UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER 2014

UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER 2014 STATUS RAPPORT FOR 2014 Udført i samarbejde med

INDHOLDSFORTEGNELSE Indholdsfortegnelse... 1 1 Forord... 2 1.1 Om undersøgelsen... 2 1.2 Temaer i undersøgelsen... 2 1.3 Metode... 3 1.4 Læsevejledning... 3 1.5 Øvrig rapportering... 4 2 Informationssikkerhed... 5 2.1 Samlet status... 5 2.2 Governance... 6 2.2.1 Risikostyring... 7 2.2.2 Strategi og politik... 8 2.2.3 Ledelsessystem for informationssikkerhed... 9 2.2.4 Organisatorisk forankring... 10 2.2.5 Kontrol og vurdering... 12 2.2.6 Monitorering og rapportering... 13 2.2.7 Hensyn til og efterlevelse af standarder (ISO 27001 m.fl.)... 13 2.2.8 Informationskilder ift. sikkerhedsindsatser... 14 2.2.9 Samarbejder med andre om informationssikkerhed... 14 2.3 Sikkerhedsmæssige indsatsområder... 15 2.3.1 Business Continuity... 15 2.3.2 Hændelsesstyring... 16 2.3.3 Brugeradministration... 16 2.3.4 Uddannelse af brugere... 16 2.3.5... 17 2.3.6 Medarbejdersikkerhed... 17 2.3.7 Cloud Sikkerhed... 17 2.4 Teknisk sikkerhed... 18 3 Digitalisering og sikkerhed... 19 3.1 Selvbetjeningsløsninger for borgere og virksomheder... 19 3.1.1 Indsats... 19 3.1.2 Sikkerhed på digitale selvbetjeningsløsninger... 20 3.2 Digital dialog med borgere og virksomheder... 21 3.2.1 Indsats... 21 3.3 Mobilitet... 22 3.3.1 Medarbejdernes brug af eget udstyr... 22 3.3.2 Sikkerhed ved medarbejdernes eget udstyr... 22 4 Hændelser... 23 4.1 Eksternt relaterede sikkerhedshændelser (IT-kriminalitet)... 23 4.1.1 Registreret... 23 4.1.2 Konsekvenser... 23 4.2 Interne fejl... 24 4.2.1 Registreret... 24 4.2.2 Konsekvenser... 24 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 1

1 FORORD Statusrapporten opsummerer Sundby Kommunes besvarelser på NordSec undersøgelsen 2014 om informationssikkerhed. Statusrapporten giver mulighed for at sammenligne kommunens niveau med andre danske i 2014. Endvidere giver statusrapporten kommunen mulighed for at følge udviklingen tilbage til 2010 både for egne besvarelser såvel som for øvrige danske. 1.1 Om undersøgelsen Bag undersøgelsen af sikkerhedsforhold blandt og regionale offentlige organisationer i hhv. Danmark, Norge og Sverige står NordSec, der er et uformelt samarbejde mellem kommunale og regionale myndigheder om informationssikkerhed. Samarbejdet blev initieret af EU's agentur for Informationssikkerhed, ENISA, i 2008 og er siden videreført mellem og regioner, interessegrupper for disse, samt nationale agenturer. Selve gennemførelsen af undersøgelsen, samt den efterfølgende behandling af data, udføres i samarbejde med konsulentvirksomheden I-Trust. Det er fjerde gang undersøgelsen gennemføres (2008, 2010, 2012 og 2014) og dermed er der indsamlet et stort erfaringsmateriale, der bl.a. anvendes i benchmark-rapportering til de medvirkende organisationer. I Danmark er undersøgelsen i 2014 gennemført i samarbejde med KIT@ (Foreningen af Kommunale IT-chefer) og PRIMO Danmark. 1.2 Temaer i undersøgelsen Genstand for undersøgelsen er de aktiviteter/indsatser som kommunen har iværksat med henblik på at øge informationssikkerheden i kommunens processer og systemer. Specielt er der en række forhold, som har betydning for, i hvilket omfang organisationen kan gennemføre god praksis for informationssikkerhed. Blandt disse er den øverste ledelses opmærksomhed, tværorganisatorisk ansvar og forpligtelse, medarbejdernes kompetencer, samt regelmæssig opfølgning og forbedring. Ud over disse forhold, som er faste bestanddele i undersøgelsen, blev undersøgelsen efter brugerønske i 2012 udvidet med en række temaer: Anvendelse af Cloud-teknologi og sikkerheden heri Medarbejderkrav om BYOD politikker (Bring-Your-Own-Device) Den stigende digitalisering af offentlige services mod borgere og erhvervsliv, samt sikkerhedspraksis i forbindelse hermed. I 2014 undersøgelsen er spørgsmål om teknisk sikkerhed væsentlig nedtonet. I stedet besluttede styregruppen bag undersøgelsen at opprioritere de spørgsmål, der vedrører nye og aktuelle temaer: Orientering mod standarder som ISO 27001 Udvidelse af spørgsmål om medarbejdernes eget udstyr BYOD) og Cloud Kommunens oplevelse af IT-kriminalitet Undersøgelsens spørgetema binder to dimensioner sammen i forhold til kommunens indsats for Informationssikkerhed forankringen af Informationssikkerhed i forretningsorganisation og ledelse og struktureringen af arbejdet i en kvalitetscyklus fra planlægning, over gennemførsel til opfølgning og justeringer af indsats: UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 2

1.3 Metode Undersøgelsens områder er inddelt i en række domæner, som yderligere er opdelt i et antal indsatsområder. Spørgetemaet bag undersøgelsen er i videst muligt omfang disponeret, så det afspejler fire stadier i sikkerhedsarbejdet: Planlægning Opfølgning Justering og evaluering Gennemførelsen af undersøgelsen foregik som en web-baseret survey, dvs. de enkelte respondenter fik tilsendt en mail med et link til undersøgelsen. Spørgsmålene om borgeres / virksomheders adgang til formularer via digitale selvbetjeningsløsninger samt om brug af sikker mail er default sat til implementeret. Ud over en aktuel status, så giver besvarelserne mulighed for at foretage benchmarking dels i forhold til niveauet ved tidligere års undersøgelser og dels i forhold til niveauet for lignende organisationer. Til brug for dette opdeles de indberettede svar i fire benchmark-grupper, der spreder sig fra Best in Class (BiC) for de øverste 25 % til Worst in Class (WiC) for de nederste 25 %. I den efterfølgende rapport vises organisationens egen score dels i forhold til implementeringsstadie, dels i forhold til lignende organisationer. Organisationen kan med baggrund i materialet vurdere om niveauet for egen indsats er tilfredsstillende og om niveauet er tilstrækkeligt set i forhold til andre lignende organisationer. 1.4 Læsevejledning Rapporten gennemgår Sundby Kommunes besvarelse af undersøgelsen, hvor hvert af de anvendte KPI i ledelsesrapporten uddybes. Svarene og tilsvarende benchmark-resultaterne bygger på følgende implementeringstrin, hvor svarene er afgivet på en skala fra 0 (ingen implementering på området) til 5 (fuldt implementeret): UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 3

Trin 1 Trin 2 Trin 3 Trin 4 Trin 5 Ingen implementering Der er implementeret, men under 1/3 af det samlede omfang Der er implementeret mere end 1/3 Der er implementeret mere end 2/3 Området er fuldt implementeret Svarene ved ikke og kan ikke besvares tæller ikke statistisk, men er oplistet som N/A tilsvarende som et ikke besvaret spørgsmål. Dette er et informationsfelt, der anvendes til at gøre opmærksom på øvrig information relateret til teksten. Dette felt indeholder kommentarer, som I-Trust har knyttet til dataene. Anvendes som regel kun såfremt rapporter er bestilt inkl. kommentarer. 1.5 Øvrig rapportering Udover nærværende rapport, så kan yderligere rapporter rekvireres ved henvendelse til I-Trust: Oversigtsrapport/Fællesrapport, der gennemgår det overordnede resultat af undersøgelsen Ledelsesrapport, der indeholder det samlede resultat for en enkelt organisation Statusrapport (nærværende), der indeholder og uddyber det samlede resultat for en enkelt organisation Tillægsrapporter, der viser organisationens resultater set i forhold til compliancekrav og normer, som eksempelvis ISO27001 og Norm for Informasjonssikkerhet. Såfremt en organisation har specielle ønsker i forhold til rapportering, så kan man kontakte I-Trust med henblik på udarbejdelse af yderligere tillægsrapporter. UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 4

2 INFORMATIONSSIKKERHED 2.1 Samlet status I 2014 er der ikke lavet KPI på tekniske spørgsmål grundet omlægning af spørgerammen. Sundby Kommune Samlet status for informationssikkerhed 2014 2012 2010 DK Gns. BiC Styringsramme 4,96 N/A N/A 3,16 4,20 3,28 Sikkerhedssindsatser 5,00 N/A N/A 3,91 4,37 3,84 Teknisk sikkerhed 5,00 N/A N/A 3,65 4,83 4,19 Sikkerhed på digitale services 5,00 N/A N/A 3,89 4,73 3,65 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 5

2.2 Governance Organisationens score på 6 områder, der samlet set karakteriserer virksomhedens forvaltning af informationssikkerhed og de underliggende indsatser. Sundby Kommune Risikostyring vedrører organisationens fokus på og indsats for risikostyring i IT anvendelsen, samt sammenhængen med øvrig risikostyring i organisationen. Strategi og politik vedrører udarbejdelse og implementering af strategier, politikker, handlingsplaner, retningslinier m.m. Ledelsessystemet vedrører hvordan ledelse af informationssikkerhed er organiseret. Organisatorisk forankring er spørgsmålet om, hvorvidt Sundby Kommune har fastlagt og uddelegeret ansvaret for informationssikkerhedens enkelte områder i organisationen. Kontrol og vurdering af værdi og effektivitet er Sundby Kommunes opfølgende processer, hvor sikkerhedsindsatser vurderes i forhold til de satte mål og den foretagne risikovurdering. Monitorering og rapportering er bl.a. ledelsens redskaber til at holde sig orienteret om udvikling og status på sikkerhedsindsatserne. Samlet status for informationssikkerhed 2014 2012 2010 DK Gns. BiC Styringsramme 4,96 N/A N/A 3,16 4,20 3,28 Sikkerhedssindsatser 5,00 N/A N/A 3,91 4,37 3,84 Teknisk sikkerhed 5,00 N/A N/A 3,65 4,83 4,19 Sikkerhed på digitale services 5,00 N/A N/A 3,89 4,73 3,65 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 6

2.2.1 Risikostyring Benchmark-specifikation for Sundby Kommune: Sundby Kommune Risikostyring 2014 2012 DK Gns. BiC Rammebetingelser 5,00 N/A N/A 2,55 5,00 3,04 Proces og strategi 5,00 N/A N/A 2,41 3,67 2,60 4,50 N/A N/A 3,49 4,50 3,33 Opfølgning 5,00 N/A N/A 4,03 5,00 4,13 2010 Spørgsmåls-specifikation for Sundby Kommune: Rammebetingelser Proces og Strategi Indgår risikovurdering af informationsanvendelsen og informationssystemerne som en sammenhængende del af organisationens overordnede indsats for risikostyring? Er der en af ledelsen godkendt metode for risikovurdering omfattende bl.a. klassifikationsskala, konsekvensskala for informationsanvendelse og informationssystemer? 2014 2012 5,00 N/A N/A 2,55 3,04 5,00 N/A 5,00 2,63 2,79 Proces og Strategi Har organisationen udarbejdet risk acceptance kriterier? 5,00 N/A N/A 1,77 1,82 Proces og Strategi Har organisationens øverste ledelse taget stilling hvorvidt der er en tilstrækkelig sikkerhed mod de identificerede trusler? Spørgsmål vedrørende organisationens ledelse af risiko-styring: 5,00 N/A 5,00 2,83 3,18 Er kritiske forretningsprocesser identificeret og dokumenteret? 5,00 N/A 5,00 3,67 3,52 Er kritiske informationsaktiver (IT-systemer og data) identificeret og dokumenteret? Foretages en vurdering af konsekvenser for hvert informationsaktiv i forhold til tab af tilgængelighed, fortrolighed og integritet? 5,00 N/A 5,00 3,97 3,76 5,00 N/A 5,00 3,14 2,91 Er resultatet af denne konsekvensanalyse godkendt af den øverste ledelse? 5,00 N/A 5,00 2,61 2,74 Foretages der en vurdering af risici, når der indføres nye informations ITsystemer og teknisk udstyr (f.eks. anskaffelse af hardware, net eller systemer)? Tages der som del af risiko og konsekvensvurderingen stilling til om medarbejderne har tilstrækkeligt kompetenceniveau til sikker omgang med informationsaktiver? Indgår interne trusler såsom bevidste og ubevidste fejl fra medarbejdernes side i vurderingen af organisationens risikobillede? 5,00 N/A 5,00 3,93 4,29 N/A N/A 5,00 N/A 3,33 5,00 N/A 5,00 3,80 3,96 Foretages risikovurdering i forhold til Cloud løsninger 1,00 N/A N/A 3,86 3,40 Opfølgning Angiv i hvilket omfang, der er gennemført risko og konsekvensvurderinger for digitale tjenester Angiv for digitale sundhedstjenester i hvilket omfang, der er foretaget risiko og konsekvensvurderinger Vurderes beskyttelsen af tekniske forhold regelmæssigt i forhold til risikobillede DK gns. 5,00 N/A N/A 3,04 2,75 N/A N/A N/A N/A N/A 5,00 N/A N/A 4,03 4,13 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 7

2.2.2 Strategi og politik Benchmark-specifikation for Sundby Kommune: Sundby Kommune Strategi og politik 2014 2012 2010 DK Gns. BiC Rammebetingelser 5,00 N/A N/A 2,93 4,00 3,38 Proces og strategi 5,00 N/A N/A 4,07 5,00 3,75 5,00 N/A N/A 3,73 4,67 3,86 Opfølgning 5,00 N/A N/A 3,00 5,00 2,94 Spørgsmåls-specifikation for Sundby Kommune: Rammebetingelser Rammebetingelser Er der udarbejdet en strategi for organisationens indsats for informationssikkerhed omfattende anvendelsesområde, styringsform og risikostyring i forhold til en cost-effektiv understøttelse af forretningens kritiske processer og informationer? Har den ansvarlige ledelse kommunikeret sin aktive støtte til organisationens initiativer for informationssikkerhed? 2014 2012 5,00 N/A 0,00 2,14 2,67 5,00 N/A N/A 3,67 3,73 Proces og Strategi Er der udarbejdet en handlingsplan for informationssikkerhed? 5,00 N/A 0,00 3,74 3,04 Proces og Strategi Er der udarbejdet en informationssikkerhedspolitik 5,00 N/A 5,00 4,36 4,46 Dokumenteres forretningens krav til sikkerhed i serviceaftaler (SLA) eller interne driftsaftaler (OLA) 5,00 N/A N/A 2,81 2,43 Er der udarbejdet en retningslinier for informationssikkerhed 5,00 N/A 5,00 4,32 4,17 Opfølgning Opfølgning Opfølgning Er der udarbejdet Guidelines / vejledninger / procedurer i forbindelse med informationssikkerhed Er organisationens informationssikkerhedspolitik til rådighed for medarbejderne, f.eks. via intranet? Har organisationen en procedure der regelmæssigt vurderer informationssikkerhed i forhold til Lovgivning? Har organisationen en procedure der regelmæssigt vurderer informationssikkerhed i forhold til Rammebetingelser? Har organisationen en procedure der regelmæssigt vurderer informationssikkerhed i forhold til Aftale-betingelser? DK gns. 5,00 N/A 5,00 3,89 3,50 N/A N/A 5,00 N/A 4,56 5,00 N/A N/A 3,21 3,08 5,00 N/A N/A 2,89 2,70 5,00 N/A N/A 3,11 2,77 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 8

2.2.3 Ledelsessystem for informationssikkerhed Benchmark-specifikation for Sundby Kommune: Sundby Kommune Ledelsessystem for informationssikkerhed 2014 2012 2010 DK Gns. BiC Rammebetingelser 5,00 N/A N/A 3,28 5,00 2,79 Proces og strategi 5,00 N/A N/A 2,93 5,00 3,00 5,00 N/A N/A 3,67 4,67 3,47 Opfølgning 5,00 N/A N/A 4,52 5,00 4,03 Spørgsmåls-specifikation for Sundby Kommune: KPI Spørgsmål i KPI 2014 2012 2010 Rammebetingelser Er der et samlet ledelsessystem for informationssikkerhed med tilhørende dokumentation af processer og ressourcer Et ledelsessystem for informationssikkerhed kan være integreret med øvrige ledelsessystemer såsom ISO9000 eller det kan være et selvstændigt system 5,00 N/A N/A 2,93 2,54 Rammebetingelser Er der udarbejdet en handlingsplan for informationssikkerhed? 5,00 N/A 0,00 3,74 3,04 Proces og Strategi Opfølgning Har organisationen en styregruppe / komite, nedsat af den øverste ledelse og bemyndiget til at have det samlede fokus på informationssikkerhed? Foretages der registrering af eller findes der anden viden om hændelser omkring informationssikkerhed i organisationen? Registreres hændelser, hvor hændelser har direkte eller indirekte konsekvens for overholdeslse af lov om? Findes der processer som sikrer at organisationen identificerer og implementerer forbedringer ud fra f.eks. hændelser, audits og tests? Rapporteres hændelser med konsekvens for lov om til den ansvarlige ledelse? 5,00 N/A 5,00 2,93 3,00 5,00 N/A 5,00 4,07 3,26 5,00 N/A N/A 4,56 3,88 5,00 N/A N/A 2,32 2,95 5,00 N/A 0,00 4,52 4,03 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 9

2.2.4 Organisatorisk forankring Benchmark-specifikation for Sundby Kommune: Sundby Kommune Organisatorisk forankring 2014 2012 2010 DK Gns. BiC Rammebetingelser 5,00 N/A N/A 3,24 5,00 3,27 Proces og strategi 5,00 N/A N/A 3,28 4,03 3,34 4,00 N/A N/A 2,86 3,75 3,20 Opfølgning 1,00 N/A N/A 1,04 1,00 0,17 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 10

Spørgsmåls-specifikation for Sundby Kommune: Rammebetingelser Proces og Strategi Proces og Strategi Proces og Strategi Proces og Strategi Proces og Strategi Proces og Strategi Proces og Strategi Proces og Strategi Er det samlede ansvar for informationssikkerhed beskrevet og indarbejdet i organisationens struktur og organisatoriske processer? Har den ansvarlige ledelse kommunikeret sin aktive støtte til organisationens initiativer for informationssikkerhed? Indgår hensyn til informationssikkerhed som integreret og naturlig del af ITstrategi (Service Strategi Proces), f.eks. I form af risikovurderinger og teknisk sikkerhedsstrategi Indgår hensyn til informationssikkerhed som integreret og naturlig del af Udviklingsprocesser (Service Design Proces), f.eks. I form af krav til service level, tilgængelighed, kontinuerlig drift etc.? Indgår hensyn til informationssikkerhed som integreret og naturlig del af Ændringer og anskaffelser (Service Transition Proces), f.eks. I den overordnede ændringsplan, ændringsprocessen (change), release og testprocesser? Indgår hensyn til informationssikkerhed som integreret og naturlig del af Driftsprocesser (Service Operations Processes), herunder i incident og problembehandlingsprocesser? Indgår hensyn til informationssikkerhed som integreret og naturlig del af Service optimerings processer (Continual Service improvement processes), f.eks. Servicemålinger og Servicerapportering? Er ansvaret for medarbejdernes kompetencer omkring sikker brug af informationer og systemer beskrevet og placeret? Er der vedtaget en procedure for uddannelse af medarbejdere i informationssikkerhed? Er ansvaret for systemejerskab uddelt på ansvarlige i organisationen, herunder med ansvar for informationssikkerhed? Er ansvaret for dataejerskab uddelt på ansvarlige i organisationen, herunder med ansvar for informationssikkerhed? Er medarbejdernes ansvar (forpligtelse) i forhold til organisationens informationssikkerhed dokumenteret? Er medarbejdernes rettigheder i forhold til organisationens informationssikkerhed (f.eks. brug af virksomhedens informations system til private formål) dokumenteret? Informeres personalelederne om mulighederne for uddannelse af medarbejderne i brug af virksomhedens sikkerhedssystemer? Er der i organisationens budget afsat midler til aktiviteter (aawarness-tiltag), der kan højne medarbejdernes viden om og opmærksomhed på sikkerhedsregler? Gennemgår alle nyansatte en eller anden form for introduktion i informationssikkerhed? Gennemgår alle medarbejdere regelmæssigt videreuddannelse i informationssikkerhed? 5,00 N/A N/A 3,54 3,54 5,00 N/A N/A 3,67 3,73 5,00 N/A N/A 3,46 3,77 5,00 N/A N/A 3,42 3,36 5,00 N/A N/A 3,46 3,43 5,00 N/A N/A 3,32 3,57 5,00 N/A N/A 2,39 3,27 5,00 N/A 5,00 4,08 3,46 5,00 N/A 5,00 2,19 1,97 5,00 N/A 5,00 4,68 4,26 5,00 N/A 0,00 4,18 3,82 N/A N/A 5,00 N/A 4,39 N/A N/A 4,00 N/A 4,24 2,00 N/A 0,00 2,35 2,04 5,00 N/A 0,00 1,56 1,33 5,00 N/A 5,00 3,58 3,29 1,00 N/A 0,00 0,77 0,71 Får alle ledere egen introduktion i informationssikkerhed? 5,00 N/A 5,00 2,04 2,58 Opfølgning Evalueres medarbejdernes viden om informationssikkerhedspolitikken eller dens retningslinjer? 1,00 N/A 0,00 1,04 0,17 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 11

2.2.5 Kontrol og vurdering Benchmark-specifikation for Sundby Kommune: Sundby Kommune Kontrol og vurdering 2014 2012 2010 DK Gns. BiC Rammebetingelser 5,00 N/A N/A 2,67 5,00 2,58 4,50 N/A N/A 3,24 4,25 3,08 Spørgsmåls-specifikation for Sundby Kommune: Rammebetingelser Gennemføres der regelmæssigt vurderinger af sikkerhedsforanstaltningers værdi og effektivitet set i forhold til betydningen af de processer og aktivers som beskyttes? Har organisationen en procedure for audit af sikkerhedsforanstaltninger, herunder om de er i overensstemmelse med sikkerhedspolitik og risikovurderinger? Har organisationen en procedure for fysiske tests af sikkerhedsforanstaltninger, herunder om de er i overensstemmelse med sikkerhedspolitik og risiko-vurderinger? Er organisationens arbejde med beredskab tillrettelagt således at alle relevante ressourcer og kompetencer der kan indgå i en beredskabssituation er kortlagt og identificeret i forhold til indsatsplaner? Angiv i hvilket omfang følgende tiltag er gennemført digitale tjenester: Certificering og akkreditering, herunder compliance med lovgivning* Angiv i hvilket omfang følgende tiltag er gennemført for digitale sundhedstjenester: Certificering og akkreditering, herunder compliance med lovgivning** 5,00 N/A N/A 2,67 2,58 5,00 N/A N/A 3,29 3,61 4,00 N/A N/A 3,00 2,61 N/A N/A N/A 3,70 3,41 N/A N/A N/A 3,16 2,57 N/A N/A N/A N/A N/A * Spørgsmål ikke stillet til regioner ** Spørgsmål Ikke stillet til UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 12

2.2.6 Monitorering og rapportering Sundby Kommune Benchmark-specifikation for Sundby Kommune: Monitorering og rapportering 2014 2012 2010 DK Gns. BiC Rammebetingelser N/A N/A N/A 1,46 2,00 1,67 3,50 N/A N/A 1,98 3,00 2,10 Spørgsmåls-specifikation for Sundby Kommune: Rammebetingelser Rammebetingelser Gennemføres der en systematisk rapportering af nøgletal med mål for informationssikkerhed til ansvarlig ledelse? Forlanges der underskrift af fortrolighedserklæring af samtlige brugere med adgang til organisationens data ved outsourcing af løsninger til net-baserede services? Rapporteres resultatet af organisationens uddannelse af og opfølgning på medarbejdernes viden om informationssikkerhed til den øverste ledelse? DK Gns. DK Gns. N/A N/A N/A 1,46 1,67 5,00 N/A N/A 4,25 3,59 2,00 N/A 0,00 0,88 0,24 2.2.7 Hensyn til og efterlevelse af standarder (ISO 27001 m.fl.) Arbejder organisationen med flg. standarder omkring informationssikkerhed: Har ikke taget stilling Arbejder ikke med dette Bruger standarden aktivt men planlægger ikke fuld efterlevelse Planlægger at efterleve Efterlever standarden men ikke certificering standarden men ønsker ikke certificering Planlægger at efterleve standarden og opnå certificering Er certificeret efter standarden ISO27000 (Informationssikkerhed) ISO31000 (Risiko Styring) ISO22301 (Business Continuity) 11,11% 11,11% 22,22% 27,78% 27,78% 0,00% 0,00% 55,56% 27,78% 11,11% 0,00% 5,56% 0,00% 0,00% 61,11% 27,78% 5,56% 0,00% 5,56% 0,00% 0,00% UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 13

2.2.8 Informationskilder ift. sikkerhedsindsatser Hvilke kilder og eksterne kontakter bruger organisationen ifbm. vurdering og udvikling af informationssikkerhed? Datatilsynet Digitaliseringsstyrelsen Politiets Cyberkriminalitetsafdeling GovCERT DKCert Eksterne rådgivere Interessegrupper med andre Erfagrupper Benchmark Andre Regelmæssigt Sporadisk Aldrig Ved ikke 44,44% 44,44% 11,11% 0,00% 22,22% 61,11% 16,67% 0,00% 0,00% 33,33% 66,67% 0,00% 16,67% 33,33% 44,44% 5,56% 11,11% 44,44% 38,89% 5,56% 66,67% 33,33% 0,00% 0,00% 44,44% 55,56% 0,00% 0,00% 27,78% 61,11% 5,56% 5,56% 5,56% 33,33% 50,00% 11,11% 5,56% 11,11% 27,78% 55,56% 2.2.9 Samarbejder med andre om informationssikkerhed Indgår kommunen i et formelt samarbejde med andre organisationer omkring drift og/eller udvikling af IT? Udvikling af strategi for informationssikkerhed Implementering af IT-sikkerhed 2014 2012 2014 2012 Som enkeltaftaler med en eller flere andre I et formaliseret samarbejde med en fælles organisation der har ansvar for den pågældende opgave I fælles udbud sammen med andre hvor der er aftale med 3. part om opgaven Andet Intet samarbejde 20,00% 13,33% 0,00% 13,33% 53,33% 20,00% 6,67% 3,33% 16,67% 53,33% UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 14

2.3 Sikkerhedsmæssige indsatsområder Sundby Kommune Benchmark-specifikation for Sundby Kommune: Sikkerhedsindsatser 2014 2012 2010 DK Gns. BiC Business Continuity 5,00 N/A N/A 3,46 4,40 3,06 Hændelsesstyring 5,00 N/A N/A 3,77 4,70 3,52 Brugeradministration 5,00 N/A N/A 4,48 5,00 4,21 Uddannelse af brugere 3,44 N/A N/A 2,06 2,67 1,84 5,00 N/A N/A 4,16 4,83 4,30 Medarbejderskikkerhed 5,00 N/A N/A 3,65 5,00 2,25 Cloud Sikkerhed 3,13 N/A N/A 3,82 4,21 3,28 Spørgsmåls-specifikation for Sundby Kommune: 2.3.1 Business Continuity Business Continuity Business Continuity Business Continuity Business Continuity Business Continuity Har organisationen en plan / strategi for hvordan kritiske forretningsprocesser kan videreføres hvis en hændelse forhindrer dette? Er organisationens arbejde med beredskab tillrettelagt således at der er udarbejdet lokale indsats og beredskabsplaner for alle relevante områder? Er organisationens arbejde med beredskab tillrettelagt således at alle relevante ressourcer og kompetencer der kan indgå i en beredskabssituation er kortlagt og identificeret i forhold til indsatsplaner? Er organisationens arbejde med beredskab tillrettelagt således at der er en plan, der tilsikrer regelmæssig træning og afprøvning af beredskabsindsatser? Er organisationens arbejde med beredskab tillrettelagt således at der er fastlagte procedurer, der tilsikrer at relevant personel og eksterne parter kan alameres i beredskabssituationer? 5,00 N/A N/A 4,04 3,39 N/A N/A N/A 3,91 3,23 N/A N/A N/A 3,70 3,41 N/A N/A N/A 2,52 2,24 N/A N/A N/A 3,48 3,50 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 15

2.3.2 Hændelsesstyring Hændelsesstyring Hændelsesstyring Hændelsesstyring Hændelsesstyring Hændelsesstyring Findes der rutiner for rapportering af medarbejderes overtrædelser af sikkerhedsregler? Foretages der registrering af eller findes der anden viden om hændelser omkring informationssikkerhed i organisationen? Registreres hændelser, hvor hændelser har direkte eller indirekte konsekvens for overholdeslse af lov om? Rapporteres hændelser med konsekvens for lov om til den ansvarlige ledelse? Findes der processer som sikrer at organisationen identificerer og implementerer forbedringer ud fra f.eks. hændelser, audits og tests? 5,00 N/A 5,00 3,20 3,12 5,00 N/A 5,00 4,07 3,26 5,00 N/A N/A 4,56 3,88 5,00 N/A 0,00 4,52 4,03 5,00 N/A N/A 2,32 2,95 2.3.3 Brugeradministration Har organisationen fastlagte procedurer der tilsikrer korrekt oprettelse af Brugeradministration rettigheder og udlevering af udstyr ved medarbejderes tiltrædelse? Har organisationen fastlagte procedurer der vedligeholder en central Brugeradministration registrering af udleverede aktiver (udstyr, nøgler, ID-kort m.m.)? 5,00 N/A N/A 4,77 4,75 5,00 N/A N/A 4,19 3,65 2.3.4 Uddannelse af brugere Uddannelse af brugere Uddannelse af brugere Uddannelse af brugere Uddannelse af brugere Uddannelse af brugere Uddannelse af brugere Uddannelse af brugere Uddannelse af brugere Uddannelse af brugere Er der vedtaget en procedure for uddannelse af medarbejdere i informationssikkerhed? Informeres personalelederne om mulighederne for uddannelse af medarbejderne i brug af virksomhedens sikkerhedssystemer? Er der i organisationens budget afsat midler til aktiviteter (aawarness-tiltag), der kan højne medarbejdernes viden om og opmærksomhed på sikkerhedsregler? Alle nyansatte gennemgår en eller anden form for introduktion i informationssikkerhed? Alle medarbejdere gennemgår regelmæssigt videreuddannelse i informationssikkerhed? 5,00 N/A 5,00 2,19 1,97 2,00 N/A 0,00 2,35 2,04 5,00 N/A 0,00 1,56 1,33 5,00 N/A 5,00 3,58 3,29 1,00 N/A 0,00 0,77 0,71 Alle ledere får egen introduktion i informationssikkerhed? 5,00 N/A 5,00 2,04 2,58 Evalueres medarbejdernes viden om informationssikkerhedspolitikken eller dens retningslinjer? 1,00 N/A 0,00 1,04 0,17 Indgår resultatet i rapportering til den øverste ledelse? 2,00 N/A 0,00 0,88 0,24 Er ansvaret for medarbejdernes kompetencer omkring sikker brug af informationer og systemer beskrevet og placeret? 5,00 N/A 5,00 4,08 3,46 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 16

2.3.5 Har organisationen kendskab til lovens, sikkerhedsbekendtgørelsens og sikkerhedsvejledningens bestemmelser om beskyttelse af personoplysninger? Indgår hensyn til lovbestemmelser om Persondata i organisationens risikovurderinger? Orienteres medarbejderne om registering og logning af deres brug af systemer, der indeholder, samt om hvilke rettigheder de har for indsigt? Instrueres medarbejdere i reglerne for tilgang til og videregivelse af personoplysninger? Tages der hensyn til beskyttelse af (fortrolighed) ved design, udvikling eller anskaffelser af nye løsninger? Er hensynet til lov om varetaget i arbejdsprocesser, hvor der behandles personoplysninger? Sikres det at personoplysninger destrueres eller anonymiseres når formålet for opbevaringen ændres/slutter? Foretages der logning over adgang til registrere og systemer, der indeholder Persondata? Foretages opfølgning på afvigelser ift. korrekt adgang til registrere og systemer, der indeholder Persondata? 5,00 N/A 5,00 4,58 4,70 5,00 N/A N/A 4,52 4,10 5,00 N/A N/A 4,58 4,17 5,00 N/A N/A 4,70 4,60 N/A N/A N/A N/A 4,77 N/A N/A 5,00 N/A 4,60 5,00 N/A 5,00 3,86 4,10 N/A N/A N/A N/A 4,77 5,00 N/A N/A 3,27 3,90 Ved overlevering af databehandleransvar til 3. part? 5,00 N/A N/A 4,45 4,56 Anvender organisationen tekniske løsninger til beskyttelse af : Kryptering ved forsendelse over åbne net Anvender organisationen tekniske løsninger til beskyttelse af : Kryptering ved brug af data på arbejdspladser uden for organisationens fysiske rammer (f.eks. hjemmearbejdspladser)? Vurderes organisationens beskyttelse af regelmæssigt - via interne kontrol- og revisionsprocesser Vurderes organisationens beskyttelse af regelmæssigt - via eksterne kontrol- og revisionsprocesser N/A N/A N/A N/A 4,43 N/A N/A N/A N/A 3,52 5,00 N/A N/A 3,54 3,04 5,00 N/A N/A 3,80 4,13 Indgår ikke på dansk N/A N/A N/A N/A N/A Indgår ikke på dansk N/A N/A N/A N/A N/A 2.3.6 Medarbejdersikkerhed Medarbejderskikkerhed Medarbejderskikkerhed Medarbejderskikkerhed Har organisationen fastlagte procedurer for at kontrollere ansøgeres baggrund ift. den sikkerhedsmæssige profil af den stilling de ansætte til? Har organisationen procedurer, der regulerer medarbejdernes adgang til at s e hvad der er registreret om deres anvendelse af systemer og data? Har organisationen regler, der beskriver hvordan oplysninger vedr. ansattes b rug af IT og data, anvendes til kontrol-formål N/A N/A N/A N/A 1,84 5,00 N/A N/A 3,25 1,83 5,00 N/A N/A 3,92 3,14 2.3.7 Cloud Sikkerhed Cloud Sikkerhed Cloud Sikkerhed Foreligger der en erklæring fra uafhængig revision om leverandørens sikkerhed (revisionserklæring)? Foretages der auditering eller anden form for kontrol af leverandørens beredskabstyring? 3,00 N/A N/A 4,47 4,00 0,00 N/A N/A 2,20 1,47 Cloud Sikkerhed Indgår sikkerhed som en faktor ved vurdering af nye leverandører 5,00 N/A N/A 4,41 3,86 Cloud Sikkerhed Findes en fælles proces til håndtering af sikkerhedshændelser? 5,00 N/A N/A 2,65 1,95 Cloud Sikkerhed Stilles der krav til leverandøren for rapportering omkring sikkerhed? 5,00 N/A N/A 3,31 2,75 Cloud Sikkerhed Foretages der konsekvensvurdering af det område, der lægges på Cloud løsning? 1,00 N/A N/A 3,79 3,35 Cloud Sikkerhed Foretages der risikovurdering i forhold til Cloud løsningen 1,00 N/A N/A 3,86 3,40 Cloud Sikkerhed Foreligger der databehandler-aftale, der sikrer at national lovgivning overholdes ved outsourcing af løsninger til net-baseret services (Cloud)? 5,00 N/A N/A 4,79 4,09 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 17

2.4 Teknisk sikkerhed Benchmark-specifikation for Sundby Kommune: Der er ikke lavet et samlet KPI for teknisk sikkerhed for 2014 pga. manglende spørgsmål. Spørgsmåls-specifikation for Sundby Kommune: [backup og sikkerhedskopiering af data] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [at kasseret databærende udstyr bortskaffes på forsvarlig vis] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [administration af password] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [overvågning af kritiske driftssystemer] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [adskillelse af trådløse net for medarbejdere og gæster] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [sikring af interne trådløse net] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [at kritisk forsyning (el, vand, varme) for infrastruktur er tilgængelig selv om hændelser måtte afbryde normal forsyning] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [adgangsbeskyttelse af kritiske lokaliteter] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [at netværket er beskyttet mod indtrængning] Har organisationen indført sikkerhedsmæssige tiltag, der sikrer: [Adskillelse af ansvarsområder (Segregation of duties - sikrer at den som godkender ikke også udfører)] Har organisationen indført sikkerhedsmæssige processer der sikrer: [Uafhængighed af nøglepersoner] Har organisationen indført sikkerhedsmæssige processer der sikrer: [Dokumentation af understøttende driftsrutiner] Har organisationen indført sikkerhedsmæssige processer der sikrer: [Planlægning af kapacitetsbehov] Har organisationen indført sikkerhedsmæssige processer der sikrer: [Styring af ændringer i systemkonfigurationer (change management)] Har organisationen indført sikkerhedsmæssige processer der sikrer: [Reaktion på hændelser] Har organisationen indført sikkerhedsmæssige processer der sikrer: Angiv i hvilket omfang, der for ikke-standardiseret udstyr, er foretaget risko og konsekvensvurderinger: [Registrering og klassifikation af udstyr og data] Angiv for løsninger, der giver ikke-standardiseret udstyr adgang til informationer, hvorvidt følgende er gennemført: [Compliance med relevant lovgivning, herunder især loven] Angiv for løsninger, der giver ikke-standardiseret udstyr adgang til informationer, hvorvidt følgende er gennemført: [Proces for bortskaffelse af databærende udstyr] Angiv for løsninger, der giver ikke-standardiseret udstyr adgang til informationer, hvorvidt følgende er gennemført: [Dokumentation af understøttende driftsrutiner] Angiv for løsninger, der giver ikke-standardiseret udstyr adgang til informationer, hvorvidt følgende er gennemført: [Netværkssikkerhed, herunder beskyttelse mod fjendtlig kode, sikker udveksling af informationer] Angiv for løsninger, der giver ikke-standardiseret udstyr adgang til informationer, hvorvidt følgende er gennemført: [Sikring for forsat drift ved større problemer ift. konsekvensvurdering] Angiv for løsninger, der giver ikke-standardiseret udstyr adgang til informationer, hvorvidt følgende er gennemført: [Logning og overvågning] Angiv for løsninger, der giver ikke-standardiseret udstyr adgang til informationer, hvorvidt følgende er gennemført: [Administration og overvågning af adgangsrettigheder] Angiv for løsninger, der giver ikke-standardiseret udstyr adgang til informationer, hvorvidt følgende er gennemført: N/A N/A N/A N/A 5,00 N/A N/A N/A N/A 4,74 N/A N/A N/A N/A 4,78 N/A N/A N/A N/A 4,87 N/A N/A N/A N/A 5,00 N/A N/A N/A N/A 5,00 N/A N/A N/A N/A 4,40 N/A N/A N/A N/A 4,55 N/A N/A N/A N/A 4,70 N/A N/A N/A N/A 4,04 N/A N/A N/A N/A 3,30 N/A N/A N/A N/A 3,95 N/A N/A N/A N/A 3,65 N/A N/A N/A N/A 3,73 N/A N/A N/A N/A 4,00 5,00 N/A N/A 3,20 3,55 5,00 N/A N/A 3,50 3,95 5,00 N/A N/A 3,58 3,55 5,00 N/A N/A 4,00 4,24 5,00 N/A N/A 2,93 3,41 5,00 N/A N/A 4,00 3,95 5,00 N/A N/A 3,00 3,16 5,00 N/A N/A 3,89 3,62 5,00 N/A N/A 4,19 4,45 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 18

3 DIGITALISERING OG SIKKERHED 3.1 Selvbetjeningsløsninger for borgere og virksomheder 3.1.1 Indsats Sundby Kommune Benchmark-specifikation for Sundby Kommune: Digitalisering - Borger og virksomhedsområder 2014 2012 2010 DK Gns. BiC Formularadgang 5,00 N/A N/A 5,00 5,00 4,27 Elektronisk udfyldelse med integration 3,00 N/A N/A 1,84 2,00 3,04 Sagsindsigt 1,00 N/A N/A 1,27 2,00 2,04 Sikker mail 5,00 N/A N/A 5,00 0,00 4,20 Spørgsmåls-specifikation for Sundby Kommune: Formularadgang Formularadgang Elektronisk udfyldelse med integration Elektronisk udfyldelse med integration Sagsindsigt Sagsindsigt Downloade formular til manuel udfyldelse - i forbindelse med ydelser til personer (Børn og unge, beskæftigelse, social og sundhed) Downloade formular til manuel udfyldelse - i forbindelse med sagsbehandling teknik, miljø, herunder byggesager Udfyldelse af elektronisk formular med integration til bagvedliggende systemer - i forbindelse med ydelser til personer (Børn og unge, beskæftigelse, social og sundhed) Udfyldelse af elektronisk formular med integration til bagvedliggende systemer - i forbindelse med sagsbehandling teknik, miljø, herunder byggesager Indsigt i sagsbehandlings-data - i forbindelse med ydelser til personer (Børn og unge, beskæftigelse, social og sundhed) Indsigt i sagsbehandlings-data - i forbindelse med sagsbehandling teknik, miljø, herunder byggesager 5,00 N/A N/A 5,00 4,23 5,00 N/A N/A 5,00 4,38 3,00 N/A N/A 2,03 3,17 3,00 N/A N/A 1,66 2,94 1,00 N/A N/A 1,29 1,58 1,00 N/A N/A 1,38 2,47 Sikker mail Sikker mail ved korrespondance med eksterne personer 5,00 N/A N/A 5,00 4,91 Sikker mail En mailfunktion adskilt fra øvrige mailfunktioner, der kan anvendes til sikker mail-kommunikation hvis kommunikationen indeholder personoplysninger 5,00 N/A N/A 5,00 3,48 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 19

3.1.2 Sikkerhed på digitale selvbetjeningsløsninger Sundby Kommune Benchmark-specifikation for Sundby Kommune: KPI 2014 2012 2010 DK Gns. BiC Sikkerhed på digitale tjenester 5,00 N/A N/A 3,89 4,73 3,65 Spørgsmåls-specifikation for Sundby Kommune: Sikkerhed på digitale Angiv for digitale tjenester i hvilket omfang, der er foretaget risiko og borgerservices konsekvensvurderinger: Sikkerhed på digitale Angiv i hvilket omfang følgende tiltag er gennemført for digitale tjenester: borgerservices Identifikation og autentificering af borgere Sikkerhed på digitale Angiv i hvilket omfang følgende tiltag er gennemført for digitale tjenester: 2- borgerservices faktor autentifikation af borgere Sikkerhed på digitale Angiv i hvilket omfang følgende tiltag er gennemført for digitale tjenester: borgerservices Kryptering Sikkerhed på digitale Angiv i hvilket omfang følgende tiltag er gennemført for digitale tjenester: borgerservices Digital signatur Sikkerhed på digitale Angiv i hvilket omfang følgende tiltag er gennemført for digitale tjenester: borgerservices Administration og overvågning af adgangsrettigheder Sikkerhed på digitale Angiv i hvilket omfang følgende tiltag er gennemført for digitale tjenester: borgerservices Indtrængningsforebyggelse og/eller opdagelse Sikkerhed på digitale Angiv i hvilket omfang følgende tiltag er gennemført for digitale tjenester: borgerservices Certificering og akkreditering, herunder compliance med lovgivning Sikkerhed på digitale Angiv i hvilket omfang følgende tiltag er gennemført for digitale tjenester: borgerservices Sikring for forsat drift ved større problemer ift. konsekvensvurdering 5,00 N/A N/A 3,04 2,75 5,00 N/A N/A 4,19 4,43 5,00 N/A N/A 3,52 3,36 5,00 N/A N/A 4,45 4,00 5,00 N/A N/A 4,69 4,93 5,00 N/A N/A 4,14 3,56 5,00 N/A N/A 3,86 3,19 N/A N/A N/A 3,16 2,57 5,00 N/A N/A 2,81 3,05 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 20

3.2 Digital dialog med borgere og virksomheder 3.2.1 Indsats Sundby Kommune Digital dialog med borgere og virksomheder 2014 2012 2010 DK Gns. BiC Brug af sociale medier 1,50 N/A N/A 0,87 1,25 0,90 Online dialog 2,00 N/A N/A 0,70 1,38 0,90 Spørgsmåls-specifikation for Sundby Kommune: Brug af sociale medier Brug af sociale medier Online dialog Online dialog Dialog ved brug af sociale medier(facebook, twitter o.lign.) - i forbindelse med ydelser til personer (Børn og unge, beskæftigelse, social og sundhed): Dialog ved brug af sociale medier(facebook, twitter o.lign.) - i forbindelse med sagsbehandling teknik, miljø, herunder byggesager Online dialog f.eks. v. skype, chatfunktioner o.lign. - i forbindelse med ydelser til personer (Børn og unge, beskæftigelse, social og sundhed): Online dialog f.eks. v. skype, chatfunktioner o.lign. - i forbindelse med sagsbehandling teknik, miljø, herunder byggesager 2,00 N/A N/A 1,00 1,00 1,00 N/A N/A 0,63 0,82 2,00 N/A N/A 0,76 1,03 2,00 N/A N/A 0,63 0,70 UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 21

3.3 Mobilitet 3.3.1 Medarbejdernes brug af eget udstyr I hvilket omfang tillader kommunen at medarbejderne anvender eget udstyr på kommunens net og systemer? kommune Gns. øvrige 2012 0,00 2,0 2014 0,00 2,0 I 2012 svarede organisationerne på et enkelt spørgsmål om i hvilket omfang man tillod medarbejderne at bruge eget udstyr. I 2014 er det udvidet til 5 spørgsmål knyttet til enkelt-områder. Tallene fra 2012 og 2014 kan således kun tilnærmelsesvis sammenlignes. I hvilket omfang tillader kommunen at medarbejderne anvender eget udstyr på kommunens net og systemer? Email Intranet 2014 Dokumenter og Sharepoint Applikationer uden følsomme data Applikationer med følsomme data Ingen adgang Ved ikke 56,76% 48,65% 21,62% 24,32% 18,92% 21,62% 0,00% Hvordan tillader kommunen at medarbejderne tilgår organisationens net og systemer fra eget udstyr? Direkte Begrænset opkobling via opkobling via kablet eller kablet eller trådløst netværk trådløst netværk Remote adgang via Browser/SSL VPN Remote adgang via terminal server (eksempelvis Citrix) Remote adgang via Mobile Device Management løsning Ingen Adgang Ved ikke 5,41% 8,11% 24,32% 62,16% 24,32% 5,41% 0,00% 2014 3.3.2 Sikkerhed ved medarbejdernes eget udstyr Spørgsmålene om sikkerhedskontroller ift. medarbejdernes brug af eget udstyr er nye i 2014: BYOD sikkerhed Findes der retninglinjer for hvilke typer af BYOD udstyr der anvendes N/A N/A N/A 3,09 N/A BYOD sikkerhed Findes der en service-/support politik for BYOD N/A N/A N/A 2,05 N/A BYOD sikkerhed Findes der en sikkerhedsstrategi for BYOD N/A N/A N/A 3,05 N/A BYOD sikkerhed Kræves det at organisationens sikkerhedspakker installeres på BYOD N/A N/A N/A 1,29 N/A BYOD sikkerhed Er det muligt for organisationen at slette egne data og evt. installationer på BYOD udstyr N/A N/A N/A 2,21 N/A BYOD sikkerhed Er der foretaget en risiko analyse for BYOD N/A N/A N/A 2,33 N/A UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 22

4 HÆNDELSER 4.1 Eksternt relaterede sikkerhedshændelser (IT-kriminalitet) 4.1.1 Registreret Har organisationen oplevet sikkerhedsrelaterede hændelser hvor eksterne har forsøgt at påvirke driften af eller forsøgt at få adgang til organisationens data/systemer Aldrig Enkelte gange Månedligt Ugentligt Dagligt [4] DDOS angreb (Målrettet eller indirektes) 42,31% 53,85% 3,85% 0,00% 0,00% Andre DOS angreb Botnets, data opsamlere, trojanere og lignende Øvrig hacking/malware Anvendelse af ID Tyveri Phishing og/eller Social Engineering Tyveri af servere og PC udstyr 61,54% 38,46% 0,00% 0,00% 0,00% 30,77% 61,54% 3,85% 3,85% 0,00% 26,92% 57,69% 7,69% 3,85% 3,85% 88,46% 11,54% 0,00% 0,00% 0,00% 30,77% 26,92% 19,23% 11,54% 11,54% 3,85% 92,31% 3,85% 0,00% 0,00% 4.1.2 Konsekvenser Hvis du tænker på de værste hændelser i forbindelse med eksterne angreb, hvilke konsekvenser har organisationen oplevet på en skala fra 1-5? Borgernes adgang til digitale services Påvirkning af elevers adgang skolesystemer Medarbejdernes adgang til interne systemer Medarbejdernes adgang til internet/cloud services Organisationen mailsystemer Brud på fortrolighed af Brud på fortrolighed af data (ikke ) Brud på dataintegritet 1: kunne ikke registreres 2 3: Konsekvenser kunne mærkes i begrænset omfang 4 5: Der var markante konsekvenser 73,33% 13,33% 6,67% 0,00% 6,67% 37,50% 25,00% 12,50% 12,50% 12,50% 62,50% 31,25% 0,00% 0,00% 6,25% 50,00% 18,75% 18,75% 0,00% 12,50% 52,94% 23,53% 17,65% 5,88% 0,00% 81,25% 12,50% 6,25% 0,00% 0,00% 93,75% 6,25% 0,00% 0,00% 0,00% 93,75% 6,25% 0,00% 0,00% 0,00% UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 23

4.2 Interne fejl 4.2.1 Registreret Har medarbejdernes adfærd i forbindelse med informationssystemer medført sikkerhedsrelaterede hændelser: Ved almindelige brugeres anvendelse af informationssystemer Ved IT-medarbejderes anvendelse af informationssystemer Ved IT-medarbejderes drift af informationssystemer (her tænkes på vedligeholdelse, patching osv.) Ved IT-medarbejderes udvikling af informationssystemer (her tænkes på nye systemer og videre udvikling af eksisterende systemer) Ved IT-medarbejdernes support af informationssystemer (her tænkes på helpdesk, brugeradminisstration osv) 2014 2012 2014 2012 2014 2012 2014 2012 2014 2012 Forekommer næsten dagligt Forekommer hver uge Forekommer hver måned Forekommer sjældent Forekommer aldrig Har ikke viden om fejl 9,09% 0,00% 0,00% 54,55% 18,18% 18,18% 9,09% 0,00% 0,00% 18,18% 54,55% 18,18% 9,09% 0,00% 0,00% 36,36% 36,36% 18,18% 0,00% 0,00% 0,00% 9,09% 63,64% 27,27% 9,09% 0,00% 0,00% 9,09% 54,55% 27,27% 4.2.2 Konsekvenser Organisationerne angav konsekvenser ift. hver af de 5 områder vist under 4.2.1. I denne tabel er svarene konsolideret ift. 5 konsekvensområder. Hvis du tænker på de værste hændelser i forbindelser med medarbejdernes anvendelse af informationssystemer hvad var så konsekvenserne af disse, på en skala fra 1-5? 1 2 3 4 5 Politisk & Strategisk: Medfører indskrænkninger i evnen til at handle i en periode Økonomisk & Administrativ: Medfører meromkostninger, tab eller administrative belastninger Omdømme og forholdet til interessenter: Påvirker omdømme i uønsket retning og kan have konsekvenser for forholdet til interessenterkonsekvenserne af disse Menneskelige hensyn: Medfører konsekvenser for det enkelte individ og privacy-regler Lovgivning: Medfører brud på lovgivning fx. forvaltningslov eller straffelov 2014 2012 2014 2014 2012 2014 2014 2012 2014 2014 2012 2014 2014 2012 2014 71% 29% 0% 0% 0% 71% 14% 14% 0% 0% 43% 43% 0% 14% 0% 25% 50% 13% 0% 13% 57% 14% 0% 0% 29% UNDERSØGELSE AF INFORMATIONSSIKKERHED I KOMMUNER 2014 24