende måde 9.2 Intern audit Intern informationssikkerheds-audit Den interne revision skal vurdere, om organisationen overholder kravene til informationssikkerhed Den interne revision skal vurdere, om organisationen er i overensstemmelse med ISO 27001 Den interne revision skal vurdere, om ISMS'et fungerer effektivt Auditprogrammet skal dokumentere hvordan og hvornår de intern audit udføres, herunder hyppighed, metode, ansvar, rapportering og revisionskrav Revision af sikkerhedspolitik Den interne audit skal kontrollere, at sikkerhedspolitikken er velimplementeret i organisationen og overholdes. Denne audit skal foretages mindst en gang om året, og audit bør omfatte beskrivelse af årsagen til afvigelser, handlingsplaner, der er nødvendige for at håndtere afvigelserne (korrigerende handlinger) samt en efterfølgende vurdering af effektiviteten af de foranstaltninger, der gennemføres 9.3 Ledelsens gennemgang Ledelsens gennemgang af informationssikkerheden Ledelsen skal gennemgå ISMS'et for at kontrollere, at det er passende, fyldestgørende og effektivt Ledelsens gennemgang skal tage tidligere gennemgange i betragtning Ledelsens gennemgang skal indeholde eksterne og/eller interne ændringer, som kan påvirke informationssikkerheden Ledelsens gennemgang skal overveje håndtering af afvigelser, resultater fra overvågning af informationssikkerhed, resultaterne af interne audit af informationssikkerhed samt overholdelse af informationssikkerhedsmålene Ledelsens gennemgang skal overveje resultaterne af risikovurderinger, risikohåndtering samt muligheder for løbende forbedringer Resultaterne af ledelsens gennemgang skal dokumenteres på en struktureret og ensartet måde, og omfatte beslutninger truffet ved gennemgangen 10 Forbedring 10.1 Afvigelser og korrigerende handlinger Sikkerhedshændelser hos outsourcingleverandør Leverandøren registrerer sikkerhedshændelser, f.eks. brud på fortrolighed, tilgængelighed eller integritet, i eget system. Side 7 af 8

Virksomheden gennemgår eventuelle sikkerhedshændelser sammen med leverandøren med faste intervaller, eksempelvis på aftalte kontraktmøder. Tilgængelighedshændelser Hændelser, der har indflydelse på tilgængelighed, skal afklares i henhold til gældende driftsaftaler (SLA). Driftshændelser, der ikke kan afklares inden for aftalt tid, skal udløse procedurer for hændelseshåndtering. De ramte brugere og systemejere skal informeres. Afvigelser fra informationssikkerheden I tilfælde af afvigelser fra sikringstiltagene, skal organisationen træffe korrigerende foranstaltninger og håndtere potentielle konsekvenser af afvigelsen afvigelser, korrigerende handlinger og effekten af korrigerende handlinger skal dokumenteres Information om sikkerhedshændelser Skanderborg Kommune skal på faktuel vis informere berørte parter internt og eksternt om eventuelle sikkerhedshændelser. It-chefen skal godkende alle eksterne meddelelser. Opfølgning på rapporterede sikkerhedshændelser It-chefen er ansvarlig for at indsamle statistik for rapporterede sikkerhedshændelser. Overtrædelse af sikkerhedsretningslinierne Det er ledelsens ansvar, at sanktioner for brud på virksomhedens politikker, regler eller retningslinier håndhæves konsekvent og i overensstemmelse med gældende lovgivning. Ledelsen skal etablere en formel sanktionsprocedure for medarbejdere, der bryder virksomhedens politikker, regler eller retningslinier for informationssikkerhed Proces for reaktion på hændelser Der skal etableres en proces, som sikrer at hændelsesstyringsplanen løbende evalueres og tilpasses i overensstemmelse med indsamlet erfaring og den generelle udvikling inden for industrien. Virksomheden skal sikre, at personale med ansvar for at reagere på sikkerhedsbrister, uddannes i tilstækkeligt omfang. Den sikkerhedsansvarlige har ansvar for at definere og koordinere en struktureret ledelsesproces, der sikrer en passende reaktion på sikkerhedshændelser. 10.2 Løbende forbedring Løbende forbedringer af informationssikkerheden For at sikre, at ISMS'et til stadighed forbedres, skal organisationen iværksætte en proces, der gør det muligt at reagere på resultaterne fra overvågning af informationssikkerheden, intern audit og ledelsesgennemgang. Side 8 af 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback