Norddjurs Kommune Informationssikkerhedspolitik for Norddjurs Kommune Regler Kommunens regler for informationssikkerhed 24-11-2011
Indholdsfortegnelse Regler 2 4 Risikovurdering og -håndtering 2 4.1 Vurdering af sikkerhedsrisici 2 4.2 Risikohåndtering 2 4.3 Dokumentationskrav 5 5 Overordnede retningslinjer. 6 5.1 Informationssikkerhedsstrategi 6 5.1.1 Formulering af informationssikkerhedspolitikken 6 5.1.2 Løbende vedligeholdelse 7 5.2 Styring af ressourcer 7 6 Organisering af informationssikkerhed 8 6.1 Interne organisatoriske forhold 8 6.1.1 Direktionens rolle 9 6.1.2 Koordinering af informationssikkerhed 9 6.1.3 Ansvarsplacering 10 6.1.4 Godkendelsesprocedure ved anskaffelser 10 6.1.6 Kontakt med myndigheder 10 6.1.7 Fagligt samarbejde med grupper og organisationer 10 6.1.8 Periodisk opfølgning 10 6.2 Eksterne samarbejdspartnere 11 6.2.1 Identifikation af risici i forbindelse med eksternt samarbejde 11 6.2.2 Sikkerhedsforhold i relation til kunder 11 6.2.3 Samarbejdsaftaler 12 7 Styring af informationsrelaterede aktiver 12 7.1 Identifikation af og ansvar for informationsrelaterede aktiver 12 7.1.1 Fortegnelse over informationsaktiver 12 7.1.2 Ejerskab 12 7.1.3 Accepteret brug af aktiver 13 7.2 Klassifikation af alle informationer og data i Norddjurs Kommune 15 7.2.1 Klassifikation 15 7.2.2 Mærkning og håndtering af informationer og data 16 8 Medarbejdersikkerhed 16 8.1 Sikkerhedsprocedure før ansættelse 16 8.1.1 Opgaver og ansvar 16 8.1.2 Efterprøvning 16 8.1.3 Aftale om ansættelse 17 8.2 Ansættelsesforholdet 17 8.2.1 Ledelsens ansvar 17 8.2.2 Uddannelse 17 8.2.3 Sanktioner 18 8.3 Ansættelsens ophør 18 8.3.1 Ansvar ved ansættelsens ophør 18 8.3.2 Returnering af aktiver 18 8.3.3 Inddragelse af rettigheder 18 9 Fysisk sikkerhed 19 9.1 Sikre områder 19 9.1.1 Fysisk afgrænsning 19 9.1.2 Fysisk adgangskontrol 19 9.1.3 Sikring af kontorer, lokaler og udstyr 20 9.1.4 Beskyttelse mod eksterne trusler 20 9.1.5 Arbejdsmæssige forhold i sikre områder 20 9.1.6 Områder til af- og pålæsning med offentlig adgang 20 9.2 Beskyttelse af udstyr 20 9.2.1 Placering af udstyr 20 9.2.2 Forsyningssikkerhed 21 9.2.3 Sikring af kabler 21
9.2.4 Udstyrs og anlægs vedligeholdelse 21 9.2.5 Sikring af udstyr uden for Norddjurs Kommunes overvågning 21 9.2.6 Sikker bortskaffelse eller genbrug af udstyr 21 9.2.7 Fjernelse af virksomhedens informationsaktiver 21 10 Styring af netværk og drift 22 10.1 Operationelle procedurer og ansvarsområder 22 10.1.1 Driftsafviklingsprocedurer 22 10.1.2 Ændringsstyring 22 10.1.3 Funktionsadskillelse 23 10.1.4 Adskillelse mellem udvikling, test og drift 23 10.2 Ekstern serviceleverandør 24 10.2.1 Serviceleverancen 24 10.2.2 Overvågning og revision af serviceleverandøren 24 10.3 Styring af driftsmiljøet 24 10.3.1 Kapacitetsstyring 24 10.3.2 Godkendelse af nye eller ændrede systemer 24 10.4 Skadevoldende programmer og mobil kode 24 10.4.1 Beskyttelse mod skadevoldende programmer 24 10.4.2 Beskyttelse mod mobil kode 25 10.5 Sikkerhedskopiering 25 10.5.1 Sikkerhedskopiering 25 10.6 Netværkssikkerhed 25 10.6.1 Netværket 26 10.6.2 Netværkstjenester 26 10.7 Databærende medier 27 10.7.1 Bærbare datamedier 27 10.7.2 Destruktion af datamedier 27 10.7.3 Beskyttelse af datamediers indhold 27 10.7.4 Beskyttelse af systemdokumentation 27 10.8 Informationsudveksling 28 10.8.1 Informationsudvekslingsretningslinjer og -procedurer 28 10.8.3 Fysiske datamediers sikkerhed under transport 28 10.8.4 Elektronisk post og dokumentudveksling 28 10.8.5 Virksomhedens informationssystemer 28 10.9 Elektroniske forretningsydelser 29 10.9.3 Offentligt tilgængelige informationer 29 10.10 Logning og overvågning 29 10.10.1 Opfølgningslogning 29 10.10.2 Overvågning af systemanvendelse 29 10.10.3 Beskyttelse af log-oplysninger 30 10.10.4 Administrator- og operatørlog 30 10.10.5 Fejllog 30 10.10.6 Tidssynkronisering 30 11 Adgangsstyring 30 11.1 De forretningsmæssige krav til adgangsstyring 30 11.1.1 Retningslinjer for adgangsstyring 30 11.2 Administration af brugeradgang 31 11.2.1 Registrering af brugere 31 11.2.2 Udvidede adgangsrettigheder 32 11.2.3 Adgangskoder 32 11.2.4 Periodisk gennemgang af brugernes adgangsrettigheder 32 11.3 Brugerens ansvar 32 11.3.1 Brug af adgangskoder 32 11.3.2 Uovervåget udstyr 33 11.3.3 Beskyttelse af datamedier på den personlige arbejdsplads 33 11.4 Styring af netværksadgang 33 11.4.1 Retningslinjer for brug af netværkstjenester 34 11.4.2 Autentifikation af brugere med ekstern netværksforbindelse 34 11.4.4 Beskyttelse af diagnose- og konfigurationsporte 34
11.4.5 Opdeling af netværk 34 11.4.6 Styring af netværksadgang 34 11.5 Styring af systemadgang 34 11.5.1 Sikker log-on 34 11.5.3 Styring af adgangskoder 34 11.5.4 Brug af systemværktøjer 35 11.6 Styring af adgang til brugersystemer og informationer 35 11.6.1 Begrænset adgang til informationer 35 11.7 Mobilt udstyr og fjernarbejdspladser 35 11.7.1 Mobilt udstyr og datakommunikation 35 11.7.2 Fjernarbejdspladser 35 12 Anskaffelse, udvikling og vedligeholdelse af 36 informationsbehandlingsystemer 12.1 Sikkerhedskrav til informationsbehandlingssystemer 36 12.1.1 Analyse og specifikation af krav til sikkerhed 36 12.2 Korrekt informationsbehandling 36 12.2.1 Validering af inddata 36 12.3 Kryptografi 37 12.3.1 Retningslinjer for brugen af kryptografi 37 12.4 Styring af driftsmiljøet 37 12.4.1 Sikkerhed ved systemtekniske filer 37 12.4.2 Sikring af testdata 38 12.5 Sikkerhed i udviklings- og hjælpeprocesser 38 12.5.1 Ændringsstyring 38 12.5.2 Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne 38 12.5.3 Begrænsninger i ændringer til standardsystemer 39 12.5.4 Lækage af informationer 39 12.5.5 Systemudvikling udført af en ekstern leverandør 39 12.6 Sårbarhedsstyring 39 12.6.1 Sårbarhedssikring 39 13 Styring af sikkerhedshændelser 40 13.1 Rapportering af sikkerhedshændelser og svagheder 40 13.1.1 Rapportering af sikkerhedshændelser 40 13.1.2 Rapportering af svagheder 40 13.2 Håndtering af sikkerhedsbrud og forbedringer 40 13.2.1 Ansvar og forretningsgange 40 13.2.2 At lære af sikkerhedsbrud 41 13.2.3 Indsamling af beviser 41 14 Beredskabsstyring 41 14.1 Beredskabstyring og informationssikkerhed 41 14.1.1 Informationssikkerhed i beredskabsstyringen 41 14.1.2 Beredskab og risikovurdering 42 14.1.3 Udarbejdelse og implementering af beredskabsplaner 42 14.1.4 Rammerne for beredskabsplanlægningen 42 14.1.5 Afprøvning, vedligeholdelse og revurdering af beredskabsplaner 43 15 Overensstemmelse med lovbestemte og kontraktlige krav 43 15.1 Overensstemmelse med lovbestemte krav 43 15.1.1 Identifikation af relevante eksterne krav 43 15.1.2 Ophavsrettigheder 43 15.1.3 Sikring af virksomhedens kritiske data 44 15.1.4 Beskyttelse af personoplysninger 45 15.1.5 Beskyttelse mod misbrug af informationsbehandlingsfaciliteter 45 15.1.6 Lovgivning vedrørende kryptografi 45 15.2 Overensstemmelse med sikkerhedspolitik og -retningslinjer 46 15.2.1 Overensstemmelse med Norddjurs Kommunes sikkerhedsretningslinjer 46 15.2.2 Opfølgning på tekniske sikringsforanstaltninger 46 15.3 Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer 46 15.3.1 Sikkerhed i forbindelse med systemrevision 46 15.3.2 Beskyttelse af revisionsværktøjer 47
Regler 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici Overordnet risikovurdering Der skal være udført en overordnet risikovurdering af trusselsbilledet for Norddjurs Kommune. Risikovurderingen udarbejdes af ITsikkerhedsgruppen Risikovurderingen skal opdateres mindst en gang om året. Risikovurderingen skal omfatte alle væsentlige it-systemer. Om ISMS Norddjurs Kommunes ISMS (Information Security Management System) benytter den velkendte Plan - Do - Check - Act (PDCA) -model til at etablere, implementere, drive, overvåge, revurdere, vedligeholde og forbedre ISMS. 4.2 Risikohåndtering Risikoanalyse Der skal være udført en overordnet risikoanalyse for Norddjurs Kommune. Der skal udarbejdes en detaljeret risikoanalyse for alle forretningskritiske systemer. ISMS-anvendelsesområde Norddjurs Kommunes ISMS styrer informationssikkerhed for alle interne og eksterne aktiviteter i kommunens afdelinger. Overholdelse af standarder Sikkerhedssystemet overholder kravene i International Standard ISO/IEC 27002:2005, på de områder, hvor Norddjurs Kommunes risikovurdering retfærdiggør overensstemmelse og tilhørende sikkerhedsinvesteringer. Norddjurs Kommunes ISMS-politik: Indeholder rammerne for at opstille mål og skaber en samlet fornemmelse af retning og principper for handling med hensyn til informationssikkerhed. Tager hensyn til forretningsmæssige krav og lov- eller myndighedskrav samt kontraktlige sikkerhedsforpligtelser. Opstiller kriterier, som risiko vil blive vurderet imod. Er godkendt af direktionen. Side 2 af 47
Metode til risikovurdering og kriterier for risikovillighed Der benyttes en trusselsbaseret metode til risikovurdering. Forretningskonsekvens og sårbarhed vurderes på baggrund af fortrolighed, integritet og tilgængelighed. Risikovurderingsmetoden er passende for Norddjurs Kommunes ISMS og de fastlagte krav til sikring af forretningsoplysninger samt lov- og myndighedskrav. Den valgte metode til risikovurdering skal sikre, at risikovurderinger giver sammenlignelige og reproducerbare resultater. IT-sikkerhedsgruppen har udarbejdet kriterier for risikovillighed og identificeret de risikoniveauer, der kan accepteres. Identificering af risici Programmer, der falder inden for ISMS' anvendelsesområdet og disse programmers ejere er registreret på listen over programejere i Norddjurs Kommune. Trusler mod aktiver er identificeret i den generelle, tilbagevendende risikovurdering. Risikovurderingsrapporterne identificerer sårbarheder, som kan opstå af de udvalgte trusler. Risikovurderingsrapporterne identificerer de virkninger, som tab af fortrolighed, integritet og tilgængelighed kan have på aktiverne. Risikoanalyse og -evaluering indbefatter: En vurdering af de forretningsmæssige indvirkninger på Norddjurs Kommune, som kan følge af sikkerhedssvigt, under hensyntagen til konsekvenserne af tab af fortrolighed, integritet eller tilgængelighed af aktiverne. En vurdering af sandsynligheden for, at der sker sikkerhedssvigt i lyset af tilstedeværende trusler og sårbarheder samt indvirkninger, der er forbundet med aktiverne, og de iværksatte foranstaltninger. En vurdering af graderne af risici. Beslutning om, om risiciene kan accepteres eller kræver håndtering ud fra kriterierne for risikovillighed. Integration af informationssystemer Hvis integration mellem informationssystemer resulterer i en forøget risiko, skal denne vurderes og godkendes af IT-sikkerhedsgruppen. Risikohåndtering Programejerne vurderer mulighederne for risikohåndtering. Risikohåndtering kan bl.a. omfatte iværksættelse af passende foranstaltninger samt bevidst at acceptere risici. Udvælgelse af foranstaltninger Programmets ejer vælger styringsmål og foranstaltninger til risikohåndtering. Styringsmål og foranstaltninger vælges og implementeres for at opfylde de krav, der er identificeret ved risikovurderingen og risikohåndteringsprocessen idet der tages hensyn til kriterierne for risikovillighed. Side 3 af 47
Direktionens tilladelse til ISMS Der er indhentet tilladelse fra direktionen til at implementere og drive ISMS (Information Security Management System). Godkendelse af udækkede risici IT-sikkerhedsgruppen fremsender foreslåede udækkede risici til godkendes af direktionen. Erklæring om anvendelse og opfyldelse indeholder: Styringsmål og foranstaltninger valgt i ISO/IEC 27001:2005) og årsagerne til valget af dem. Erklæringen om anvendelse og opfyldelse revideres årligt, og når ændringer i organisationen, drift, teknologi mm. kræver en opdatering. Implementering og drift af ISMS Norddjurs Kommune har formuleret en risikohåndteringsplan, der identificerer de relevante ledelsestiltag, ressourcer, ansvar og prioriteringer for at styre informationssikkerhedsrisici. Norddjurs Kommune har implementeret risikohåndteringsplanen for at nå de identificerede styringsmål, der indbefatter overvejelser om finansiering og fordeling af roller og ansvar. Norddjurs Kommune har implementeret foranstaltninger, til at opfylde styringsmålene. Norddjurs Kommune har defineret, hvordan effekten af de valgte foranstaltninger måles. Norddjurs Kommune har implementeret uddannelses-/trænings- og bevidsthedsskabende programmer. Norddjurs Kommune leder løbende driften af ISMS. Norddjurs Kommune forvalter løbende ressourcer til ISMS. Norddjurs Kommune har implementeret procedurer og andre foranstaltninger, der gør det muligt omgående at afsløre sikkerhedshændelser og reagere på sikkerhedsbrud (se ISO/IEC 27001:2005). Norddjurs Kommune iværksætter procedurer til overvågning og revurdering og andre foranstaltninger for: Omgående at afsløre fejl i procesresultater Omgående at identificere fejlslagne og gennemførte forsøg på sikkerhedsovertrædelser samt sikkerhedsbrud At sætte IT-sikkerhedsgruppen i stand til at afgøre, om sikkerhedsaktiviteter delegeret til personer eller implementeret ved hjælp af informationsteknologi fungerer som forventet At hjælpe til at afsløre fejlslagne forsøg på sikkerhedsovertrædelser og dermed forhindre sikkerhedsbrud. Afgøre, om de iværksatte handlinger til at løse sikkerhedsbrud har været effektive Regelmæssig gennemgang af effekten af ISMS IT-sikkerhedsgruppen foretager mindst en gang om året gennemgang af effektiviteten af ISMS. Gennemgang af ISMS IT-sikkerhedsgruppen gennemgår løbende ISMS for at sikre, at anvendelsesområdet fortsat er fyldestgørende. Side 4 af 47
Ajourføring af sikkerhedsplaner IT-sikkerhedsgruppen ajourfører løbende sikkerhedsplanerne for at tage resultater af overvågnings- og revurderingsaktiviteter i betragtning. Registrering af handlinger og hændelser Den øverste sikkerhedsansvarlige registrerer løbende handlinger og hændelser, der kunne have indflydelse på effekten af ISMS. Vedligeholdelse og forbedring af ISMS indbefatter: Implementering af de identificerede forbedringer af ISMS Iværksættelse af passende korrigerende og forebyggende handlinger i overensstemmelse med ISO/IEC 27001, samt at tage ved lære af de erfaringer, som Norddjurs Kommune og andre virksomheder har indsamlet i relation til informationssikkerhed Udmelding af handlinger og forbedringer til alle medarbejdere i en detaljeringsgrad, der passer til omstændighederne. Sikring af, at forbedringerne når de tilsigtede mål Proces for reaktion på hændelser Den øverste sikkerhedsansvarlige koordinerer en ledelsesproces, der sikrer en passende reaktion på sikkerhedshændelser. Ved gennemgang af risikovurderinger tages højde for følgende: Teknologi Identificerede trusler Effekten af iværksatte foranstaltninger Eksterne hændelser som fx ændringer af lov- eller myndighedsmiljø, ændrede kontraktlige forpligtelser eller ændringer i den sociale bevidsthed Gennemgang af risikovurderinger IT-sikkerhedsgruppen gennemgår risikovurderinger mindst én gang årligt. Gennemgang af risikovurderingen indbefatter udækkede risici og de identificerede acceptable risikoniveauer. 4.3 Dokumentationskrav ISMS-dokumentation omfatter: En dokumenteret ISMS-politik (se ISO/IEC 27001:2005) Anvendelsesområdet for ISMS (se ISO/IEC 27001:2005) Procedurer og foranstaltninger til støtte for ISMS Beskrivelse af metodikken til risikovurdering (se ISO/IEC 27001:2005) Risikovurderingsrapporten (see ISO/IEC 27001:2005) Risikohåndteringsplanen Registreringer krævet i den internationale standard ISO/IEC27001:2005 Netværksdokumentation IT-afdelingen skal løbende vedligeholde et opdateret netværksdiagram. Beskyttelse og styring af dokumenter ISMS-dokumenter skal beskyttes og opbevares på en forsvarlig måde. Side 5 af 47
Sikring af Norddjurs Kommunes lovbestemte data Norddjurs Kommunes lovbestemte data skal opbevares og behandles således at datatab, uautoriseret modifikation og forfalskning undgås. Rapportering af sikkerhedshændelser Rapportering om hændelser af betydning for sikkerheden skal fremsendes til Norddjurs Kommunes øverste sikkerhedsansvarlige. Denne afrapporterer mindst én gang om året til IT-sikkerhedsgruppen om antallet af sikkerhedshændelser, forsøg på sikkerhedsbrud m.v., samt reagerer på henvendelserne, når disse er af betydning for sikkerheden. Med dette menes, at tab af fortrolighed, dataintegritet og tilgængelighed af systemer skal rapporteres. Log-gennemgang It-afdelingen skal vedligeholde procedurer vedrørende gennemgang af sikkerhedslogs og krav i forbindelse med opfølgning på uregelmæssigheder. Styring af registreringer Ved udarbejdelse af ISMS, skal der tages hensyn til relevante lov- eller myndighedskrav og til kontraktlige forpligtelser. Der foretages de fornødne foranstaltninger for, at registreringer skal forblive læselige, og umiddelbart skal kunne identificeres og genfindes. De foranstaltninger, der er nødvendige for identifikation, opbevaring, beskyttelse, genfinding, opbevaringstid og disponering vedr. registreringer dokumenteres og implementeres. Der foretages registreringer af processens opretholdelse som beskrevet i ISO/IEC 27001 5 Overordnede retningslinjer. 5.1 Informationssikkerhedsstrategi Direktionen skal bevise sit engagement i: Fastlæggelse af en ISMS-politik. Fastlæggelse af roller og ansvarsområder for informationssikkerhed. At kommunikere vigtigheden af at opfylde informationssikkerhedskrav og efterleve informationssikkerhedspolitikken. At sørge for tilstrækkelige ressourcer til at etablere, implementere, drive, overvåge, gennemgå, vedligeholde og forbedre ISMS (se ISO/IEC 27001:2005 5.2.1). At træffe beslutning om kriterier for accept af risici og acceptable risikoniveauer. 5.1.1 Formulering af informationssikkerhedspolitikken Definition på informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceduremæssige, lov- og regelmæssige kontroller. Sprog for informationssikkerhedspolitik Informationssikkerhedspolitikken for Norddjurs Kommune udarbejdes kun på dansk. Side 6 af 47
Vedligeholdelse af informationssikkerhedspolitikken. Informationssikkerhedspolitikken skal vedligeholdes af ITsikkerhedsgruppen. Godkendelse af den overordnede informationssikkerhedspolitik Den overordnede informationssikkerhedspolitik skal godkendes af Norddjurs Kommunes kommunalbestyrelse. Reglerne i informationssikkerhedspolitikken i Norddjurs Kommune skal hvert år godkendes af direktionen, efter indstilling fra ITsikkerhedsgruppen. Procedurerne i informationssikkerhedspolitikken udarbejdes af ITsikkerhedsgruppen. Procedurerne tager udgangspunkt i reglerne, og må ikke være i modstrid med disse. Offentliggørelse af informationssikkerhedspolitikken. Informationssikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere i Norddjurs Kommune. 5.1.2 Løbende vedligeholdelse Løbende vedligeholdelse af informationssikkerhedspolitik Revision af informationssikkerhedspolitikken. IT-sikkerhedsgruppen foretager revision af informationssikkerhedspolitikken mindst èn gang om året. 5.2 Styring af ressourcer Ressourceforbrug til sikringsforanstaltninger Ved implementering af sikringsforanstaltninger skal ressourceforbruget vurderes op mod den risiko, der forventes reduceret. Sikkerhedsforanstaltninger skal, samlet set, bidrage positivt til organisationen. Udgifter til specifikation, design, implementering, drift og vedligeholdelse skal vejes imod den forventede direkte og indirekte nedgang i udgifter som følge af sikkerhedshændelser. Direktionen fastlægger niveauet og sørger for de nødvendige ressourcer til at: Etablere, implementere, drive, overvåge, revurdere, vedligeholde og forbedre et ISMS. Sikre, at procedurer til informationssikkerhed understøtter de forretningsmæssige krav. Identificere og efterleve lov- og myndighedskrav og kontraktlige forpligtelser. Opretholde tilstrækkelig sikkerhed ved at anvende alle implementerede foranstaltninger korrekt. Foretage revurderinger efter behov og reagere hensigtsmæssigt i forhold til resultaterne af disse revurderinger. Side 7 af 47
Beskrivelser af sikkerhedsopgaver og ansvar skal omfatte: Medarbejderens ansvar for at overholde Norddjurs Kommunes informationssikkerhedspolitik. Medarbejderens ansvar for at beskytte Norddjurs Kommunes informationsaktiver mod misbrug. Medarbejderens ansvar for eventuelle specifikke sikkerhedsopgaver. Medarbejderens ansvar for egne handlinger. Medarbejderens ansvar for at rapportere sikkerhedshændelser og - trusler. Kompetenceudvikling af medarbejdere indbefatter: Fastsættelse af den nødvendige kompetence for medarbejdere, der udfører arbejde med indflydelse på ISMS. Uddannelse/træning eller gennemførelse af andre aktiviteter for at opfylde kompetencebehovet. Medarbejderes kompetenceudvikling Det sikres, at alle medarbejdere, der er tildelt ansvarsområder defineret i ISMS, er kompetente til at udføre de nødvendige opgaver. Det sikres, at alle berørte medarbejdere er bevidste om relevansen og vigtigheden af de informationssikkerhedsaktiviteter, de udfører. 6 Organisering af informationssikkerhed Placering af ansvar er vitalt for at sikre opmærksomhed på Norddjurs Kommunes informationsaktiver. Organisationsstrukturen i Norddjurs Kommune og samarbejde med eksterne partnere er yderst vigtig for at opretholde et tidssvarende sikkerhedsniveau. Kontrakter med partnere og andre aftaler er ligeledes et område, der har indflydelse på informationssikkerheden. Planlægning af interne ISMS-audit Norddjurs Kommune gennemfører interne ISMS-audit med planlagte mellemrum. Formålet er at evaluere styringsmål, foranstaltninger, processer og procedurer vedrørende ISMS. ISMS-audit afgør om styringsmål,foranstaltninger, processer og procedurer vedr. ISMS: Opfylder kravene i den internationale standard ISO/IEC27001:2005 og relevant lovgivning eller forskrifter. Opfylder de identificerede informationssikkerhedskrav. 6.1 Interne organisatoriske forhold Side 8 af 47
Evaluering af ISMS IT-sikkerhedsgruppen foretager minimum én gang om året evaluering af Norddjurs Kommunes ISMS for at sikre, at det fortsat er egnet, fyldestgørende og effektivt. IT-sikkerhedsgruppen vurderer muligheder for forbedring af og behovet for ændringer af ISMS, herunder informationssikkerhedspolitikken og - målene. Resultaterne af evalueringen af ISMS skal være entydigt dokumenteret, og der skal opretholdes registreringer (se ISO/IEC 27001:2005). Input til evalueringen omfatter: Resultater af ISMS evalueringer. Tilbagemeldinger fra medarbejdere og andre interessenter. Teknikker, produkter eller procedurer, der kunne blive benyttet i Norddjurs Kommune til forbedring af præstation og effekt af ISMS. Status for forebyggende og korrigerende handlinger. Sårbarheder eller trusler, der ikke er håndteret fyldestgørende ved den foregående risikovurdering. Anbefalinger om forbedringer. Output fra evalueringen omfatter beslutninger og handlinger i relation til følgende: Forbedring af effekten af ISMS. Ajourføring af risikovurderingen og risikohåndteringsplanen. Ændring efter behov af procedurer og foranstaltninger, der påvirker informationssikkerheden, for at reagere på interne eller eksterne hændelser, som kan indvirke på ISMS, herunder ændringer af:1) forretningsmæssige krav 2) sikkerhedskrav 3) forretningsprocesser, der påvirker de nuværende forretningsmæssige krav4) myndigheds- eller lovkrav 5) kontraktlige forpligtelser6) niveauer af risiko og/eller kriterier for accept af risici. Ressourcebehov. 6.1.1 Direktionens rolle Direktionens rolle Direktionen skal støtte Norddjurs Kommunes informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre en præcis placering af ansvar. 6.1.2 Koordinering af informationssikkerhed Organisationen af informationssikkerheden. IT-sikkerhedsgruppen har ansvaret for at sikre at informationssikkerheden er synlig, koordineret og i overensstemmelse med kommunens mål. Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen varetages af IT-sikkerhedsgruppen. Side 9 af 47
6.1.3 Ansvarsplacering Sikkerhedsansvar for programmer Den øverste sikkerhedsansvarlige har ansvar for at vedligeholde en liste over samtlige godkendte programmer i Norddjurs Kommune. Listen skal angive den ansvarlige ejer for hvert enkelt program. 6.1.4 Godkendelsesprocedure ved anskaffelser Anskaffelsesprocedurer Det skal sikres, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i sikkerhedspolitikken. Anskaffelser må ikke give anledning til forøget risiko for sikkerhedshændelser, med mindre at direktionen accepterer den øgede risiko. Ethvert nyt system skal risikovurderes inden ibrugtagning. Anskaffelse og installation af nyt informationsbehandlingsudstyr og - systemer skal godkendes af den øverste sikkerhedsansvarlige. Specifikation af sikkerhedskrav Sikkerhedskrav skal være dokumenteret i forbindelse med enhver nyanskaffelse eller IT-systemopgradering. Anskaffelser IT-afdelingen skal tilse, at kun kendt og sikkert udstyr eller software, med et defineret formål, anskaffes og sættes i drift. Udstyr og software må kun indkøbes fra leverandører som må forventes ikke at krænke tredje parts ophavsret. 6.1.6 Kontakt med myndigheder Kontakt med relevante myndigheder Ved brud eller mistanke om brud på sikkerheden skal der være etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. 6.1.7 Fagligt samarbejde med grupper og organisationer Information om nye trusler, virus og sårbarheder Når nye sårbarheder annonceres, skal de vurderes for relevans og alvorlighed. Hvis nødvendigt skal passende reaktion, f.eks. installation af sikkerhedsrettelser, prioriteres for at mindske organisationens sårbarhed. IT-afdelingen skal informere relevante personer om nye trusler, som kan berøre de pågældende aftaleområder. 6.1.8 Periodisk opfølgning Norddjurs Kommune forbedrer løbende effekten af ISMS ved hjælp af: Informationssikkerhedspolitikken Analyse af overvågede hændelser Korrigerende og forebyggende handlinger Side 10 af 47
Proceduren for korrigerende handlinger definerer krav til: Identifikation af afvigelser. Fastlæggelse af årsagerne til afvigelser. Evaluering af, om der er behov for at sikre, at afvigelser ikke gentages. Fastlæggelse og implementering af nødvendige korrigerende handlinger. Revurdering af iværksatte korrigerende handlinger. Potentielle afvigelser Forebyggende handlinger skal være passende i forhold til effekten af de potentielle problemer. Afvigelser For at forhindre gentagelse af afvigelser fra kravene til ISMS, iværksætter IT-sikkerhedsgruppen handlinger til at fjerne årsagerne til dette. Proceduren for forebyggende handlinger definerer krav til: Identifikation af potentielle afvigelser og årsagerne til disse afvigelser. En bedømmelse af, om der er behov for tiltag til at forebygge afvigelser. Fastsættelse og implementering af forebyggende handlinger. Registrering af resultaterne af iværksatte handlinger (ISO/IEC 27001:2005). Revurdering af iværksatte forebyggende handlinger. 6.2 Eksterne samarbejdspartnere 6.2.1 Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhed ved samarbejde med partnere Ved integration af Norddjurs Kommunes systemer og processer med tredjepart skal sikkerhedsrisici altid vurderes og dokumenteres. Der skal foreligge dokumentation for sikkerhedsrisikoen hvor tredjepart har fået godkendt adgang til Norddjurs Kommunes systemer. Information til eksterne partnere Relevante interessenter skal informeres om krav til efterlevelse af informationssikkerhedspolitikkerne i Norddjurs kommune. Outsourcing Brug af outsourcing må ikke forhøje risikoniveauet for Norddjurs kommune. Outsourcing-partnere Alle outsourcingpartnere skal bekræfte kendskab til Norddjurs kommunes informationssikkerhedspolitik. Inden indgåelse af aftaler skal sikkerhedsniveauet ved partneren afklares og sammenlignes med de krav der stilles i informationssikkerhedspolitikken. 6.2.2 Sikkerhedsforhold i relation til kunder Identifikation af brugerprofiler for eksterne brugere Eksterne brugerprofiler skal være tydeligt adskilt fra Norddjurs Kommunes fastansatte medarbejderes brugerprofiler. Side 11 af 47
6.2.3 Samarbejdsaftaler Tilgængelighedshændelser Hændelser, der har indflydelse på tilgængelighed, skal afklares i henhold til gældende driftsaftaler - Service Level Agreement - (SLA). 7 Styring af informationsrelaterede aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 7.1 Identifikation af og ansvar for informationsrelaterede aktiver 7.1.1 Fortegnelse over informationsaktiver Administration af internet-domænenavne Ansvaret for registrering af hoveddomænenavne for Norddjurs Kommune ligger i IT-afdelingen. For øvrige domænenavne er ansvaret ved aftaleenheden. Identifikation af kritiske processer Alle forretningskritiske funktioner og disses relaterede processer, systemer og ejere skal være identificerede og dokumenterede. Registrering af it-udstyr IT-afdelingen registrerer det centralt placerede it-udstyr (servere mv.) med ejer, serienummer og placering. 7.1.2 Ejerskab Ansvar for adgangsrettigheder De programansvarlige har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med Norddjurs kommunes generelle adgangspolitik. Ansvar for klassifikation Programejerne har ansvaret for at dataindholdet er klassificeret. Data på mobile enheder Alle forretningsdata på mobile enheder skal være kopi af data beliggende på de centrale servere. Sikkerhedsansvar for it-funktioner Programejerne af de virksomhedskritiske systemer skal identificeres og gøres opmærksom på dette ansvar. IT-afdelingen har ansvaret og beføjelser til at sikre tilstrækkelig beskyttelse. Side 12 af 47
Ejere af data på mobile enheder På mobile enheder med en primær ejer er pågældende ansvarlig for data. På mobile enheder uden en primær ejer er det den medarbejder der senest har brugt den mobile enhed som er ansvarlig for at data fjernes fra enheden efter brug. Medarbejderne der bruger Norddjurs kommunes bærbare pc'er og andre mobile dataenheder er ansvarlige for at beskytte enhederne samt de data der behandles på disse. Ansvar for sikkerheden på it-platforme IT-afdelingen har ansvaret for administration af sikkerheden på de benyttede platforme. 7.1.3 Accepteret brug af aktiver Overvågning af sociale netværk Browsere på Norddjurs Kommunes PC'er gemmer blandt andet information om den enkelte medarbejders brug af sociale netværk, og medarbejderen må forvente, at Norddjurs Kommune kan få adgang til denne information. Download af filer fra internettet Medarbejderne må ikke hente filer fra Internettet, medmindre filerne specifikt scannes for virus umiddelbart efter hentning og inden de åbnes. Medarbejderne må hente filer fra leverandørers sites som IT-afdelingen specifikt har godkendt. Internetbaserede tjenester Medarbejderne må anvende internettjenester, der ikke er beskrevet i informationssikkerhedspolitikken, såfremt dette ikke indebærer forøgede sikkerhedsrisici for Norddjurs Kommune Download af programmer fra internettet Medarbejderne må ikke hente og installere programmer fra Internettet, medmindre der foreligger godkendelse af IT-afdelingen. Streaming via internet Medarbejderne må streame indhold fra Internettet, f.eks. lyd eller billede fra radio- og tv-tjenester eller film, såfremt dette sker uden gene for arbejdsrelateret netværksbrug og uden forøgede sikkerhedsrisici. Brug af messenger-programmer Medarbejderne må bruge messenger-programmer på netværket, f.eks. Microsoft Messenger eller Yahoo Messenger, såfremt dette sker uden gene for arbejdsrelateret netværksbrug og uden forøgede sikkerhedsrisici. Afvikling af programmer i forbindelse med internetsurfing Medarbejderne må afvikle browserbaserede programmer, f.eks. Netbankprogrammer, forudsat at Norddjurs Kommunes informationssikkerhedspolitik i øvrigt overholdes. Medarbejderne må afvikle browserbaserede programmer af typen ActiveX selvom disse ikke er digitalt signerede. Medarbejderne må afvikle browserbaserede programmer af typen Java selvom disse ikke er digitalt signerede. Side 13 af 47
Terminalsessioner til fjernstyring Medarbejderne må benytte krypterede sessioner, f.eks. Secure Shell (SSH) fra det interne netværk til andre netværk. Sikkerhedsindstillinger i web-browser Sikkerhedsindstillingerne i Web-browserne styres centralt af ITafdelingen og må ikke ændres. Medarbejderes private brug af internetadgang Norddjurs Kommunes internetadgang må anvendes til private formål, såfremt arbejdsrelateret brug ikke generes på nogen måde, og såfremt informationssikkerhedspolitikken overholdes. Adgang til surfing på internettet Internetadgangen må benyttes til internetbrowsing. Privat brug må ske i begrænset omfang, forudsat at det ikke blokerer for arbejdsrelateret brug af internettet og informationssikkerhedspolitikken iøvrigt overholdes. Medarbejderes private brug af e-mail Medarbejderne i Norddjurs Kommune skal markere private e-mails med teksten "privat" i emne-feltet, eller alternativt gemme private mails i en folder hvor teksten "privat" indgår i folderens navn. Norddjurs Kommune forbeholder sig ret til at skaffe sig adgang til data og e-mail for medarbejdere, hvis dette sker af drifts- eller sikkerhedshensyn. Norddjurs kommune vil så vidt muligt forsøge at undgå at åbne eventuel privat e-mail-korrespondance. Medarbejderne må anvende mailsystemerne til privat brug i rimeligt begrænset omfang hvis dette ikke har indflydelse på Norddjurs Kommunes drift og sikkerhed i øvrigt. Mailsystemet i Norddjurs Kommune må ikke anvendes ifm erhvervsmæssig virksomhed. Ejerskab Alle mails betragtes som Norddjurs Kommunes ejendom. Sagsbehandling og journalisering af e-mail Sendte og modtagne mails skal håndteres på samme måde som almindelig papirbaseret post, indskannet post og fax. E-mails med vigtig information skal arkiveres systematisk for at sikre lagring. Brug af previewfunktion til åbning af e-mail Medarbejderne i Norddjurs Kommune må anvende previewfunktionen i mailprogrammet. Vedhæftede filer Der må kun sendes eller åbnes vedhæftede filer til arbejdsrelaterede formål. Kun dokumentfiler, billedfiler og arkiver må vedhæftes og åbnes. Det gælder eksempelvis følgende filtyper: TXT, RTF, DOC, XLS, PPT, PPS, JPG, JPEG, PNG, GIF, TIFF, PS, EPS, PDF eller ZIP. Programfiler og kommandofiler må ikke vedhæftes eller åbnes. Det gælder eksempelvis følgende filtyper:.exe,.com,.scr,.pif,.bat, cmd,.vbs. IT-afdelingen blokerer for filtyper som vurderes som farlige eller uhensigtsmæssige. Side 14 af 47
Phishing og bedrageri Selvom Norddjurs Kommune udfører indholdscanning af alle e-mails, skal medarbejderne alligevel være opmærksomme på "phishing" og "social engineering", der for eksempel kan betyde at medarbejdere kan modtage tilsyneladende oprigtige e-mails, der forsøger at franarre personlige eller fortrolige oplysninger, eller forsøger at få medarbejderen til at foretage uønskede handlinger. Adware Adware-beskyttelse baseres på medarbejderradfærd, sikkerhedsindstillinger i internetbrowser samt begrænsninger i medarbejderens muligheder for softwareinstallation. Installation af trådløst udstyr Medarbejderne må ikke installere og bruge trådløs udstyr på Norddjurs Kommunes interne netværk. Norddjurs Kommunes IT-afdeling opstiller og driver trådløs udstyr, som giver adgang til kommunens interne og eksterne netværk (adskilt). Forbindelse til fremmede trådløse netværk Medarbejdere må forbinde deres mobile udstyr til fremmede trådløse netværk, forudsat at godkendt firewall er aktiveret. Kontrol af antivirus på arbejdsstationer Medarbejderne skal løbende kontrollere, at antivirus programmet er aktivt på deres computere. Autentificering Medarbejderne skal være opmærksomme på at de, via messengerprogrammer, kan udsættes for "social engineering". Det vil sige at andre personers forsøger at udnytte medarbejderens hjælpsomhed til at få informationer, koder m.v. Informationsudveksling med eksterne parter Messenger-programmer må bruges til at udveksle alle former for information, forudsat at medarbejderen har fået sikkerhed for autenticiteten af modparten. Afsendere og modtagere Messenger-kommunikation må anvendes både imellem medarbejdere i Norddjurs Kommune og eksterne personer, f.eks. kunder og samarbejdspartnere. Krav til indstillinger af internet-browser MS Internet Explorer og andre browsere skal opsættes jævnfør informationssikkerhedspolitikken. Medarbejderne må ikke ændre denne opsætning. 7.2 Klassifikation af alle informationer og data i Norddjurs Kommune 7.2.1 Klassifikation Side 15 af 47
Informationer og data skal klassificeres som følger: Offentligt: Materiale, der frit må udleveres til offentligheden. Fortroligt: Materiale, der er tilgængeligt for en begrænset gruppe personer. Personhenførbart: Data er relateret til et individ, f.eks. en kunde, en borger, en patient eller en medarbejder. Forretningskritisk: Informationer der er vigtige for kerneområdet i forretningen. Høj tilgængelighed og stor pålidelighed er kritisk, uanset hvilket fortrolighedsniveau der iøvrigt kræves. 7.2.2 Mærkning og håndtering af informationer og data Fortrolige data på mobile enheder Der må ikke opbevares fortrolige data på mobile enheder, medmindre disse er beskyttet med godkendt krypteringsværktøj. Fortrolige informationer i offentlige rum Fortrolige informationer må ikke efterlades uden opsyn i offentlig tilgængelige rum. Medarbejderne skal udvises stor forsigtighed ved omtale af fortrolige informationer i offentlige rum. Elektroniske dokumenter Elektroniske kopier af dokumenter med fortrolige eller følsomme oplysninger, f.eks. indscannede dokumenter og faxer, må kun behandles og lagres på Norddjurs Kommunes eget IT-udstyr. 8 Medarbejdersikkerhed Informationssikkerheden i kommunen afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre kommunen gennem ansættelse af de rigtige medarbejdere. Medarbejdere skal uddannes i informationssikkerhed i relation til deres jobfunktion og modtage nødvendige informationer. Endvidere er det nødvendigt med regler, der beskriver sikkerhedsforhold når et ansættelsesforhold slutter. 8.1 Sikkerhedsprocedure før ansættelse 8.1.1 Opgaver og ansvar Ansvar for sikkerhed I stillings- og funktionsbeskrivelser for medarbejdere med adgang til forretningskritiske data og systemer skal sikkerhed indgå i beskrivelsen. 8.1.2 Efterprøvning Baggrundscheck af medarbejdere skal som minimum omfatte: En personlig reference. Ansøgerens curriculum vitæ. Uddannelser og professionelle kvalifikationer. Identitetskontrol. Side 16 af 47
Verifikation af referencer Den ansættelsesansvarlige er ansvarlig for gennemgang og kontrol af oplysninger givet af medarbejdere og ansøgere inden ansættelse. Kravet til kontrol er større for ansøgere til stillinger med højt ansvarsniveau. Børne- og straffeattest For alle medarbejdere der ansættes indenfor børn- og ungeområdet skal der indhentes børneattest og udvidet straffeattest. Blanketterne indhentes af Norddjurs Kommune efter samtykke fra medarbejderen. Eventuelle bemærkninger vurderes i forhold til ansættelsens art og omfang. Baggrundscheck af konsulenter Den ansættelsesansvarlige skal tilse, at der foretages baggrundscheck af konsulenter. 8.1.3 Aftale om ansættelse Ansættelsesaftalen skal som minimum indeholde og uddybe: Tavshedserklæring. Medarbejderens ansvar i forbindelse med informationsbehandling. Ansvarsplacering når der arbejdes udenfor Norddjurs Kommunes egne områder eller udenfor normal arbejdstid, f.eks. i forbindelse med arbejde hjemmefra. Hvis en medarbejder ignorerer Norddjurs Kommunes krav til sikkerhed, kan det, efter en konkret vurdering, få ansættelsesmæssige konsekveser. 8.2 Ansættelsesforholdet 8.2.1 Ledelsens ansvar Det er aftaleenhedernes ansvar at alle medarbejdere: Er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med informationssikkerhed, før de tildeles adgang til Norddjurs kommunes systemer og data. Er gjort bekendt med nødvendige retningslinjer, således at de opnår et opmærksomhedsniveau, så de er i stand til at leve op til Norddjurs Kommunes informationssikkerhedspolitik. 8.2.2 Uddannelse Social Engineering Medarbejdere skal, når de behandler fortrolige informationer, være passende opmærksomme på begrebet "social engineering" dvs. kunsten at aflure fortrolige informationer uden at blive opdaget. F.eks. kan denne form for bedrag udføres via e-mail, telefon og/eller messengerprogrammer. Sikkerhedsuddannelse for IT-medarbejdere Alle IT-medarbejdere skal uddannes i sikkerhedsaspekterne af deres job, for bl.a. at mindske risiko for hændelser i forbindelse med privilegeret adgang. Uddannelse i klassificering af informationer Alle medarbejdere i Norddjurs Kommune skal modtage instruktioner om, hvorledes data og dokumenter klassificeres. Side 17 af 47
Uddannelse i informationssikkerhedspolitikken Alle nye medarbejdere modtager senest på første arbejdsdag information om Norddjurs Kommunes informationssikkerhedspolitik. Alle medarbejdere skal have træning i Norddjurs Kommunes informationssikkerhedspolitik og baggrundsviden omkring denne. Alle medarbejdere skal kvittere for at de har læst og forstået Norddjurs Kommunes informationssikkerhedspolitik. Medarbejdere der anvender Norddjurs Kommunes IT-systemer skal holdes informeret om procedurer og politikker for adgangskoder. 8.2.3 Sanktioner Overtrædelse af sikkerhedsretningslinjerne Det er ikke tilladt at forsøge at omgå Norddjurs Kommunes informationssikkerhedspolitik. Medarbejderne må ikke foretage uautoriseret afprøvning af informationssikkerheden. Hændelser, hvor medarbejdere er involverede, bliver af ledelsen håndteret konsekvent i overensstemmelse med gældende lovgivning og personalepolitik, og kan efter en konkret vurdering få ansættelsesmæssige konsekvenser. 8.3 Ansættelsens ophør 8.3.1 Ansvar ved ansættelsens ophør Fratrædelse Når en medarbejder fratræder og/eller midlertidige kontrakter ophæves, skal alle tilknyttede rettigheder trækkes tilbage. 8.3.2 Returnering af aktiver Returnering af aktiver ved aftrædelse Medarbejderen skal ved ophør af ansættelsesforholdet aflevere alle de aktiver, som er udleveret af Norddjurs Kommune, eksempelvis mobiltelefon, bærbar PC, stationær PC, printer, kommunikationsudstyr, ID-kort, nøgler mv., medmindre der indgås aftale med medarbejderen om køb af udstyret til markedspriser. 8.3.3 Inddragelse af rettigheder Inddragelse af systemadgang mv. ved fratrædelse Adgangsrettigheder skal inddrages i forbindelse med en medarbejders fratrædelse eller afskedigelse. Der skal forefindes en liste over fratrådte medarbejdere for de seneste seks måneder. Side 18 af 47
Tavshedserklæring ved fratrædelse Alle kommunens medarbejdere har ved ansættelsen underskrevet en tavshedserklæring og er gjort opmærksom på, at denne også er gældende efter ansættelsesforholdets ophør. For alle andre med adgang til kommunens systemer gælder, at disse skal underskrive tavshedserklæring, og ved deres underskrift bekræfte at denne også er gældende når adgangen til systemerne ophører. 9 Fysisk sikkerhed Fysisk sikkerhed og adgangsregler for gæster er naturlige elementer i Norddjurs Kommunens informationssikkerhedspolitik. Fysisk sikkerhed omfatter blandt andet døre, vinduer, alarmer - samt tyverisikring af Norddjurs Kommunes fysiske aktiver, eksempelvis IT-udstyr. Systemer til adgangskontrol er ligeledes et element af fysisk sikkerhed, der sikrer at kun personer med legalt ærinde får adgang til Norddjurs Kommunens område. 9.1 Sikre områder 9.1.1 Fysisk afgrænsning Indbrudsalarmer Norddjurs Kommune skal anvende tilstrækkelige alarmsystemer i lokaler med IT-udstyr der indeholder fortrolige informationer. Aflåsning af lokaler og bygninger Alle døre og vinduer med adgang til/fra bygningerne skal lukkes og låses ved arbejdstids ophør. Døre til sikrede lokationer i bygningerne skal ligeledes aflåses. Sidste medarbejder der forlader et område er ansvarlig for sikring af dette 9.1.2 Fysisk adgangskontrol Adgang for serviceleverandører Serviceleverandører må kun få adgang til sikre områder når dette er absolut påkrævet. Gæsters adgang Værten har ansvaret for gæsters færden. Gæster skal afhentes, følges rundt og følges til udgang af værten. Adgang til serverrum og hovedkrydsfelter Adgang til Norddjurs Kommunes serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse eller ved overvåget adgang af medarbejdere fra IT-afdelingen. Ansvar for den fysiske adgangskontrol IT-chefen har ansvaret for den fysiske adgangskontrol for serverrum. Adgangskontrollen til Norddjurs Kommunes serverrum sker via kode til alarmsystem. Side 19 af 47
9.1.3 Sikring af kontorer, lokaler og udstyr Sikring af kontorer, lokaler og udstyr. Kontorer og andre lokaler, hvor der opbevares systemer med følsomme og forretningskritiske data, skal kunne låses. 9.1.4 Beskyttelse mod eksterne trusler Brandsikring Serverrummet skal sikres med nødvendigt brandslukningsudstyr. Serverrummet må ikke benyttes som lager for brændbare materialer. Opbevaring af sikkerhedskopier på ekstern lokation Datamedier til retablering af forretningskritiske systemer skal opbevares på et, for Norddjurs Kommune, eksternt opbevaringssted. Reserveanlæg og -udstyr samt datamedier med sikkerhedskopier skal opbevares i sikker afstand for at undgå skadevirkninger fra et uheld på det primære anlæg. 9.1.5 Arbejdsmæssige forhold i sikre områder Optageudstyr i sikre områder Uautoriseret optageudstyr er ikke tilladt i sikre områder. 9.1.6 Områder til af- og pålæsning med offentlig adgang Af- og pålæsningsområder Af- og pålæsningsområder skal indrettes, så risiko for uautoriseret adgang til Norddjurs Kommunes øvrige områder mindskes. Modtaget materiale skal inspiceres før materialet viderebringes fra aflæsningsområdet. Indkommende og udgående leverancer skal, så vidt muligt, adskilles fysisk. 9.2 Beskyttelse af udstyr Adgang til bærbare computere Adgang til data på bærbare computere beskyttes med kodeord. Der må ikke opbevares personhenføre data på bærbare computere, medmindre der sker kryptering af dataene. 9.2.1 Placering af udstyr Placering af udstyr Udstyr skal placeres eller beskyttes så risikoen for skader og uautoriseret adgang minimeres. Udstyr, der benyttes til at behandle kritiske/følsomme informationer, skal placeres så informationerne ikke kan ses af uvedkommende. Køling Serverrummene i Norddjurs Kommune skal sikres med veldimensionerede køleanlæg. Side 20 af 47
Miljømæssig sikring af serverrum Serverrummene i Norddjurs Kommune, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger. 9.2.2 Forsyningssikkerhed Nødstrømsanlæg Alle forretningskritiske systemer skal beskyttes med nødstrømsanlæg med kapacitet til mindst 15 minutters uafbrudt drift. 9.2.3 Sikring af kabler Sikring af kabler Kabler til datakommunikation skal beskyttes mod uautoriserede indgreb og skader. 9.2.4 Udstyrs og anlægs vedligeholdelse Vedligeholdelse af udstyr og anlæg Programejerne skal vedligeholde udstyret efter leverandørens anvisninger. Reparationer og vedligeholdelse på IT-udstyr må kun udføres af godkendte personer. Norddjurs Kommune skal overholde fornødne sikkerhedskrav hvis udstyr repareres eller vedligeholdes uden for Norddjurs Kommune. Kritiske/følsomme informationer skal slettes fra udstyr der repareres eller vedligeholdes uden for Norddjurs Kommune. 9.2.5 Sikring af udstyr uden for Norddjurs Kommunes overvågning Opsyn med mobile enheder Mobile enheder må ikke efterlades uden opsyn i uaflåste rum. Adgang til data på mobile enheder skal beskyttes med en adgangskode. Udstyr med klassificerede informationer skal anvende harddisk kryptering. 9.2.6 Sikker bortskaffelse eller genbrug af udstyr Bortskaffelse eller genbrug af udstyr Når informationsudstyr bortskaffes eller genbruges, skal kritiske/følsomme informationer og licensbelagte systemer fjernes eller overskrives. Overskrivning foregår i henhold til datatilsynets regler. 9.2.7 Fjernelse af virksomhedens informationsaktiver Fjernelse af udstyr fra Norddjurs Kommune Udstyr må kun fjernes fra arbejdspladsen, hvis der foreligger en aftale herom. Udstyr, der indeholder fortrolige data, må kun fjernes efter behørig godkendelse fra pågældende dataejer. Udlån af udstyr skal være tidsbegrænset. Side 21 af 47
10 Styring af netværk og drift Vedligeholdelse og opdatering af it-systemer er nødvendigt for at opretholde et passende sikkerhedsniveau for Norddjurs Kommune. Drift af IT-systemer inkluderer elementer af overvågning af systemernes helbredstilstand, opdatering og sikkerhedskopiering af data. De fleste IT-systemer i dag er afhængige af netværk, og derfor er administration, opbygning, sikring og vedligeholdelse af netværk vitalt for Norddjurs Kommune. Den trussel, som uautoriseret adgang indebærer, gør det nødvendigt med klare regler for brugen af Norddjurs Kommunes netværk samt overvågning af infrastrukturen. 10.1 Operationelle procedurer og ansvarsområder 10.1.1 Driftsafviklingsprocedurer Driftsafviklingsprocedurer Driftsafviklingsprocedurer for forretningskritiske systemer skal være dokumenterede, ajourførte og tilgængelige for driftsafviklingspersonalet og andre med et arbejdsbetinget behov. Driftsansvar IT-afdelingen er ansvarlig for drift og administration af fælles IT-systemer samt disses sikkerhed. Dette inkluderer efterlevelse af sikkerhedspolitikker, regler og procedurer. Dokumentation IT-afdelingen skal løbende vurdere dokumentationsbehov for alle væsentlige systemer og it-relaterede forretningsgange. Deaktivering af beskyttelsesmekanismer Det er under ingen omstændigheder tilladt at deaktivere eller omgå Norddjurs Kommunes beskyttelsesmekanismer, herunder antivirus produkter. 10.1.2 Ændringsstyring Side 22 af 47