IT-sikkerhedspolitik

Scroll for at se mere

Generelt

Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen og ledelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Peter Jahn & Partnere A/S.

Hensigten er at lægge et fundament, så kritiske og fortrolige informationer og systemer kan bevare deres fortrolighed, integritet og tilgængelighed.

Der bliver fokuseret på de vigtigste krav i EU’s generelle persondataforordning samt på relevante krav i de internationale it-sikkerhedsstandarder ISO 27001 og 27002.

 

Formål

Idet brugen af it anses for at være en meget vigtig forudsætning for Peter Jahn & Partnere A/S eksistens, vil det være nødvendigt at sikre firmaets it-ressourcer (data, software, hardware og kommunikationsforbindelser).

Derfor vil vi etablere og vedligeholde en afbalanceret it-sikkerhed, som i denne sammenhæng omfatter alle nødvendige organisatoriske, fysiske og tekniske sikkerhedsforanstaltninger.

It-ressourcerne skal med andre ord beskyttes mod misbrug, manipulation, ødelæggelse og tab, samt mod at blive fejlbehæftede. Beskyttelsen skal virke mod alle former for trusler, interne eller eksterne, hændelige eller bevidste.

 

Overordnede mål og principper

Dette er ledelsens udmelding om de overordnede mål og principper, som Peter Jahn & Partnere A/S ønsker at opnå:

  • Fortrolighed, integritet og tilgængelighed af persondata i overensstemmelse med kravene i EU’s persondataforordning.
  • Høj driftssikkerhed og minimeret risiko for større nedbrud og tab af data.
  • Opretholdelse af et image som en virksomhed, der demonstrerer kvalitet og sammenhæng i brugen af it.
  • It-sikkerhedspolitikken skal danne grundlag for at forebygge og begrænse skader til en, for firmaet, kendt og accepteret størrelse samt sikre fortsat it-drift efter et sikkerhedsbrud – inden for en nærmere defineret tidshorisont.

 

Grundprincipper for sikkerhedsarbejdet

Funktionsadskillelse

Det er ofte vanskeligt at opretholde funktionsadskillelse, men et fravalg af dette princip vil være at sætte it-sikkerheden i fare. Derfor vil vi som minimum kræve, at en anden person (bestyrelsesmedlem, næstformand eller formand) medvirker.

Hvis dette ikke kan lade sig gøre i praksis, fordi ingen bestyrelsesmedlemmer har it-kompetencer, bruges følgende model:

Ledelsen beslutter hvem, der skal have adgang til hvilke ressourcer og hvornår. En udpeget it-ansvarlige, der kan være en medarbejder med it- eller it-sikkerhedsviden, ansat IT-ansvarlig – eller en ekstern it-konsulent, installerer herefter rettigheder/begrænsninger i overensstemmelse med ledelsens beslutninger. Når installationen er afsluttet, sender den it-ansvarlige en mail til bestyrelsen eller et medlem af bestyrelsen om, hvad han har foretaget sig. Så kan bestyrelsen efterfølgende orientere sig hos ledelsen om formålet med den gennemførte ændring. Ændringen og begrundelsen tages med i referatet til næste bestyrelsesmøde.

 

Sikkerhedsforanstaltninger

Ledelsen beslutter omfang og styrke af de sikkerhedsforanstaltninger, som det findes nødvendigt at installere. Den it-ansvarlige installerer de tekniske foranstaltninger, mens ledelsen står for formuleringen af de administrative foranstaltninger (evt. retningslinjer og instrukser). Det er ikke acceptabelt, uden ledelsens godkendelse, at anvende privat it-udstyr til at udføre arbejde for Peter Jahn & Partnere A/S eller til at koble sig op på firmaets systemer.

 

Styring af sikkerhedshændelser

Vi vil løbende sikre en vurdering af eventuelle hændelser, der kan true sikkerheden, så risikobilledet kan opdateres ved gennemgang af såvel kendte som nye trusler og sårbarheder, og eventuelle nye tiltag kan indføres. Ledelsen rapporterer overordnet til bestyrelsen om de hændelser, der måtte være sket, og informerer om det opdaterede risikobillede, når væsentlige ændringer er indtruffet.

 

Dokumentation

Der skal udarbejdes skriftlige procedurer for alle væsentlige sikkerhedsaktiviteter, og det skal kunne dokumenteres, at de har været gennemført.

 

Sikkerhed i forbindelse med tredjeparter

Leverandører, der helt eller delvist står for drift af Peter Jahn & Partneres A/S systemer, skal overholde firmaets krav til it-sikkerhed. De skal også sikre, at der er mulighed for at kunne kontrollere og følge op på deres sikringsforanstaltninger.

I forbindelse med at der bliver indgået en kontrakt med tredjeparter, skal der udarbejdes en databehandleraftale, der i detaljer beskriver de sikkerhedskrav, som leverandøren skal leve op til.

 

De konkrete mål

Det regelsæt, der styres efter, er baseret på den internationale standard ISO/IEC 27000-serie. Herved opnås en direkte kobling fra sikkerhedspolitikken til de underliggende retningslinjer og instrukser, der peges på i standarderne.

 

Hovedpunkter i regelsættet

Overordnede retningslinjer for informationssikkerhed

Vi har brug for et sikkerhedsniveau afstemt efter omkostninger og forretningsmæssige behov. Ledelsen vil derfor sammenfatte sine overordnede krav i en it-sikkerhedspolitik.

 

Organisering af sikkerhedsarbejdet

Ledelsen er ansvarlig for den overordnede it-sikkerhed samt for udformning af en it-sikkerhedspolitik. Samtidig er det ledelsen, der beslutter hvem, der skal have adgang til hvilke it-ressourcer og hvornår. Den interne eller eksterne it-ansvarlig/konsulent installerer rettigheder/begrænsninger i overensstemmelse med disse beslutninger.

Styringen sker i en proces, hvor der gennemføres risikovurdering, målfastlæggelse, planlægning, gennemførelse, overvågning og opfølgning – i en tilbagevendende cyklus.

 

Medarbejdersikkerhed

Der skal informeres og stilles krav om it-sikkerheden til medarbejderne før og under ansættelsen samt efter ansættelsens ophør eller ændring. Specielt vil der være særlige sikkerhedskrav forbundet med arbejde i hjemmet eller ved andet arbejde uden for kontoret (på privat it-udstyr eller på firmaejet udstyr).

 

Styring af aktiver

Peter Jahn & Partnere A/S it-aktiver (software, data, eller fysiske enheder) skal identificeres og registreres, så det er muligt at definere, hvilke der er kritiske, vigtige eller sensitive for firmaet.

Hertil er det nødvendigt at udpege en ejer for hvert aktiv, således at denne har ansvaret for korrekt håndtering af det enkelte aktiv. Klassifikation skal sikre passende beskyttelse af information, der står i forhold til informationens betydning for firmaet. I forhold til mediehåndtering skal det forhindres, at uautoriseret offentliggørelse, ændring, fjernelse eller ødelæggelse af information lagret på medier (inkl. papirmediet) finder sted.

Bortskaffelse af medier: Medier, som indeholder fortrolig information, skal lagres og bortskaffes forsvarligt, for eksempel ved ødelæggelse, makulering, eller sletning af data.

Transport af fysiske medier: Medier med fortrolig information skal beskyttes mod uautoriseret adgang, misbrug eller ødelæggelse under transport. Dette gælder også bærbare computere, tablets og mobiltelefoner.

 

Adgangsstyring

Der skal gennemføres styring af den generelle adgang til virksomhedens systemer, informationer og netværk med udgangspunkt i de forretnings- og lovgivningsbetingede krav. Der skal desuden kunne gennemføres begrænsninger i adgangen til specifikke systemer og data ved at definere brugerroller og ved at tildele privilegerede adgangsrettigheder.

Der udarbejdes procedurer for brugerregistrering og -afmelding samt for tildeling af brugeradgang. System- og dataejere bør med jævne mellemrum gennemgå tildelte rettigheder for at konstatere, om de fortsat er gældende. Der skal gøres brug af sikre adgangskoder/passwords..

Alle medarbejdere der har brugerroller, der giver adgang til persondata, skal underskrive en fortrolighedserklæring.

 

Kryptering

Der skal tages stilling til i hvor høj grad, der skal gøres brug af kryptering af såvel lagrede data som data under transmission.

Behovet for at anvende kryptering baseres på en risikovurdering. Ansvaret for det praktiske arbejde samt for nøgleadministration vil i givet fald blive beskrevet i procedurer.

 

Fysisk sikring og miljøsikring

Det vurderes at det ikke er nødvendigt at anbringe firmaets kritiske it-udstyr i et separat sikret/aflåst område, idet alle kritiske persondata ikke er lagret lokalt men i skyen (Microsoft sql database på Azure platformen). Alt kritisk udstyr sikres mod forsyningssvigt (blandt andet el).

 

Driftssikkerhed

Driftssikkerhed drejer sig om at opnå korrekt og sikker drift af faciliteterne, der behandler information. Heri indgår dokumentering af procedurer for drift og softwareinstallation samt styring af de ændringer, der løbende forekommer og som kan påvirke informationssikkerheden. Endvidere skal der indføres sikkerhedsforanstaltninger, der kan opdage og forhindre sikkerhedsbrud forårsaget af malware mv.

For at sikre at al væsentlig information, software og systemer kan genskabes efter et nedbrud/sikkerhedsbrud, skal der foreligge en procedure for backup, som følges i praksis. Endelig skal der, hvor det er muligt, gennemføres løbende logning og overvågning af brugeraktivitet med henblik på, at kunne dokumentere hændelsesforløbet i forbindelse med et sikkerhedsbrud.

 

Kommunikationssikkerhed

Peter Jahn & Partnere A/S interne netværk skal styres og overvåges samt have installeret passende sikkerhedsforanstaltninger.

Ved overførsel af informationer til eksterne samarbejdspartnere skal der gøres særlige overvejelser om hvilket sikkerhedsniveau, der skal benyttes.

 

Anskaffelse, udvikling og vedligeholdelse af systemer

Sikkerhed skal indgå som en integreret del af de systemer, der understøtter virksomhedens daglige drift. Det vil sige, at krav til sikkerhed skal specificeres i forbindelse med anskaffelse, udvikling og vedligeholdelse af systemerne.

Sikkerhedskravene skal være begrundede, aftalte og dokumenterede. Formulering af sikkerhedskravene bør ske på basis af en risikovurdering. Særlige overvejelser skal ske vedrørende brugen af persondata i forbindelse med testforløb.

 

Leverandørforhold

Outsourcing skal være baseret på en kontrakt samt en databehandleraftale, som sikrer, at virksomhedens it-sikkerhedspolitik ikke skades. Aftalen skal indeholde principielle og konkrete krav til it-sikkerheden hos leverandøren, samt til hvordan kommunikationen mellem virksomheden og leverandøren skal sikres. Der skal gives mulighed for inspektion af it-sikkerheden i særlige situationer (kontraktligt aftalt).

It-udstyr, der kobler sig på virksomhedens systemer via eksterne netværk, skal overholde virksomhedens sikkerhedspolitik og –retningslinjer. Dette gælder også medarbejderes brug af private computere, tablets og mobiler, hvis de har opnået tilladelse til opkobling.

 

Styring af brud på informationssikkerhed

Styring af brud på informationssikkerhed betegnes også ”Information Security Incident Management”. Det skal sikre en ensartet og effektiv metode til at styre sikkerhedsbrud – herunder kommunikation om sikkerhedstruende hændelser og svagheder.

Ting, der bør beskrives, er blandt andet: ansvar og procedurer, hændelsesrapportering, rapportering af svagheder, vurdering af hændelser, håndtering af sikkerhedsbrud, opsamling af erfaring fra sikkerhedsbrud, samt indsamling af beviser (der i givet fald kan bruges i en retslig tvist).

 

Beredskabsstyring m.m.

Beredskabsstyring handler om ”sammenhæng i informationssikkerhed”. Det skal gerne forankres i virksomhedens generelle procedurer for nød-, beredskabs- og reetableringsstyring. Virksomheden skal indføre beredskabsstyring som en løbende opgave med det formål at begrænse konsekvenserne ved sikkerhedsbrud og mistet tilgængelighed.

Det indebærer specifikation af krav til beredskab samt af beredskabsplaner. Beredskabsstyringen skal indeholde procedurer, der identificerer og reducerer risici, begrænser konsekvenserne ved skadelige hændelser og sikrer rettidig reetablering af kritiske IT-forretningsprocesser.

En nødplan skal sikre muligheden for hurtigst muligt at reetablere normal IT-drift efter en større katastrofe (brandskade, vandskade, m.v.). For at omgå (mindre) tekniske problemer, kan det overvejes at have ekstra IT-udstyr parat.

 

Overensstemmelse med lovbestemte og kontraktlige krav

Vi vil forhindre, at der sker brud på relevante sikkerhedskrav i lovgivning, bekendtgørelser, cirkulærer og myndighedsforordninger i øvrigt, samt i indgåede kontraktlige forpligtelser. Dette gælder specielt for den nye EU persondataforordning.

Ændringer og opdateringer

Vi forbeholder os ret til løbende at ændre nærværende ‘IT-sikkerhedspolitik’.

IT-sikkerhedspolitikken er senest opdateret 20.04.2018.