it -sikkerhedspolit ik teknologisk institut...side 1 af 37 it-sikkerhedspolitik v. 4.5 marts 2012 it...

Side 1 af 37

IT-sikkerhedspolitik v. 4.5 marts 2012

IT-SIKKERHEDSPOLITIK

TEKNOLOGISK INSTITUT

Version 4.5 marts 2012 Baseret på DS484-2005. Gældende overalt i danske og

udenlandske afdelinger og datterselskaber af

Teknologisk Institut. Sikkerhedspolitikken omfatter

anvendelse af IT under rejser og i forbindelse med

arbejde hjemmefra.

Side 2 af 37


Indhold

1 INDLEDNING ............................................................................................................................. 9

1.1 Hvorfor informationssikkerhed ............................................................................................. 9

1.2 Denne IT-sikkerhedspolitik og DS 484 .................................................................................. 9

1.3 Vurdering af sikkerhedsrisici ................................................................................................ 9

1.4 Valg af sikkerheds- og sikringsforanstaltninger ...................................................................... 9

1.5 Specifikke sikkerhedsretningslinjer ....................................................................................... 9

1.6 Dispensation fra IT-sikkerhedspolitikken ............................................................................... 9

1.7 Risikohåndtering ................................................................................................................ 9

1.8 Beredskabsplan ................................................................................................................ 10

1.9 Hvordan er IT-sikkerhedspolitikken udarbejdet ..................................................................... 10

1.10 Relevant lovgivning ........................................................................................................... 10

1.11 Ansvar for vedligeholdelse ................................................................................................. 10

1.12 Gyldighedsområde og omfang ............................................................................................ 10

1.13 Gyldighedsdato og -periode ................................................................................................ 10

2 VIRKSOMHEDENS IT-SIKKERHEDSPOLITIK .................................................................................. 10

2.1 Virksomhedens IT-sikkerhedspolitik .................................................................................... 10

3 ORGANISERING AF IT-SIKKERHED .............................................................................................. 11

3.1 Interne organisatoriske forhold ........................................................................................... 11

3.1.1 Ledelsens rolle .............................................................................................................. 11

3.1.2 Funktionsadskillelse ....................................................................................................... 11

3.1.3 System- og dataejere .................................................................................................... 11

3.1.4 Brugeradministration ..................................................................................................... 11

3.1.5 IT Drift ......................................................................................................................... 11

3.1.6 Brugernes ansvar .......................................................................................................... 11

3.2 Eksterne organisatoriske forhold ......................................................................................... 12

3.2.1 Kontakt til myndigheder ................................................................................................. 12

3.2.2 Samarbejde med leverandører, konsulenter med flere ....................................................... 12

3.2.3 IT-sikkerhed i relation til kunder/kundebetjening ............................................................... 12

3.2.4 Fagligt samarbejde med grupper og organisationer ............................................................ 12

3.3 Koordinering af IT-sikkerhedstiltag ...................................................................................... 12

3.3.1 Linjeorganisationen........................................................................................................ 12

3.3.2 IT-sikkerhedskoordinering .............................................................................................. 12

3.3.3 IT-sikkerhedsudvalg ...................................................................................................... 12

3.4 Virksomhedens IT-aktiver .................................................................................................. 13

3.4.1 Registrering af informationsaktiver, dataklassifikation mv. .................................................. 13

3.4.2 Registrering af systemaktiver, systemer ........................................................................... 13

3.4.3 Registrering af fysiske aktiver, mærkning mv. ................................................................... 13

3.4.4 Ejerskab ....................................................................................................................... 13

4 MEDARBEJDERE OG IT-SIKKERHED ............................................................................................. 13

4.1 Før ansættelse.................................................................................................................. 13

Side 3 af 37


4.1.1 Clearing af ansøgere ...................................................................................................... 13

4.1.2 Tavsheds- og hemmeligholdelseserklæringer .................................................................... 13

4.2 Under ansættelsen ............................................................................................................ 13

4.2.1 Fysiske nøgler, ID-kort, tokens mv. ................................................................................. 13

4.2.2 Omgang med IT-aktiver ................................................................................................. 13

4.2.3 Personlige password (kodeord) og andre koder ................................................................. 13

4.2.4 Uddannelse af medarbejdere - i relation til sikkerhed ......................................................... 14

4.2.5 Medarbejdernes opmærksomhed omkring sikkerhed .......................................................... 14

4.2.6 Nøglemedarbejdere - et ledelsesansvar ............................................................................ 14

4.2.7 E-mail med forpligtelser for Teknologisk Institut ................................................................ 14

4.2.8 E-mail kommunikation generelt ....................................................................................... 14

4.2.9 E-handel med forpligtelser for Teknologisk Institut ............................................................ 14

4.2.10 Anvendelse af Internetbaserede services (sociale netværk mv.) ....................................... 14

4.2.11 Medarbejdernes brug af offentlig tilgængelige computere ................................................ 15

4.2.12 Privat anvendelse af Internet forbindelse ...................................................................... 15

4.2.13 Privat anvendelse af mail faciliteter .............................................................................. 15

4.2.14 Privat download og kopiering af musik, spil, pornografi mv.............................................. 15

4.2.15 Privat e-handel .......................................................................................................... 15

4.2.16 Brug af kameraer og mobilkameraer på Teknologisk Institut............................................ 15

4.2.17 Brug af Tv-overvågning på Teknologisk Institut ............................................................. 15

4.2.18 Brug af lydoptagelser ................................................................................................. 15

4.2.19 Benyttelse af remoteværktøjer .................................................................................... 16

4.2.20 Fjernadgang .............................................................................................................. 16

4.2.21 Inaktivitet ................................................................................................................. 16

4.3 Efter ansættelsen .............................................................................................................. 16

4.3.1 Overdragelse af data og ejerskaber ved fratræden ............................................................ 16

4.3.2 Inddragelse af IT-rettigheder ved fratræden ..................................................................... 16

4.3.3 Returnering af lånte IT-aktiver ved fratræden ................................................................... 16

4.3.4 Inddragelse af IT-rettigheder, aktiver mv. ved bortvisning .................................................. 17

5 SIKKERHED, GÆSTER OG SAMARBEJDSPARTNERE ....................................................................... 17

5.1 Faste daglige partnere ....................................................................................................... 17

5.1.1 Rengøringspersonale ...................................................................................................... 17

5.1.2 Håndværkere ................................................................................................................ 17

5.1.3 Vareleverandører ........................................................................................................... 17

5.2 Faste IT-partnere .............................................................................................................. 17

5.2.1 Systemkonsulenter ........................................................................................................ 17

5.2.2 Maskinteknikere ............................................................................................................ 17

5.2.3 Systemudviklere ............................................................................................................ 18

5.3 Periodiske gæster ............................................................................................................. 18

5.3.1 Eksterne generelt .......................................................................................................... 18

5.3.2 Løst ansatte (vikarer, praktikanter og medhjælpere) .......................................................... 18

Side 4 af 37


6 FYSISK SIKKERHED, SIKRING OG KONTROL ................................................................................ 18

6.1 Bygningsmæssige forhold .................................................................................................. 18

6.1.1 Virksomhedens perimetersikring ...................................................................................... 18

6.1.2 Virksomhedens bygningssikring ....................................................................................... 18

6.1.3 Adgang til bygninger ...................................................................................................... 19

6.1.4 Adgang til IT- og andre teknikrum ................................................................................... 19

6.1.5 Adgang til og sikring af IT-kontorer ................................................................................. 19

6.1.6 Sikring af arbejde fra private hjem .................................................................................. 19

6.1.7 Adgang og sikring af møde- og undervisningslokaler .......................................................... 19

6.1.8 Adgang og sikring af fællesområder ................................................................................. 19

6.1.9 Adgang og sikring i forbindelse med lejere i bygning .......................................................... 19

6.1.10 Sikkerhedsforhold i forbindelse med ombygning ............................................................. 19

6.1.11 Alarmer, vagt og vægterrundering ............................................................................... 19

6.2 IT-udstyr og andet teknisk udstyr, forsyningssikkerhed ......................................................... 20

6.2.1 Placering af IT- og teknikrum i bygning ............................................................................ 20

6.2.2 Krav til placering af IT-udstyr i teknikrum ......................................................................... 20

6.2.3 Strømforsyning og alarmering ved strømproblemer ........................................................... 20

6.2.4 Køling og ventilation - alarmering ved svigt ...................................................................... 20

6.2.5 Sikring mod fugt- og vandskader - alarmering .................................................................. 20

6.2.6 Brandsikring og -alarmering ............................................................................................ 20

6.2.7 Sikring af kabler og krydsfelter ....................................................................................... 21

6.3 Anskaffelse, vedligehold og kassation .................................................................................. 21

6.3.1 Anskaffelse, godkendelsesprocedurer ............................................................................... 21

6.3.2 Serviceaftaler, reservedelssituation.................................................................................. 21

6.3.3 Installation af hardware og software ................................................................................ 21

6.3.4 Omflytning eller fjernelse af udstyr .................................................................................. 21

6.3.5 Salg af IT-udstyr ........................................................................................................... 21

7 SIKKERHED UNDER DRIFT / PRODUKTION ................................................................................... 21

7.1 Operationelle forhold, batchproduktion ................................................................................ 21

7.1.1 Driftsplanlægning .......................................................................................................... 21

7.1.2 Driftsdokumentation ...................................................................................................... 21

7.1.3 Driftsafvikling ............................................................................................................... 21

7.1.4 Driftsovervågning og -kontrol .......................................................................................... 22

7.1.5 Driftsrapportering .......................................................................................................... 22

7.1.6 Forsyning og lagring af forbrugsmaterialer ........................................................................ 22

7.1.7 Ændringsstyring - Change Management ........................................................................... 22

7.2 Særligt for drift hos ekstern serviceleverandør ...................................................................... 22

7.2.1 Definition af leverancen, inkl. sikkerhedsaspekter .............................................................. 22

7.2.2 Overvågning og revision af serviceleverandør ................................................................... 22

7.3 Kritiske komponenter, klassifikation og registrering ............................................................... 23

7.3.1 Kritiske hardware komponenter ....................................................................................... 23

Side 5 af 37


7.3.2 Kritiske softwarekomponenter ......................................................................................... 23

7.3.3 Kritiske program- og datakomponenter ............................................................................ 23

7.3.4 Kritiske licensnøgler, password mv. ................................................................................. 23

7.3.5 Kritisk drift, alternative muligheder - beredskab ................................................................ 23

7.4 Programanvendelse ........................................................................................................... 23

7.4.1 Anvendt programmel ..................................................................................................... 23

7.4.2 Download og installation af programmel ........................................................................... 23

7.4.3 Beskyttelse mod skadevoldende programmer .................................................................... 24

7.4.4 Sikring mod computervira .............................................................................................. 24

7.4.5 Sikring mod adware og spyware ...................................................................................... 24

7.4.6 Sikring mod spam - indgående ........................................................................................ 24

7.4.7 Sikring mod spam - internt ............................................................................................. 24

7.4.8 Sikring mod spam - udgående ......................................................................................... 24

8 BESKYTTELSE AF VIRKSOMHEDENS DATA ................................................................................... 24

8.1 Fysisk databeskyttelse ....................................................................................................... 24

8.1.1 Sikring af system- og konfigurationsfiler ........................................................................... 24

8.1.2 Sikkerhedskopiering og opbevaring af datakopier .............................................................. 24

8.1.3 Sikkerhedsarkivering jvf. lovgivning ................................................................................. 25

8.1.4 Sikkerhedskopiering ved teknologiskift ............................................................................. 25

8.1.5 Anvendelse af sikkerhedskopier fra dataarkiv .................................................................... 25

8.1.6 Kontrol af datakopier i sikkerhedsarkiv ............................................................................. 25

8.1.7 Sikkerhed omkring brug af databærende medier ............................................................... 25

8.1.8 Lagring af virksomhedsdata ............................................................................................ 25

8.1.9 Behandling af kasserede databærende medier .................................................................. 25

8.2 Databeskyttelse i forbindelse med udveksling af data ............................................................ 25

8.2.1 Forsendelse og transport af databærende medier .............................................................. 25

8.2.2 Elektronisk distribution af forretningsinformation ............................................................... 25

8.2.3 Datasikkerhed i forbindelse med print .............................................................................. 25

8.2.4 Datasikkerhed i forbindelse med brug af telefax ................................................................ 26

8.2.5 Udveksling af data med offentlige instanser ...................................................................... 26

8.2.6 Sikring ved overførsel af data til udlandet ......................................................................... 26

8.2.7 Anvendelse af kryptering ................................................................................................ 26

9 SIKRING AF VIRKSOMHEDENS NETVÆRK OG KOMMUNIKATION ..................................................... 26

9.1 Operationelle forhold, netværksdrift .................................................................................... 26

9.1.1 Netværksdokumentation ................................................................................................ 26

9.1.2 Netværksovervågning og -kontrol .................................................................................... 26

9.1.3 Driftsrapportering, netværksdrift ..................................................................................... 26

9.1.4 Ændringsstyring, netværk - Change Management .............................................................. 26

9.1.5 Logning af aktiviteter og fejlrapportering .......................................................................... 26

9.2 Sikring af virksomhedens kommunikationslinjer .................................................................... 26

9.2.1 Sikring af virksomhedens kommunikationslinjer ................................................................ 26

Side 6 af 37


9.2.2 Netværkstopologi og konfiguration .................................................................................. 27

9.2.3 Internetopkobling og brug af firewall................................................................................ 27

9.2.4 Filtrering af indgående datastrøm gennem firewall ............................................................. 27

9.2.5 Filtrering af udgående datastrøm gennem firewall.............................................................. 27

9.2.6 Dial-in / dial-out ............................................................................................................ 27

9.2.7 Sikring af service- og diagnose porte ............................................................................... 27

9.2.8 Anvendelse og sikring af trådløse forbindelser ................................................................... 27

9.2.9 Tilslutning af netværksudstyr .......................................................................................... 27

9.2.10 Sikring i forbindelse med opkobling fra fjernarbejdspladser ............................................. 28

9.2.11 Brug af mobiltelefoni til dataoverførsel .......................................................................... 28

9.2.12 Sikring ved brug af netværksanalysator ........................................................................ 28

9.3 Drift af netværk eller web-sites hos ekstern serviceleverandør ............................................... 28

9.3.1 Definition af leverancen, inkl. sikkerhedsaspekter .............................................................. 28

9.3.2 Overvågning og revision af serviceleverandør ................................................................... 28

10 ADGANGSSTYRING TIL SYSTEMER OG DATA ........................................................................... 28

10.1 Administration af brugeradgang og rettigheder ..................................................................... 28

10.1.1 Overordnet styring af adgang til IT-systemerne ............................................................. 28

10.1.2 Tildeling af IT-adgange og rettigheder .......................................................................... 28

10.1.3 Opbygning af password (kodeord) ................................................................................ 29

10.1.4 Tildeling af fælles bruger adgang ................................................................................. 29

10.1.5 Tildeling af periodiske rettigheder ................................................................................ 29

10.1.6 Ændring af IT-rettigheder ved funktions- eller afdelingsskift ............................................ 29

10.1.7 Overdragelse af IT-ejerskaber ved funktions- eller afdelingsskift ...................................... 29

10.1.8 Begrænsning af logon forsøg ....................................................................................... 29

10.1.9 Password - nulstilling .................................................................................................. 29

10.1.10 Arbejdsstationer, ubemandede .................................................................................... 30

10.1.11 Revision og kontrol af bruger konti ............................................................................... 30

10.1.12 Revision og kontrol af brugernes rettigheder ................................................................. 30

10.1.13 Fysisk sikring af uovervåget IT-udstyr .......................................................................... 30

10.1.14 Logisk sikring af uovervåget IT-udstyr .......................................................................... 30

10.1.15 Logning af brugeraktiviteter ........................................................................................ 30

10.2 Styring af adgang til netværk ............................................................................................. 30

10.2.1 Identifikation og autentifikation af brugere .................................................................... 30

10.2.2 Identifikation af anvendt netværksudstyr ...................................................................... 31

10.2.3 Styring af brugsperioder, automatisk afbrydelse ............................................................ 31

10.3 Styring af adgang til operativ- og lignende systemer ............................................................. 31

10.3.1 Fabrikspassword på maskiner og i systemer .................................................................. 31

10.3.2 Brug og kontrol af nødkoder ........................................................................................ 31

10.3.3 Brug af systemværktøjer............................................................................................. 31

10.3.4 Identifikation og autentifikation af brugere .................................................................... 31

10.3.5 Styring af brugsperioder, automatisk afbrydelse ............................................................ 31

Side 7 af 37


11 SYSTEM- OG PROGRAMUDVIKLING, VEDLIGEHOLDELSE MV. ..................................................... 31

11.1 Standard programmel ....................................................................................................... 31

11.1.1 Anskaffelse og evaluering - programmel ....................................................................... 31

11.1.2 Licensforhold og -kontrol ............................................................................................. 32

11.1.3 Test, godkendelse og igangsætning .............................................................................. 32

11.1.4 Vedligeholdelse, opgradering ....................................................................................... 32

11.2 Generelt for udvikling af applikationer ................................................................................. 32

11.2.1 Definition af udviklingsopgaven, inkl. sikkerhedsaspekter ................................................ 32

11.2.2 Systemets sikkerhedsmæssige aspekter ....................................................................... 32

11.2.3 Definition af systemets indbyggede kontroller ................................................................ 32

11.2.4 Adgangskontrol og brugerstyring i nye applikationer....................................................... 32

11.2.5 Opbygning og sikring af systemdokumentation .............................................................. 33

11.2.6 Rettigheder og ophavsret til design og kode .................................................................. 33

11.2.7 Versionsstyring og ændringsstyring af programudgaver .................................................. 33

11.2.8 Brug af produktionsdata i testforløb .............................................................................. 33

11.2.9 Test, godkendelse og igangsætning af forretningssystemer ............................................. 33

11.3 Særligt for ekstern programudvikling .................................................................................. 33

11.3.1 Kildekode deponering for eksternt udviklede programmer ............................................... 33

11.3.2 Leverandørens adgang til produktionsdata i testforløb .................................................... 33

11.4 Administration og styring af web-sites ................................................................................. 33

11.4.1 Styring og kontrol af virksomhedens domænenavne ....................................................... 33

11.4.2 Ansvar for vedligeholdelse af informationer på web-sites ................................................ 33

11.4.3 Ansvar for regler og lovgivning for e-handel via web-sites ............................................... 34

11.4.4 Kunders / borgeres adgang til information via web-sites ................................................. 34

11.4.5 Sporing (tracking) af kunders adfærd på hjemmesiden ................................................... 34

12 STYRING AF SIKKERHEDSHÆNDELSER ................................................................................... 34

12.1 Advarselssystemer ............................................................................................................ 34

12.1.1 Forhåndsvarsler om sikkerhedstrusler på vej ................................................................. 34

12.2 Rapportering .................................................................................................................... 34

12.2.1 Rapportering af sikkerhedshændelser ........................................................................... 34

12.2.2 Rapportering af sikkerhedssvagheder og -eksponeringer ................................................. 34

12.2.3 Mistanke om - og konstaterede sikkerhedsbrud ............................................................. 34

12.2.4 Anvendelse af logfiler til investigering ........................................................................... 34

12.3 Forsikringer og ansvar ....................................................................................................... 35

12.3.1 Forsikringer ............................................................................................................... 35

12.3.2 Ansvar ved brug af vagtselskaber ................................................................................ 35

12.4 Kriminelle akter ................................................................................................................ 35

12.4.1 Håndtering af kriminalitet (medarbejdere)..................................................................... 35

12.4.2 Håndtering af kriminalitet (eksterne) ............................................................................ 35

12.4.3 Sikring af og indsamling af beviser ............................................................................... 35

12.4.4 Anvendelse af logfiler til investigering ........................................................................... 35

Side 8 af 37


12.5 Kontroller og revision ........................................................................................................ 35

12.5.1 Generel udførelse af kontroller ..................................................................................... 35

12.5.2 Intern IT-revision ....................................................................................................... 35

13 VURDERING AF RISICI, SÅRBARHEDER OG KONSEKVENSER ..................................................... 35

13.1 Forretningsrisici og konsekvenser ....................................................................................... 35

13.1.1 Vurdering af forretningsrisici........................................................................................ 35

13.1.2 Årsag/Sandsynlighed for fejl ........................................................................................ 36

13.1.3 Kritiske komponenter ................................................................................................. 36

13.1.4 Ensartet og enkelt ...................................................................................................... 36

13.1.5 Omstillingsevne ......................................................................................................... 37

Side 9 af 37


IT SIKKERHEDSPOLITK Baseret på DS484-2005. Gældende overalt i

danske og udenlandske afdelinger og

datterselskaber af Teknologisk Institut.

Sikkerhedspolitikken omfatter anvendelse af IT

under rejser og i forbindelse med arbejde

hjemmefra.

1 INDLEDNING 1.1 Hvorfor informationssikkerhed IT-sikkerhed udgør en nødvendig del af Teknologisk Instituts beskyttelse af forretningsaktiver og -aktiviteter på linje med den generelle sikkerhed og sikring mod indbrud, brand og lignende. 1.2 Denne IT-sikkerhedspolitik og DS 484 Denne IT-sikkerhedspolitik er udarbejdet med baggrund i den danske standard for informationssikkerhed DS484 (2005), som er en videreførelse af den britiske BS7799. Vi har valgt de dele af standarden, som er relevante for forretning og aktiviteter. Vi har lagt vægten på kriterier som forretningsfølsomhed og personfølsomhed i vore data og på områder som hemmeligholdelse, integritet og tilgang til systemer og data. 1.3 Vurdering af sikkerhedsrisici Vurdering af sikkerhedsrisici sammenholdes med Teknologisk Instituts situation, position i samfundet og produkternes interesse for omverden. Sikkerhedsniveauet lægges på et niveau, der på den ene side sikrer virksomhedens aktiver og aktiviteter tilstrækkeligt mod afbrydelser og datatab, og på den anden side ikke forhindrer eller begrænser medarbejdernes mulighed mere end højst nødvendigt i at udføre deres arbejde og udvise kreativitet. Udgangspunktet er at virksomheden har tillid til medarbejderne, og at kontrol kun udføres, hvor kontrollen tjener. 1.4 Valg af sikkerheds- og sikringsforanstaltninger På baggrund af risiko- og konsekvensvurderinger besluttes hvilke sikkerhedstiltag, der skal implementeres. Valget står mellem forebyggende eller udbedrende aktiviteter. Indtræffer ulykken alligevel, står valget mellem at have en beredskabsplan, eller på forhånd at have accepteret risikoen og konsekvensen. 1.5 Specifikke sikkerhedsretningslinjer De specifikke sikkerhedstiltag skal gennemføres i hele organisationen. Der vil være behov for løsninger indenfor den fysiske sikkerhed (bygningen, forsyning), den tekniske (hardware, software) og den menneskelige side (uddannelse, procedurer). Sammenhængen i sikkerhedspolitikken sikres gennem samarbejde mellem Fællesfunktioner. Arbejdet følges af Direktion og IT-forretningsråd. Til IT sikkerhedspolitikken er der til alle medarbejdere udarbejdet en Guideline for brug af IT på Teknologisk Institut. Guidelinen inkluderer uddrag af denne sikkerhedspolitik og indeholder herudover en række procedurer og gode råd omkring anvendelsen af IT. 1.6 Dispensation fra IT-sikkerhedspolitikken Hvor eksisterende systemer ikke lever op til dele af eller hele indeværende IT-sikkerhedspolitik kan der være behov for dispensationer. De konstaterede afvigelser skal være registreret, og der skal tages stilling til, hvorvidt systemerne skal isoleres, opdateres eller fases ud snarest muligt. Dispensation fra denne IT-sikkerhedspolitik skal godkendes af IT-chefen og IT-forretningsrådet. 1.7 Risikohåndtering Risikohåndtering indbygges i forretningsgange og processer i organisationen, så emnet behandles hvor og når det er relevant. Fællesfunktioner skal periodisk gennemføre overordnede risiko- og konsekvensvurderinger af bygning, teknik, applikationer, processer med mere. Formålet er dels at sikre at det nødvendige sikkerhedsniveau justeres i takt med ændrede behov, og dels at holde sig de mest forretningskritiske systemer for øje.

Side 10 af 37


1.8 Beredskabsplan Som resultat af risiko- og konsekvensanalysen defineres Teknologisk Instituts mest forretningskritiske systemer, for hvilke der skal udarbejdes beredskabsplaner. Systemernes forretningsmæssige betydning afspejler samtidig en prioritering for, hvor ressourcerne skal sættes ind, hvis fejl eller ulykker rammer bredere. Beredskabet skal udarbejdes ud fra tidsperspektivet: Hvor længe kan virksomheden klare sig uden adgang til et givet system, hvilke forretningsmæssige omkostninger vil det påføre Teknologisk Institut, hvilke ressourcer er nødvendige, og hvor lang tid vil det tage at genskabe et rimeligt operationelt niveau. 1.9 Hvordan er IT-sikkerhedspolitikken udarbejdet Denne IT-sikkerhedspolitik er udarbejdet på baggrund af møder hvori direktionen, ansvarlige for Personale, Økonomi, Bygning, IT med flere har deltaget. 1.10 Relevant lovgivning I forbindelse med IT-sikkerheden er følgende lovgivning, regler og brancheregulativer relevante for virksomheden

• Ansættelsesbevisloven • Arkivloven (offentlige virksomheder) • Bogføringsloven • E-handelsloven • Lov om elektroniske signaturer • Markedsføringsloven • Ophavsretsloven • Persondataloven • Straffeloven • TV overvågningsloven

1.11 Ansvar for vedligeholdelse IT-chefen skal løbende sikre, at indholdet i IT-sikkerhedspolitikken overholder gældende lovgivning, og at den er dækkende mod de risici og konsekvenser som kan ødelægge Teknologisk Instituts mål og forretningsintentioner. IT-sikkerhedspolitikken skal gennemgås minimum én gang om året. 1.12 Gyldighedsområde og omfang IT-sikkerhedspolitikken er gældende overalt i danske og udenlandske afdelinger og datterselskaber af Teknologisk Institut. Sikkerhedspolitikken omfatter anvendelse af IT under rejser og i forbindelse med arbejde hjemmefra. Relevante dele af IT-sikkerhedspolitikken er gældende for samarbejdspartnere i deres arbejde for Teknologisk Institut, fra alle Teknologisk Instituts lokationer eller fra partnernes adresser. 1.13 Gyldighedsdato og -periode Gyldighedsperiode for denne IT-sikkerhedspolitik fremgår af sikkerhedspolitikkens forside og frem til ny udgave foreligger. 2 VIRKSOMHEDENS IT-SIKKERHEDSPOLITIK 2.1 Virksomhedens IT-sikkerhedspolitik Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at Teknologisk Institut fremstår troværdig både nationalt og internationalt. For at fastholde Teknlogisk Instituts troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. IT-systemer betragtes, næst efter medarbejderne, som Teknologisk Instituts mest kritiske ressource. Der lægges derfor vægt på driftsikkerhed, kvalitet, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger.

Side 11 af 37


Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, således at Teknologisk Instituts image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Alle forhold skal afvejes med den forretningsmæssige risiko, så sikkerhedsforanstaltninger ikke bliver en unødig hindring for gennemførelsen af arbejdet og betjening af kunder. Beskyttelsen skal være vendt imod såvel naturgivne som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne. Målene er derfor:

• TILGÆNGELIGHED - opnå høj driftsikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab

• INTEGRITET - opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer

• FORTROLIGHED - opnå fortrolig behandling, transmission og opbevaring af data • AUTENTICITET - opnå en gensidig sikkerhed omkring de involverede parter • UAFVISELIGHED - opnå en sikkerhed for gensidig og dokumenterbar kontakt

3 ORGANISERING AF IT-SIKKERHED 3.1 Interne organisatoriske forhold 3.1.1 Ledelsens rolle Teknologisk Instituts ledelse er overordnet ansvarlig for, at informationsaktiver håndteres ifølge gældende lovgivning, og at de derudover sikres tilstrækkeligt i forretningsmæssig sammenhæng. 3.1.2 Funktionsadskillelse Adgang til og behandling af data bør kun ske ud fra aktuelle behov, og sådan, at der er klar adskillelse mellem udvikling, vedligeholdelse, test og drift. Tilsvarende bør der være en klar adskillelse mellem den planlæggende, udførende og kontrollerende funktioner i det omfang, som det er organisatorisk muligt. 3.1.3 System- og dataejere Ethvert IT-aktiv (dataregister, program, fysisk enhed og andet) skal have en navngiven ejer, med ansvar for aktivets anskaffelse, vedligeholdelse og drift. Eksempelvis opstiller system- og dataejeren regler for adgang, rettigheder, sikkerhedskopiering, opbevaring, transport med videre. 3.1.4 Brugeradministration For alle systemer er udpeget brugeradministratorer, der udfører den fysiske indtastning af brugerprofiler, rettigheder med videre på baggrund af rekvisitioner fra de, som kan tildele og godkende rettigheder. For centrale systemer håndteres alle brugerdispositioner gennem Personaleafdelingen. 3.1.5 IT Drift IT Drift er ansvarlig for, at alle sikkerhedsregler og procedurer følges i den daglige drift, at problemer og fejl opdages, udbedres og rapporteres. IT Drift indgår i det løbende arbejde (forslag og implementering) med forbedrende sikkerhedstiltag (procedurer, metoder, produkter). 3.1.6 Brugernes ansvar Enhver bruger af Teknologisk Instituts IT-systemer er ansvarlig for at overholde gældende politikker og regler på området. Brugeren skal rapportere til nærmeste leder eller til den IT-ansvarlige om uforståelige eller ´mystiske´ hændelser i brugen af IT-systemerne.

Side 12 af 37


Enhver bruger er ansvarlig for at sikre sig den uddannelse og viden, der er nødvendig for at kunne leve op til den aktuelle funktion og til at betjene de IT-systemer det indebærer. 3.2 Eksterne organisatoriske forhold 3.2.1 Kontakt til myndigheder Direktionssekretariatet opretholder oversigter over de væsentligste kontakter hos offentlige myndigheder i relation til virksomhedens sikkerhed og virke. Dette inkluderer:

• Brand • Indbrud • Hærværk • IT-sikkerhedsbrud • Miljø

3.2.2 Samarbejde med leverandører, konsulenter med flere Organisationen skal gennem medlemskab af relevante foreninger og i samarbejde med relevante leverandører sikre sig adgang til opdateret viden om sikkerhed, risici, beskyttelsesmetoder og -værktøjer. 3.2.3 IT-sikkerhed i relation til kunder/kundebetjening Sikkerheden skal opbygges, så der ikke vil kunne ske nogen form for sammenblanding af kundernes informationer og ordrer, eller tab og manipulation af oplysninger. Sikkerheds- og sikringstiltag skal etableres på en måde, så det ikke generer eller forsinker Instituttets kunder væsentligt, hvad enten kunderne personligt møder frem på Instituttet, eller benytter forskellige elektroniske kanaler som hjemmesider eller smartphones. 3.2.4 Fagligt samarbejde med grupper og organisationer Sikkerheden skal opbygges, så der ikke vil kunne ske nogen form for sammenblanding af samarbejdspartners og andre organisationers informationer og ordrer, eller tab og manipulation af oplysninger. Sikkerheds- og sikringstiltag skal etableres på en måde, så det ikke generer eller forsinker Instituttets kunder væsentligt, hvad enten kunderne personligt møder frem på Instituttet, eller benytter forskellige elektroniske kanaler som hjemmesider eller smartphones. 3.3 Koordinering af IT-sikkerhedstiltag 3.3.1 Linjeorganisationen Det er linjeorganisationens opgave at tilrettelægge og udføre de daglige forretningsopgaver under behørig hensyntagen til de regler og retningslinjer, der er gældende gennem denne IT-sikkerhedspolitik med underliggende procedurer. 3.3.2 IT-sikkerhedskoordinering IT-chefen har det samlede ansvar for den overordnede koordination af sikkerheden, og IT-chefen skal indkalde IT-forretningsrådet til møder, samt indsamle, bearbejde og forelægge statusinformation for rådet. Alle systemer og IT løsninger, der skal tilkobles ethvert af Instituttets netværk, skal forhåndsgodkendes af IT Forretningsrådet. IT-chefen refererer opgavemæssigt direkte til direktionen. 3.3.3 IT-sikkerhedsudvalg IT-forretningsrådet er Teknologisk Instituts IT-sikkerhedsudvalg og består af repræsentanter for direktionen, IT-ledelsen og udvalgte systemejere (kritiske systemer). IT-forretningsrådet skal evaluere Instituttets sikkerhed og sikring på baggrund af statusrapporter fra IT-chefen. Rådet kan udbede sig orientering om nye risici, sikringsmetoder mv. og tage stilling til hvilke sikkerhedstiltag, der skal iværksættes.

Side 13 af 37


3.4 Virksomhedens IT-aktiver 3.4.1 Registrering af informationsaktiver, dataklassifikation mv. Instituttets dataregistre (filer, databaser m.fl.) skal registreres i et samlet registreringssystem med angivelse af ejerskab, og klassificeres, som grundlag for den rette sikring og beskyttelse af data. 3.4.2 Registrering af systemaktiver, systemer Alle systemer (operativsystemer, kontorsystemer, værktøjsprogrammer m.fl.) skal registreres i registreringssystemer med angivelse af anvendelse, ejerskab, licensnumre, versionsnumre mv. Registreringen skal løbende vedligeholdes. 3.4.3 Registrering af fysiske aktiver, mærkning mv. Alle fysiske enheder (servere, arbejdsstationer, bærbare computere) skal registreres i registreringssystemer med angivelse af serienumre, ejerskab og ibrugtagelsesdato. Registreringen skal løbende vedligeholdes. 3.4.4 Ejerskab Alle fysiske enheder (maskiner, programmer, applikationer, data) plus væsentlige forretningsprocesser skal have en ejer som er ansvarlig for anskaffelse, vedligeholdelse, adgang, drift mv. 4 MEDARBEJDERE OG IT-SIKKERHED 4.1 Før ansættelse 4.1.1 Clearing af ansøgere Ansøgeres baggrund og eventuelle referencer bør undersøges ud fra den aktuelle stilling, som skal besættes. 4.1.2 Tavsheds- og hemmeligholdelseserklæringer Enhver medarbejder har tavshedspligt om diverse forretningsforhold i følge gældende lovgivning. Alle medarbejdere skal i forbindelse med deres ansættelse underskrive en særlig Diskretionspligt. 4.2 Under ansættelsen 4.2.1 Fysiske nøgler, ID-kort, tokens mv. Tildeling af fysiske nøgler, adgangskort, tokens og andet til Instituttet og dens IT-systemer tildeles på baggrund af ’roller’. Tildelingen skal registreres centralt, og holdes ajour i takt med lokaleændringer, samt i forbindelse med nye ansættelser, omflytninger og fratrædelser. Medarbejderen skal kvittere for effekterne. Tildelingerne skal revideres periodisk. 4.2.2 Omgang med IT-aktiver Det er den enkelte medarbejders personlige ansvar og pligt, at betjene det IT-udstyr der stilles til deres rådighed ifølge de retningslinjer, regler og forskrifter der gives fra systemansvarlige/IT, leverandører og producenter. Medarbejderen skal omgående rapportere problemer og fejl til nærmeste leder eller til den systemansvarlige/IT. Kun systemansvarlige må foretage indgreb i systemopsætninger og maskineri, eller forsøge omgåelse af sikringssystemer i en afprøvningsfase. PC’ere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Udstyr der ikke skal benyttes mere skal indleveres til IT til rensning og skrotning. 4.2.3 Personlige password (kodeord) og andre koder Personlige password (kodeord) skal skiftes periodisk (3. måned). Det nye password skal være komplekst, unikt, afvige væsentligt fra det tidligere anvendte, og må ikke følge en systematik. Password oplyses til medarbejder ved henvendelse i IT. Password nulstilles og rettes ved første login.

Side 14 af 37


Brugerne må ikke gemmes deres password elektronisk, notere det eller videregives det til andre. Benyttes samme password i flere systemer skal password skiftes samtidig i alle systemer. Password og andre koder må ikke videregives til andre. 4.2.4 Uddannelse af medarbejdere - i relation til sikkerhed Det er den enkelte leders ansvar, at medarbejderne gennem formel uddannelse og daglig træning, opnår en tilstrækkelig forståelse for Instituttets IT-systemer, så disse håndteres og betjenes korrekt, til sikring af at data altid er korrekte og valide, alternativt af fejl kan opdages. Alle medarbejdere skal være bekendt med Instituttets IT-sikkerhedspolitik, relevante sikkerhedsregler, rapporteringsregler og konsekvenser ved brud på disse. 4.2.5 Medarbejdernes opmærksomhed omkring sikkerhed Medarbejdere skal være opmærksomme på afvigelser fra det normale i brug af Instituttets IT systemer : Ukendte mails, mails fra ukendte kilder, mails med ejendommelige overskrifter, dobbelt sign-on, hjemmesider, mails eller telefonopkald, som forsøger at lokke identiteter, koder og lignende fra brugeren, eller andre hændelser på computeren, som afviger fra hvor dan systemet plejer at reagere. Afvigelser skal omgående rapporteres til IT. 4.2.6 Nøglemedarbejdere - et ledelsesansvar Enhver leder skal sikre videndeling indenfor sit ansvarsområde. Afdelingen skal gennem opgavefordeling, uddannelse og projektarbejde organiseres på en måde, der begrænser risikoen for at der opstår ´nøglemedarbejdere´. Som sikring skal forretningskritisk information være registreret, og der skal være procedurer til sikring af informationernes vedligeholdelse, aktualitet og validitet. 4.2.7 E-mail med forpligtelser for Teknologisk Institut Aftaler, der forpligter Instituttet, skal håndteres skriftligt og under gældende vilkår for aftaleindgåelse. Fremsendes skriftlig aftale via mail, kan Instituttets digitale signatur anvendes til sikker identifikation overfor modtager. Nærmeste leder bør altid modtage en kopi. 4.2.8 E-mail kommunikation generelt Instituttets mail system må ikke anvendes til indhold af anstødelig, religiøs eller politisk art, og det er ikke tilladt for medarbejderne at sende SPAM mail som vittigheder, kædebreve og lignende. Brud på disse regler kan få konsekvenser for ansættelsesforholdet. Der må ikke udsendes uopfordrede salgsfremmende budskaber, tilbud, nyhedsbreve eller tilsvarende i form af mail til kunder og partnere uden deres accept eller godkendelse. Det er ikke tilladt at videresende mail til private e-mailadresser og lignende udenfor Instituttet. Det er ikke muligt at slette mails på Teknologisk Institut. 4.2.9 E-handel med forpligtelser for Teknologisk Institut E-handel (elektronisk indkøb) må på Instituttets vegne kun udføres af medarbejdere med godkendelse hertil. 4.2.10 Anvendelse af Internetbaserede services (sociale netværk mv.) Dette punkt dækker enhver anvendelse af Internetbaserede services som for eksempel communities, sociale netværk, eksterne hjemmesider, fildeling og andre gruppebaserede tjenester. Arbejdsrelateret ikke-fortroligt materiale af enhver art må kun publiceres efter forudgående godkendelse af centerchefen. Indeholder materialet oplysninger, herunder billed- og videomateriale, om medarbejdere, kunder, leverandører og andre samarbejdspartnere, må publicering udelukkende ske med deres accept. Instituttet har rettigheden til alt arbejdsrelateret materiale, der som led i Teknologisk Instituts aktiviteter produceres med henblik på publicering. Enhver gruppe der etableres på de sociale medier, som repræsenterer Teknologisk Institut, og som benytter Instituttets navn og/eller logo skal godkendes af centerchefen og IT-chefen. Ejerskab af en sådan gruppe skal overdrages til nærmeste leder ved fratrædelse.

Side 15 af 37


Links til eksterne websteder er tilladt så længe webstederne ikke indeholder eller har direkte links til materiale, der kan virke stødende, er ulovlige eller udgør en sikkerhedsmæssig risiko. Det er ikke tilladt at anvende sociale medier til private formål i arbejdstiden. Enhver sammenblanding af private og arbejdsmæssige forhold skal undgås. 4.2.11 Medarbejdernes brug af offentlig tilgængelige computere Medarbejderes brug af offentlig tilgængeligt PC udstyr (for eksempel i lufthavne, på internetcafeer, på hoteller mv.) til skrivning, internetsøgning, mail og lignende i virksomhedens tjeneste skal begrænses. Eventuel brug må ikke omfatte fortrolig eller personfølsom information. Personnavne og lignende klart identificerbart i teksten skal sløres. Det skal sikres, at eventuelle firmadata på det fremmede udstyr er slettet inden udstyret forlades. 4.2.12 Privat anvendelse af Internet forbindelse Privat anvendelse af Internettet fra Instituttets computere må ikke ske i arbejdstiden. Dette inkluderer privat anvendelse af services som communities, sociale netværk, fildeling og andre gruppebaserede tjenester. Instituttet tilbyder fri adgang udenfor medarbejderens arbejdstid, dog med den begrænsning i anvendelsen, som fremgår af andre del-politikker. 4.2.13 Privat anvendelse af mail faciliteter Der må kun i begrænset omfang sendes private mails på virksomhedens mail systemer. Mails med tilknyttede dokumenter kan afvises. Private mails bør mærkes PRIVAT. Al mail trafik registreres og sikkerhedskopieres og vil kunne blive åbnet og læst i forbindelse med teknisk problemløsning. Det er ikke tilladt at videresende e-mail til private mailadresser og lignende udenfor Instituttet. 4.2.14 Privat download og kopiering af musik, spil, pornografi mv. Instituttets computere må ikke anvendes til download og kopiering af spil, ulicenseret musik og software eller af materialer af anstødelig, religiøs eller politisk art. Konstateret piratkopiering vil kunne medføre konsekvenser for ansættelsesforholdet, og i særlige tilfælde til politianmeldelse. 4.2.15 Privat e-handel Der må kun foretages privat e-handel fra Instituttets IT-systemer hvis handelen ikke på nogen måde kan kompromittere virksomheden, eller forpligte denne. Privat e-handel må kun ske udenfor arbejdstiden. 4.2.16 Brug af kameraer og mobilkameraer på Teknologisk Institut Det er ikke tilladt, hverken for medarbejdere eller gæster, at optage nogen form for billeder på Instituttets område uden skriftlig tilladelse fra ledelsen. Alle typer kameraer skal være slukket indenfor Instituttets område. Gives tilladelsen er afdelingens chef er ansvarlig for hvilke emner der fotograferes. 4.2.17 Brug af Tv-overvågning på Teknologisk Institut Tv-overvågning kan benyttes i forbindelse med overvågning af de normale adgangsveje, samt af særligt følsomme områder og afdelinger til løbende kontrol af personers uretmæssige adgang og uhensigtsmæssige opførsel. Medarbejderne skal være orienteret og overvågningen skal være skiltet. Optagelserne lagres og gemmes i en længere fastlagt periode, til brug for eventuel politimæssig efterforskning, hvorefter de overspilles eller slettes. Opbevaring, sletning og kassation skal følge virksomhedens regler for sletning af databærende medier. 4.2.18 Brug af lydoptagelser Telefonsamtaler fra Instituttets telefonsystemer optages ikke uden forudgående aftale med berørte medarbejdere.

Side 16 af 37


4.2.19 Benyttelse af remote-værktøjer Benyttelse af remote-værktøjer må kun ske efter accept fra bruger. Remote-værktøjer skal være godkendt af IT. Alle tilslutninger med remote-værktøjer - samt forsøg på tilslutning - logges med angivelse af bruger/pc som har taget adgang, samt tilslut- og frakoblingstidspunkt. 4.2.20 Fjernadgang VPN må kun benyttes af medarbejdere på Teknologisk Institut med tildelte initialer Installation af VPN software må kun foretages af IT og ske på udstyr godkendt af IT (med øvrige sikkerhedskrav opfyldt). 4.2.21 Inaktivitet Inaktivitet medfører spærring netværkskonti og PC-adgang.

• Netværkskonti (logon) spærres ved inaktivitet i 3 måneder. Kan genåbnes af IT ud fra kontrol af ansættelsesforhold.

• Netværksstik kan være blokeret ved inaktivitet i 3 måender. Genåbnes ved at kontakte IT. • PC’s adgang til netværk spærres ved inaktivitet i 1 måned . Genåbning af adgang kan kun ske

efter opdatering af udstyr. Modtager medarbejder ikke løn i tre måneder spærres netværkskonti (logon) ligeledes automatisk (kontrolfunktion for løst ansatte). 4.3 Efter ansættelsen 4.3.1 Overdragelse af data og ejerskaber ved fratræden Ved en medarbejders opsigelse og fratrædelse på eget initiativ, eller opsagt af virksomheden, skal nærmeste leder sikre at dataejerskaber og data overføres til andre medarbejdere. Overdragelsen skal påbegyndes umiddelbart efter at opsigelsen er afleveret. Mail der modtages til fratrådt medarbejder kan efter fratrædelse leveres til anden medarbejderes interne postkasse. Fuld adgang til fratrådt medarbejders postkasse kan kun tildeles efter skriftlig godkendelse fra Personalechef eller Direktion. Ønske om forlængelse af netværksadgang udover fratrædelsesdato (afviklingsforretning) skal godkendes af Personale med ny slutdato. Bemærk at alle postkasser er aktive i et år efter medarbejders fratræden. 4.3.2 Inddragelse af IT-rettigheder ved fratræden Ved en medarbejders fratrædelse på eget initiativ eller ved opsigelse fra Instituttets side skal nærmeste chef vurdere risikoen ved, at medarbejderen fortsat har sine IT-rettigheder frem til fratrædelsesdagen. Alle adgange til Instituttets IT-systemer lukkes for den pågældende senest ved sidste arbejdsdags ophør. Telefon henvises til Instituttets hovednummer eller andet nummer på fratrædelsesdag og seks måneder frem. Fratrådte medarbejdere fjernes fra Instituttets adresselister senest næste arbejdsdag. 4.3.3 Returnering af lånte IT-aktiver ved fratræden Ved en medarbejders fratrædelse skal lånte IT-aktiver (id-kort, tokens, mobiltelefon, computere, routere mv.) returneres senest den sidste arbejdsdag. Opsiger virksomheden medarbejderen skal nærmeste leder vurdere behovet for tidligere inddragelse af effekterne. PC’ere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Databærende medier der har tilhørt ledende medarbejdere skal destrueres af IT. Fratrådte medarbejdere kan ikke overtage udstyret. Afvigelser her for skal godkendes af Personalechefen eller Direktionen.

Side 17 af 37


4.3.4 Inddragelse af IT-rettigheder, aktiver mv. ved bortvisning Ved en medarbejders opsigelse og bortvisning skal diverse adgange til Instituttets IT-systemer lukkes for den pågældende umiddelbart efter bortvisningen. Lånte IT-aktiver (id-kort, tokens, mobiltelefon, computere mv.) inddrages omgående. Befinder væsentlige effekter sig på den bortvistes hjemadresse, skal nærmeste chef vurdere behovet for at effekterne kræves udleveret omgående eller afhentes på bopælen. Instituttet kvitterer for overdragelsen. Medarbejderens computere og datafiler gennemgås snarest muligt og relevant indhold overdrages til andre medarbejdere. Nærmeste chef er ansvarlig for aktiviteterne. PCere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Databærende medier der har tilhørt ledende medarbejdere skal destrueres af IT. Udstyr der ikke skal benyttes mere skal indleveres til IT til rensning og skrotning. 5 SIKKERHED, GÆSTER OG SAMARBEJDSPARTNERE 5.1 Faste daglige partnere 5.1.1 Rengøringspersonale Rengøring i IT- og teknikrum skal udføres af kendte faste (og clearede) personer, som har modtaget 5.1.2 Håndværkere Håndværkere må kun udføre arbejde i IT- og teknikrum, hvis arbejdets formål, omfang og tidspunkter er kendt af IT og godkendt af denne. Der skal tages særlige forholdsregler mod driftsforstyrrelser skabt for eksempel af elektriske forstyrrelser (konsekvenser for IT-udstyr og alarmer), rystelser, støv, røg, ved flytning af udstyr og eventuel afbrydelse af udstyr. I forbindelse med brug af svejseudstyr, brandfarlige kemikalier og lignende skal der tages særlige sikkerhedsmæssige forholdsregler. Håndværkerne skal sikre, at ingen andre uretmæssigt får adgang til området og skal informere IT om arbejdets daglige start og ophør. Håndværkerne skal være bekendt med hvem de skal henvende sig til, hvis der opstår tvivl eller problemer under arbejdets udførelse. 5.1.3 Vareleverandører Leverandører af IT-materiel eller anden teknik må kun have adgang til Instituttets IT- og teknikrum efter aftale og kun i følge med betroede medarbejdere fra IT. 5.2 Faste IT-partnere 5.2.1 Systemkonsulenter Faste systemkonsulenter må gives adgang til virksomhedens IT-ressourcer (lokaler, maskiner og systemer) i det omfang det er nødvendigt for opgavens løsning. Adgang og rettigheder skal godkendes af den systemansvarlige og IT-chefen. De tildelte adgange skal periodisk undergå revision. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af systemansvarlig. Systemansvarlig er ansvarlig for at konsulenterne er bekendt med Instituttets IT-sikkerhedspolitik og regler, og at disse overholdes. 5.2.2 Maskinteknikere Maskinteknikere med kendt identitet fra faste samarbejdspartnere har samme adgang til IT- og teknikrum som medarbejdere fra IT. De tildelte adgange skal periodisk undergå revision.

Side 18 af 37


Ingen tilkaldte (ukendte) teknikere må få adgang til Instituttets IT- og teknik rum, uden at fremvise personlig identifikation med firmanavn og navn. Arbejdsopgaven og -perioden skal være kendt. Ukendte teknikerne skal følges af en medarbejder fra IT. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af en systemansvarlig. 5.2.3 Systemudviklere Eksterne systemudviklere med behov for adgang til Instituttets IT-systemer, skal være clearet og godkendt af Instituttet. Adgang og rettigheder tildeles i forhold til hvad der er nødvendigt for at løse opgaven. Adgang og rettigheder skal godkendes af den Systemansvarlige og IT-chefen. De tildelte adgange skal periodisk undergå revision. Udviklerne skal være bekendt med Instituttets IT-sikkerhedspolitik, regler for omgang med Instituttets data, rapportering mv. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af Systemansvarlig. 5.3 Periodiske gæster 5.3.1 Eksterne generelt Eksterne mødedeltagere må kun færdes på Instituttet i følge med en ansat medarbejder, alternativt registreres ved ankomsten. Gæster må ikke benytte Instituttets netværk, men kan benytte kablede gæstenet (Blå opmærkning) eller gæstekonti (tildelt for 8 timer) på det trådløse net. Gæstekonti må kun udleveres personligt af medarbejder på Instituttet. 5.3.2 Løst ansatte (vikarer, praktikanter og medhjælpere) Vikarer og afløsere må normalt ikke få adgang til Instituttets IT-rum, teknikrum eller tilsvarende. Adgang til brug af systemerne skal begrænses til de systemer, som er nødvendige for funktionernes udførelse. Adgangen skal, hvis teknisk muligt, begrænses med dato- og tidsinterval. Nærmeste leder er ansvarlig for, at vikaren eller praktikanten er bekendt med Instituttets sikkerhedspolitik og regler på området. I særlige tilfælde kan en clearing af vikaren være nødvendig. De tildelte adgange skal periodisk undergå revision. Kun medarbejdere med tildelte initialer og underskreven aftale kan få adgang til Instituttets netværk. Tildeling af adgange til alle centrale systemer skal godkendes af Personaleafdeling. 6 FYSISK SIKKERHED, SIKRING OG KONTROL 6.1 Bygningsmæssige forhold 6.1.1 Virksomhedens perimetersikring Instituttets ydre områder skal anlægges på en måde, der sikrer mod uretmæssig adgang og som samtidig styrer gæsters adgang til og færden ved virksomheden. 6.1.2 Virksomhedens bygningssikring Bygningerne skal sikres på en måde der begrænser muligheden for uretmæssig fysisk indtrængen, tyveri, ødelæggelse og hærværk i områder, hvor tyveri eller skader vil påføre store gener eller omkostninger. Forebyggende sikring (låse, tremmer, sikringsfilm og andet) bør suppleres med overvågnings- og alarmsystemer med direkte kontakt til alarmcentral.

Side 19 af 37


6.1.3 Adgang til bygninger Adgang til Instituttet for gæster og medarbejdere skal ske gennem Instituttets hovedindgange. Post og varer må leveres direkte ind til de relevante funktioner og områder. Øvrige døre beskyttes og markeres som nødudgange. 6.1.4 Adgang til IT- og andre teknikrum Adgangskontrol til serverrum skal sikres med elektronisk låsesystem, som kan styre og registrere adgangen. Adgangen skal baseres på 2-faktor teknik. Serverrum skal være zoneopdelt og videoovervåget og de tildelte adgange skal periodisk undergå revision. Medarbejdere fra IT eller medarbejdere udpeget af IT har adgang efter behov. Zone med drift-servere kan kun tilgås af IT-medarbejdere og relevante teknikere, konsulenter, håndværkere og rengøring har adgang i følge med medarbejdere fra IT. Øvrige teknikrum/teknikskabe skal være forsvarligt aflåst med nøglesystem administreret af IT og have videoovervågning. Adgangsnøgler tildeles af IT. 6.1.5 Adgang til og sikring af IT-kontorer Kontorer, som benyttes af IT-medarbejdere og hvor der ligger reservedele, softwarepakker mv. skal være sikret mod uvedkommendes fri adgang og mod tyveri. Døre skal være aflåst, når lokalerne ikke er bemandede. Effekter af speciel interesse for tyve, samt medier med følsom information skal opbevares i aflåste enheder, når det ikke anvendes. Kun relevante materialer må ligge fremme under møder og ved besøg (Clean-desk-policy). 6.1.6 Sikring af arbejde fra private hjem Som udgangspunkt er alt arbejde med Instituttets IT-systemer og data fra medarbejderes private hjem underlagt denne IT-sikkerhedspolitik. Benyttes privat computer til opkobling mod Teknologisk Institut, må data ikke overføres til den private computer, hverken ved filoverførsel, som tilknyttet mail fil eller på anden måde. Instituttets data skal behandles og håndteres ud fra deres følsomhed og med særlig opmærksomhed på kassationsregler for databærende medier, herunder papirudskrifter. 6.1.7 Adgang og sikring af møde- og undervisningslokaler Instituttets møde- og undervisningslokaler kan frit benyttes af Instituttets medarbejdere. Mødeværten er ansvarlig for eksterne deltageres færden i området. 6.1.8 Adgang og sikring af fællesområder Kundeområder bør isoleres, så der ikke er fri adgang til Instituttets øvrige lokaler. 6.1.9 Adgang og sikring i forbindelse med lejere i bygning Lejemål i Instituttets domicil skal bygningsmæssigt være adskilt fra virksomhedens områder, og benytte eget låse-/nøglesystem. Det skal sikres, at der hos lejerne ikke kan forefindes udstyr eller maskiner der kan forstyrre driften i domicilet (elektrisk støj, støj, rystelser, andet), og at der ikke arbejdes med produktion eller materialer, som kan udsætte bygningen for fysiske risici som brand, eksplosionsfare mv. Ved brug af fælles LAN (fysisk eller trådløst GæsteNet) er det op til denne enkelte part at beskytte adgangen til egne IT-systemer: 6.1.10 Sikkerhedsforhold i forbindelse med ombygning Ved ombygninger og omflytninger i IT-områder eller tilsvarende forretningsfølsomme områder, og hvor området på grund af byggeriet i perioder vil være åben for tilfældig adgang, skal der indføres særlige kontroller der sikrer, at virksomhedens sikkerhed ikke kompromitteres, og at aktiver ikke udsættes for unødigt beskadigelse eller tyveri. 6.1.11 Alarmer, vagt og vægterrundering

Side 20 af 37


Særligt følsomme områder af virksomheden skal sikres med indbrudsalarmer i alle rum med døre og vinduer i stueplan, alternativt følge regler for lokaleklassifikation og zoneopdeling. Alarmerne skal have direkte kald til alarmcentral. Der skal gennemføres vægterrundering på nærmere fastlagte tidspunkter. Kald til og fremmøde fra vagtcentral skal kunne dokumenteres (af hensyn til forsikringsdækning). 6.2 IT-udstyr og andet teknisk udstyr, forsyningssikkerhed 6.2.1 Placering af IT- og teknikrum i bygning Centralt og fælles IT- udstyr, samt andet sårbart og forretningskritisk teknisk udstyr skal placeres i aflåste lokaler dedikeret til formålet, med særlig sikring af det fysiske miljø, f.eks. i følge en zoneopdeling og lokaleklassifikation. Lokalerne må ikke markeres på alment tilgængelige planer og må ikke markeres med direkte skiltning. 6.2.2 Krav til placering af IT-udstyr i teknikrum IT-udstyret skal være placeret i reoler og racks med plads til betjening og servicering fra begge sider, minimum jvf. krav fra maskinleverandører. Alle maskiner og kabler skal være mærket med navn, anvendelse, forbindelsespunkter og andre relevante oplysninger. 6.2.3 Strømforsyning og alarmering ved strømproblemer IT-udstyret skal forsynes fra to separate indgangskilder til bygningen, fordelt på separate sikringsgrupper med spændingsudjævnere. Forretningskritiske enheder skal sikres mod strømudfald med UPS-udstyr. UPS’ens kapacitet afgøres ud fra forretningskonsekvensen af et nedbrud. UPS’en skal afprøves periodisk. Strømforsyningen skal være overvåget med alarm til IT eller andet bemandet sted. Behov for nøddiesel generator(er) skal periodisk vurderes ud fra den forretningsmæssige afhængighed og konsekvens af et længerevarende strømsvigt. Eventuel anden nødstrømsforsyning skal afprøves jævnligt. 6.2.4 Køling og ventilation - alarmering ved svigt IT- og teknik rum skal være sikret med tilstrækkelig og konstant ventilation og køling, der lever op til IT-leverandørernes specifikationer. Der skal findes sensorer som kan alarmere IT-medarbejderne eller andre ved væsentlig reduktion eller svigt i kølesystemerne. Ventilationskanaler skal være forsynet med automatiske brandspjæld, som lukkes styret af brandalarmeringssystemet. Behovet for strømsikring af IT-forsyningsudstyr (køling, ventilation) skal jævnligt vurderes. Behov for nøddiesel generator(er) skal periodisk vurderes ud fra den forretningsmæssige afhængighed og konsekvens af et strømsvigt. 6.2.5 Sikring mod fugt- og vandskader - alarmering Udstyr må ikke placeres nær eller under gennemgående vandrør. Der skal tages særlige hensyn omkring ovenlysvinduer mod utætheder og indtrængende vand. Udstyr og kabelsamlinger skal være hævet minimum 40 cm over gulvhøjde, hvis der er gennemgående vandrør og/eller kloakafløb i gulv (kældre). Er der kloakafløb skal der være installeret tilbageløbsventil. Der skal være installeret fugtalarm under gulvet med direkte kald til IT-medarbejderne eller andet vagtpersonale. Er det relevant for området, skal der installeres grundvandspumpe (kældre). 6.2.6 Brandsikring og -alarmering Kritiske IT- og teknikrum skal være forsynet med lovmæssigt brandslukningsudstyr, samt med sensorer (røg, varme eller ion detektorer) til automatisk branddetektering, alarmering, (eventuelt et Early Warning System) og med automatisk udløsning af slukningsmiddel. Der må ikke opbevares brandbare materialer i rummene eller i rummene umiddelbart omkring, ligesom tobaksrygning og brug af åben ild ikke er tilladt.

Side 21 af 37


6.2.7 Sikring af kabler og krydsfelter Kabler skal være sikret mod udrivning og brud. Kabelføring skal være samlet i kabelbakker og -skakte. Datakabler må så vidt muligt ikke føres parallelt i samme bakke som el-kabler. Krydsfelter skal etableres i aflåsede enheder med videoovervågning. Alle IT-kabler skal være mærket med anvendelse, adresser eller anden relevant information. Alle kabelgennemføringer i murværk og etageadskillelser skal være tilstoppet med brandhæmmende materialer. 6.3 Anskaffelse, vedligehold og kassation 6.3.1 Anskaffelse, godkendelsesprocedurer Virksomheden skal gennem sin indkøbspolitik og kontrakter sikre, at IT-udstyr, IT-forsynings- og hjælpeudstyr kan leve op til intentionerne i denne IT-sikkerhedspolitik omkring driftsstabilitet, adgangssikring, nedbrudsfrekvens og tidsforbrug til genetablering efter nedbrud. Kravene til sikkerheden skal afspejles i krav til leverandørerne. Nyt IT-udstyr skal testes op mod anførte krav og leve fuldt op til de væsentlige punkter. Det endelige indkøb skal godkendes. 6.3.2 Serviceaftaler, reservedelssituation For særligt forretningskritiske enheder og systemer bør der være tegnet serviceaftaler, som dækker indenfor virksomhedens normale driftsperiode. Særligt kritiske reservedele skal til enhver være på lager hos leverandøren i Danmark, alternativt skal leverandøren kunne levere erstatningsudstyr indenfor de aftalte tidsfrister. 6.3.3 Installation af hardware og software Enhver installation af hardware og/eller software skal planlægges, udføres og testes systematisk ifølge gældende Change Management procedurer. Opsætning af konfigurations- og sikkerhedsparametre skal, som minimum, leve op til denne IT-sikkerhedspolitik. 6.3.4 Omflytning eller fjernelse af udstyr IT-udstyr (bærbart udstyr undtaget) må ikke fjernes fra virksomheden. 6.3.5 Salg af IT-udstyr Ved salg af IT-udstyr med indbygget datalager (disk eller tilsvarende), skal dette overskrives eller slettes sikkert med særligt programværktøj, så data ikke kan genoprettes med almindelig kendte teknikker og værktøjer. Sletning skal udføres, og kontrolleres internt, inden udlevering til ny ejer. Salg af udstyr skal godkendes. 7 SIKKERHED UNDER DRIFT / PRODUKTION 7.1 Operationelle forhold, batchproduktion 7.1.1 Driftsplanlægning IT-driften skal planlægges på en sådan måde, at såvel den daglige som den periodiske drift kan afvikles korrekt og til tiden. Driftsplanen skal udarbejdes i tilpas god tid i samarbejde med relevante brugere. 7.1.2 Driftsdokumentation Der skal foreligge aktuel driftsdokumentation, der beskriver maskin- og systemmiljøet, samt de forskellige driftsopgaver, manuelle og maskinelle. 7.1.3 Driftsafvikling IT-driften skal afvikles jf. driftsplanen på en sådan måde, at såvel den daglige som den periodiske drift afvikles korrekt og til tiden. Driftsplan og dokumentation skal være til afviklerens rådighed.

Side 22 af 37


7.1.4 Driftsovervågning og -kontrol IT-driften skal løbende kontrolleres med henblik på hurtig afhjælpning af problemer, fejl og forsinkelser. Kontrollen skal så vidt muligt udføres automatisk. Driftsafvikleren skal kvittere for udførte manuelle kontroller. I forbindelse med afvikling af særlig forretningskritisk drift skal der etableres den nødvendige vagtordning. 7.1.5 Driftsrapportering Alle afvigelser fra normal drift, samt enhver opstået fejl (hardware, software, applikation, data og andet) skal registreres løbende og kunne samles til en periodisk rapportering. Problemer og fejl af forretningsmæssig og/ eller sikkerhedsmæssig karakter skal meddeles den ansvarlige særskilt og efter nærmere aftale. 7.1.6 Forsyning og lagring af forbrugsmaterialer Den løbende levering af forbrugsmaterialer skal være sikret gennem leverandøraftaler og kontrolpunkter i indkøbsprocedurerne. For væsentlige forbrugsmaterialer skal der foreligge aftaler med mere end én leverandør. Diverse IT-relaterede forbrugsmaterialer skal opbevares i særlige aflåste enheder, hvortil kun autoriserede medarbejdere har adgang. Opbevaring og forbrug af særligt værdifulde materialer og værdiblanketter skal følge særskilt beskrevne regler og forretningsgange. Forholdene skal være underlagt periodisk revision. 7.1.7 Ændringsstyring - Change Management Opdatering og ændring af ethvert system må kun foretages af den Systemansvarlige, og ændringer skal i videst muligt omfang foregå uden for det primære driftsvindue. Backup personer med behørig adgang til systemet må kun foretage opdateringer og ændringer af systemet efter forudgående skriftlig aftale med systemansvarlig. Systemansvarlig kan tildele tidsafgrænsede rettigheder til systemer til øvrige (konsulenter og udviklere) efter skrift aftale og med godkendelse fra IT ledelsen. I forbindelse med enhver ændring af systemer klassificeret som Prioritet 1 og 2, skal der forudgående sendes besked til Change Management. Alle uregelmæssigheder på systemer inklusiv genstart af systemer og services skal meldes her til. Ændringer eller uregelmæssigheder der samtidig påvirker flere systemer skal meddeles uafhængigt i IT Change. Planlagte ændringer der påvirker medarbejdernes brug af systemerne skal forudgående godkendes af Ledelsen i IT. Alle væsentlige ændringer eller uregelmæssigheder der påvirker medarbejdernes brug af systemer skal meldes i Driftsinfo. Meldinger i Driftsinfo skal inkludere omfang og forventet løsningstid. 7.2 Særligt for drift hos ekstern serviceleverandør 7.2.1 Definition af leverancen, inkl. sikkerhedsaspekter Ved indgåelse af driftsaftaler om (sourcing/housing/clouding) skal det ønskede IT-sikkerhedsniveau fastlægges i kontrakten. Sikkerhedsniveauet for de relevante områder må ikke være lavere end beskrevet i indeværende IT-sikkerhedspolitik. Leverandøren skal kunne dokumentere, at han lever op til såvel indhold som intentioner inden aftalen tegnes. Eventuelle afvigelser skal vurderes og godkendes. Der skal udpeges en ansvarlig for kommunikation, koordination og opfølgning af aktiviteter mellem Instituttet og leverandøren. 7.2.2 Overvågning og revision af serviceleverandør Der skal stilles krav til overvågning, kontrol og revision af leverandørens håndtering af opgaverne, herunder rapportering af fejl og hændelser, som vil kunne kompromittere virksomhedens IT-sikkerhed. Leverandøren kan pålægges omgående rapportering af særligt definerede hændelser. Rapporterede hændelser samles og gennemgås på fastlagte statusmøder med leverandøren.

Side 23 af 37


Leverandøren skal på anfordring kunne præsentere en revisionsrapport uden væsentlige anmærkninger for de drifts- og sikkerhedsforhold som virksomheden vægter højt. 7.3 Kritiske komponenter, klassifikation og registrering 7.3.1 Kritiske hardware komponenter Den IT-ansvarlige skal være bekendt med hvor i konfigurationen - og hvilke enheder - der kan blive kritiske i et driftsforløb. Der skal findes en ajourført registrering af de kritiske hardwarekomponenter i relation til forretningskritiske systemer. Der skal være taget stilling til muligheder og alternativer ved nedbrud på disse enheder, og være procedurer for genetablering. 7.3.2 Kritiske softwarekomponenter Den IT-ansvarlige skal være bekendt med hvor i konfigurationen - og hvilke softwarekomponenter (basis-systemer, operativsystemer og tilsvarende) - der kan blive kritiske i et driftsforløb. Der skal findes en ajourført registrering af de kritiske softwarekomponenter i relation til forretningskritiske systemer. Der skal være taget stilling til muligheder og alternativer ved nedbrud på disse enheder, og være procedurer for genetablering. 7.3.3 Kritiske program- og datakomponenter Den IT-ansvarlige skal være bekendt med hvor i konfigurationen - og hvilke program- og datakomponenter (forretningsapplikationer, databaser, registre) - der kan blive kritiske i et driftsforløb. Der skal findes en ajourført registrering af de kritiske program- og datakomponenter i relation til forretningskritiske systemer. Der skal være taget stilling til muligheder og alternativer ved nedbrud på disse enheder, og være procedurer for genetablering. 7.3.4 Kritiske licensnøgler, password mv. Programlicenser (koder, systemnøgler, andet), password til kritiske enheder, krypteringsnøgler, koder mv. skal opbevares sikkert og sikret mod fysisk skade og fremmed tilgang. IT-driftsmedarbejderne skal uhindret kunne opnå adgang til koderne i forbindelse med alvorlige driftsproblemer, kritiske situationer og beredskab. 7.3.5 Kritisk drift, alternative muligheder - beredskab Den IT-ansvarlige skal være bekendt med hvordan driften fortsat vil kunne afvikles, og i hvilket omfang, i forskellige krisesituationer. Der skal foreligge aktuelle beskrivelser af nødberedskabet, behov og krav til lokaler, IT-teknik, kommunikationsudstyr, mandskab med videre, samt foreligge tids estimater for etablering af alternativ drift. Der skal være indgået rammeaftaler for de væsentligste elementer i beredskabet. Beredskabsplanerne skal indeholde tilkaldelister over relevante medarbejdere, samarbejdspartnere, offentlige myndigheder og andre som skal informeres eller som kan bidrage i en krisesituation. 7.4 Programanvendelse 7.4.1 Anvendt programmel Instituttet skal basere sin IT-anvendelse på anerkendte standardprogrammer, suppleret med egenudviklede programmer. IT skal opretholde en liste over godkendte programmer (en positiv liste). Ønsker om andre programmer skal forelægges til godkendes. 7.4.2 Download og installation af programmel Medarbejdere må kun downloade og installere programmer på Instituttets arbejdsstationer, hvis disse programmer er nødvendige for at se en given oplysning eller for udførelse af de daglige opgaver.

Side 24 af 37


IT forbeholder sig retten til på ethvert tidspunkt at lukke brugerens adgang til netværket, hvis installeret software udgør en sikkerhedsrisiko eller er i strid med licensregler. Eventuelle ønsker om særligt licenserede programmer skal forelægges IT-chefen. Vurdering af anskaffelsen sker i samarbejde med den kommende systemejer og skal følge politik for indkøb af software og applikationer. Anskaffelsen skal godkendes. Kun medarbejdere fra IT Drift må downloade og installere programmer på Instituttets servere. 7.4.3 Beskyttelse mod skadevoldende programmer Instituttets IT systemer skal sikres mod infiltrering fra skadevoldende programmer gennem opsætning af relevante hardware og software filtre på servere, gateways, firewalls, arbejdsstationer, mailsystemer m.fl. Opsætningen skal være dokumenteret og følges ved fremtidige systemændringer og installationer 7.4.4 Sikring mod computervira Alle relevante IT-enheder, skal være sikret med anti-virus software, som skal holdes løbende opdateret. Bærbart IT-udstyr (computere og evt. andet) skal opdateres automatisk ved tilslutning til virksomhedens netværk. Alle løse databærende medier skal virus kontrolleres, så vidt muligt automatisk, inden brug. Al ind- og udgående mail skal kontrolleres automatisk for vira. Alle sikrede maskiner skal kontrolleres (scannes) for vira med faste intervaller. 7.4.5 Sikring mod adware og spyware IT-enheder med direkte adgang til Internettet skal sikres mod indtrængende spyware. Anti-spyware systemet skal opdateres ofte. Der skal jævnligt køres total spyware kontrol på kritiske IT-enheder. Spor fra adware skal fjernes i samme eller tilsvarende kørsel. Bærbare computere skal opdateres ved tilslutning til virksomhedens netværk. 7.4.6 Sikring mod spam - indgående Mail systemer skal sikres mod indgående spam gennem opsætning af filtre. Filtreringen skal understøttes gennem abonnement på spam adresser. Filtrene skal holdes fuldt opdateret. Bærbare computere opdateres ved tilslutning til virksomhedens netværk. Der skal foreligge en procedure til oprydning efter eventuelle spam angreb. 7.4.7 Sikring mod spam - internt Det er ikke tilladt for medarbejderne at sende spam mails som vittigheder, kædebreve og lignende i virksomhedens netværk. Brud på disse regler kan få konsekvenser for ansættelsesforholdet. 7.4.8 Sikring mod spam - udgående Der må ikke udsendes uopfordrede salgsfremmende budskaber som mail til virksomhedens kunder. Brud på disse regler kan få konsekvenser for ansættelsesforholdet. 8 BESKYTTELSE AF VIRKSOMHEDENS DATA 8.1 Fysisk databeskyttelse 8.1.1 Sikring af system- og konfigurationsfiler Systemtekniske data skal sikkerhedskopieres og inden større systemomlægninger, og inden at andre risikobetonede aktiviteter påbegyndes. Kopierne skal opbevares adskilt fra de originale data og opbevares i et databrandskab (eller særskilt lokale) klassificeret minimum som S60DIS. Kopierne skal som minimum være placeret på anden matrikel eller bygning i tilsvarende afstand. Alternativt kan man benytte en fjernbackup service. 8.1.2 Sikkerhedskopiering og opbevaring af datakopier Instituttets data skal sikkerhedskopieres dagligt og inden større systemomlægninger, eller inden at andre aktiviteter påbegyndes der indebærer risici. Fuld måneds backup gemmes mindst i 5 år bagud. Løbende daglig backup gemmes mindst 30 dage bagud.

Side 25 af 37


Datakopierne skal opbevares adskilt fra de originale data og opbevares i et databrandskab (eller særskilt lokale) klassificeret minimum som S60DIS. Datakopierne skal som minimum være placeret på anden matrikel eller bygning i tilsvarende afstand. Alternativt kan man benytte en fjernbackup service. 8.1.3 Sikkerhedsarkivering jvf. lovgivning Bogføringsdata skal opbevares ifølge bogføringslovens regler i en form og et format, der kan gøres læsbart, alternativt gemmes i papirform. Kopi af bogføringsprogram og tilsvarende databaseudgave skal opbevares sammen med data i brandsikret miljø i relation til det valgte opbevaringsmedie. 8.1.4 Sikkerhedskopiering ved teknologiskift Instituttet skal sikre den fortsatte adgang og læsbarhed af gamle data (sikkerhedskopier) i forbindelse med interne teknologiskift, ifølge virksomhedens regler for dataklassifikation. Forretningsfølsomme filer skal altid kunne overføres til den nye teknologi ved simpel kopiering eller konvertering. 8.1.5 Anvendelse af sikkerhedskopier fra dataarkiv Sikkerhedskopier må kun fremhentes fra manuelle dataarkiver (databrandskab, arkivrum, andetsteds) til brug i særlige tilfælde af medarbejdere med særlig adgangstilladelse. Sikkerhedskopier på fjernbackup skal kopieres - ikke flyttes. Udtagning og anvendelse af sikkerhedskopier skal registreres til brug for kontrol. Fremhentede (fysiske) sikkerhedskopier skal bringes tilbage umiddelbart efter anvendelse. Ved behov for langvarig anvendelse skal medierne kopieres, og det ene sæt returneres til dataarkivet. Umiddelbart efter afsluttet anvendelse af kopien skal denne slettes ved overskrivning. 8.1.6 Kontrol af datakopier i sikkerhedsarkiv Der skal periodisk udføres en kontrol af, at de forventede databærende medier er til stede i sikkerhedsarkivet (databrandskab, arkivrum, andetsteds). 8.1.7 Sikkerhed omkring brug af databærende medier Overførsel af virksomhedsdata til løse databærende medier, ud over sikkerhedskopiering, må ikke foretages af fortroligt materiale, medmindre indholdet er krypteret. 8.1.8 Lagring af virksomhedsdata Alle data skal gemmes på Instituttets systemer og netværk. Overførsel af virksomhedsdata til computerens harddisk er kun tilladt som kopi, og må ikke foretages for fortroligt og personfølsomt materiale. Udarbejdes materiale uden mulighed for opkobling til Instituttets netværk, skal materialet kopieres til Instituttets systemer og netværk ved først givne lejlighed. Fortroligt og personfølsomt materiale må ikke kopieres til tjenester på Internettet. Generelt må virksomhedsdata ikke uden forudgående godkendelse af IT eller nærmeste chef kopieres til tjenester på Internettet.

8.1.9 Behandling af kasserede databærende medier Databærende medier, som skal kasseres, skal afleveres til IT, som skal sørge for sletning eller overvåget fysisk destruktion. 8.2 Databeskyttelse i forbindelse med udveksling af data 8.2.1 Forsendelse og transport af databærende medier Fysisk forsendelse af virksomhedsinformation på databærende medier til partnere, leverandører eller andre skal ske efter aftale med dataejer, og såfremt der er tale om forretningsfølsom eller personfølsom information, skal indholdet krypteres. Kun krypteringssoftware godkendt af IT må benyttes. 8.2.2 Elektronisk distribution af forretningsinformation Elektronisk forsendelse af virksomhedsinformation (mail, fil overførsel eller tilsvarende) til partnere, leverandører eller andre må kun ske efter aftale med dataejer, og såfremt der er tale om forretningsfølsom eller personfølsom information, skal indholdet krypteres. Kun krypteringssoftware godkendt af IT må benyttes. 8.2.3 Datasikkerhed i forbindelse med print

Side 26 af 37


Der skal udvises særlig opmærksomhed i forbindelse med printindhold og hvem der har mulighed for at læse indholdet under udskrivning. 8.2.4 Datasikkerhed i forbindelse med brug af telefax Der skal udvises særlig opmærksomhed omkring informationsindhold, og hvem der har mulighed for at læse indholdet i forbindelse med udveksling af telefax. 8.2.5 Udveksling af data med offentlige instanser I forbindelse med udveksling af data med offentlige institutioner skal der udføres særlige kontroller af datakvaliteten inden afsendelse. Data skal udveksles efter aftale med pågældende institution. 8.2.6 Sikring ved overførsel af data til udlandet Overførsel af data med forretningskritisk eller personfølsomt indhold til parter i udlandet (e-mail, enkeltfiler, sikkerhedskopier og lignende, hvad enten disse sendes via kommunikationslinjer eller overføres på fysisk datamedie), skal begrænses. 8.2.7 Anvendelse af kryptering Er der behov for kryptering af dokumenter, mails og andet – se under de pågældende emner i denne IT-sikkerhedspolitik. Der må kun benyttes symmetrisk kryptering og brug af virksomhedens autoriserede krypteringsprogram. 9 SIKRING AF VIRKSOMHEDENS NETVÆRK OG KOMMUNIKATION 9.1 Operationelle forhold, netværksdrift 9.1.1 Netværksdokumentation Der skal forefindes relevant, detaljeret og opdateret teknisk netværksdokumentation for virksomhedens lokalnet og eksterne forbindelser. Dokumentationen skal have en detaljeringsgrad og form, så 3.part (for eksempel konsulenter) vil kunne benytte den i en krisesituation. 9.1.2 Netværksovervågning og -kontrol Netværksdriften skal løbende kontrolleres, lokalt eller med fjernovervågning, med henblik på hurtig afhjælpning af problemer og fejl. Kontrollen skal så vidt muligt udføres automatisk. Brug af fjernovervågning kræver godkendelse af anvendte løsning. Automatisk overvågning skal kunne sende alarmer til IT-medarbejderne. I forbindelse med afvikling af særlig forretningskritiske aktiviteter skal der etableres den nødvendige vagtordning. 9.1.3 Driftsrapportering, netværksdrift Væsentlige netværksproblemer og fejl skal registreres. 9.1.4 Ændringsstyring, netværk - Change Management Ændringer til netværkskonfiguration, kommunikationssystemer og tilsvarende skal forelægges den IT-driftsansvarlige for at sikre sameksistens med bestående og sikre korrekt implementering. Ændringen forestås af den ansvarlige systemejer og gennemføres så vidt mulig af flere personer (funktionsadskillelse). 9.1.5 Logning af aktiviteter og fejlrapportering Der er permanent overvågning af al trafik på nettet i form af logning. Der arbejdes med logning i områderne: Intern trafik, intern kommunikation samt intern/dmz. 9.2 Sikring af virksomhedens kommunikationslinjer 9.2.1 Sikring af virksomhedens kommunikationslinjer Virksomhedens elektroniske kommunikationslinjer og -systemer skal sikres på en måde, der hindrer uautoriserede indgreb, aflytninger, tapninger og andet der kan ødelægge, begrænse, manipulere eller føre til misbrug af systemerne.

Side 27 af 37


Der skal lægges særlig vægt på sikring af kommunikationen over åbne forbindelser (Internet, trådløs kommunikation, mobil transmission og lignende). Sikringsmetoderne skal løbende afprøves og nye teknikker løbende evalueres. 9.2.2 Netværkstopologi og konfiguration Det interne netværk bør være opbygget så enkelt som muligt, og samtidig så fleksibelt at det kan udvides og ændres efter behov. Netværket bør zoneopdeles, så muligheden for tab og kompromittering af data reduceres, samt til sikring mod, at et nedbrud ét sted i netværket river andre dele med sig. Netværkskomponenterne (hardware og software) skal være af anerkendte fabrikater og skal kunne leve op til gældende standarder for kommunikation og sikkerhed. Kommunikeres der over offentlige strækninger mellem filialer eller afdelinger, skal kommunikationen sikres mod fremmed indtrængen. 9.2.3 Internetopkobling og brug af firewall Opkobling til Internettet fra virksomhedens computere må kun ske via virksomhedens netværk. Forbindelsen skal være beskyttet og zoneopdelt med en eller flere firewall’s. Firewall´ens opsætningsparametre og regler på computere og firewalls skal periodisk sikkerhedskopieres, kontrolleres, og altid i forbindelse med ændringer i netværket (nye programmer eller enheder). Firewall´en skal periodisk afprøves med ekstern portscanning 9.2.4 Filtrering af indgående datastrøm gennem firewall Generelt anvendte filformater, som anvendes i virksomheden, skal ledes igennem. Pakkede og eksekverbare filer skal filtreres fra, idet omfang de udgør en sikkerhedsrisiko. Modtageren skal adviseres og godkende overførslen til lokalnettet. Data fra uønskede afsendere skal filtreres fra. IT skal vedligeholde disse filtre. 9.2.5 Filtrering af udgående datastrøm gennem firewall Generelt anvendte filformater, som anvendes i virksomheden, skal ledes igennem. Pakkede og eksekverbare filer skal filtreres fra, idet de udgør en sikkerhedsrisiko. Afsenderen skal adviseres og begrunde overførslen inden den videresendes. Der kan efter behov lukkes af for forsendelse fra navngivne brugere og/eller arbejdsstationer. Denne spærring og brugernes eventuelle ønsker om forsendelse skal godkendes. 9.2.6 Dial-in / dial-out Brug af modem i arbejdsstationer eller tilsvarende, som samtidig er tilsluttet virksomhedens netværk må kun ske efter godkendelse fra den IT, og skal begrundes med specifikke systembehov. 9.2.7 Sikring af service- og diagnose porte Service- og diagnoseporte på IT-udstyr skal normalt være blokerede, men må anvendes af godkendte partnere til opgradering og servicering efter aftale med den IT-ansvarlige. 9.2.8 Anvendelse og sikring af trådløse forbindelser Brug af trådløse forbindelser til virksomhedens netværk skal beskyttes mod aflytning, opsnapning af information og mod fremmed indtrængen. Trådløst udstyr må kun opkobles til virksomhedens lokalnet gennem Instituttets firewall. Trådløst udstyr må kun anvendes med godkendelse fra IT. 9.2.9 Tilslutning af netværksudstyr Kun udstyr godkendt af IT og med officielt sikkerhedssoftware må tilsluttes ethvert af Instituttets netværk Tilslutning af udstyr som for eksempel laboratorieudstyr må kun ske efter godkendelse af IT. Netværksstik, tokens til fjernopkobling, netværksudstyr og enhver maskinkonto (PC-adgang) til netværk deaktiveres, såfremt de ikke har været anvendt i tre måneder. IT forbeholder sig retten til på et hvert given tidpunkt og uden varsel at lukke for systemer på ethvert netværk af sikkerhedsmæssige årsager.

Side 28 af 37


9.2.10 Sikring i forbindelse med opkobling fra fjernarbejdspladser Opkobling til virksomhedens netværk fra fjernarbejdspladser (hjemme, hoteller, andre virksomheder, hot-spots m.fl.) må kun ske ved brug af særlige linjesikring (for eksempel VPN tunnelling) og med 2-faktor identifikation og validering. Fjernarbejdspladsens udstyr skal, så vidt muligt, være sikret med en firewall. 9.2.11 Brug af mobiltelefoni til dataoverførsel Opkobling til virksomhedens netværk fra mobiltelefoner må kun ske ved brug af særlig linjesikring. 9.2.12 Sikring ved brug af netværksanalysator Brug af netværksanalysatorer, med ekstern assistance, skal overvåges af en af virksomhedens IT-medarbejdere. Formålet med opgaven skal være dokumenteret og godkendt af den IT-ansvarlige. Opsamlede data må ikke fjernes fra virksomheden. 9.3 Drift af netværk eller web-sites hos ekstern serviceleverandør 9.3.1 Definition af leverancen, inkl. sikkerhedsaspekter Ved indgåelse af driftsaftaler for netværk, andet kommunikationsudstyr og web-sites (housing) skal det ønskede IT-sikkerhedsniveau fastlægges i kontrakten specielt med beskrivelse af fysiske rammer, og hvem der har adgang til virksomhedens udstyr. Ved outsourcing aftaler fastlægges kravene til IT-sikkerheden med udgangspunkt i de opgaver leverandøren skal løse, og med særlig vægt på adgang til virksomhedens systemer og data og sikkerhedskopiering. 9.3.2 Overvågning og revision af serviceleverandør Ved indgåelse af driftsaftaler for netværk, andet kommunikationsudstyr og web-sites med eksterne leverandører skal virksomhedens stille krav til overvågning, kontrol og revision af leverandørens håndtering af opgaverne, herunder rapportering af fejl og hændelser, som vil kunne kompromittere virksomhedens IT-sikkerhed. Leverandøren skal kunne præsentere en revisionsrapport uden væsentlige anmærkninger for de forhold virksomheden vægter højt. 10 ADGANGSSTYRING TIL SYSTEMER OG DATA 10.1 Administration af brugeradgang og rettigheder 10.1.1 Overordnet styring af adgang til IT-systemerne Adgang til virksomhedens systemer og data skal være rollebaseret og der igennem afspejle de daglige funktioner. Adgang til IT-systemer og data skal gives på need-to-know basis. Rollerne fastlægges i et samarbejde mellem system- og dataejerne og IT. Rollerne, som skal være dokumenterede, vurderes og justeres efter behov, for eksempel i forbindelse med organisationsændringer eller lignende omlægninger i virksomheden. Kun medarbejdere med tildelte initialer og underskreven aftale kan få adgang til Instituttets netværk. Tildeling af adgange til alle centrale systemer skal godkendes af Personaleafdeling. 10.1.2 Tildeling af IT-adgange og rettigheder Nye medarbejdere tildeles adgangsrettigheder til systemer og data i følge deres stillingsbetegnelse (rolle). IT-medarbejdere skal tildeles særskilt bruger-identifikation (systemkonti), til brug for arbejde med tekniske opgaver. Netværksadgang er senest tildelt på medarbejderens første arbejdsdag. Alle tildelinger og ændringer håndteres af Personaleafdelingen. Der gives adgang til fælles Institutressourcer og lokale ressourcer bestemt af tilknyttet arbejdsområde. Password oplyses til medarbejder ved henvendelse i IT. Password nulstilles og rettes ved første login. Den ansvarlige leder skal oplyse Personaleafdelingen om ansættelser, ændringer og afskedigelser.

Side 29 af 37


Administration af brugerne i systemerne skal udføres under hensyntagen til funktionsadskillelse. 10.1.3 Opbygning af password (kodeord) Personlige password (kodeord) til IT-systemerne skal være tilstrækkelige komplekse indenfor de rammer IT-systemerne stiller til rådighed. Password skal være unikke og må ikke genbruges, eller ligne de tidlige anvendte over et antal ændringer. Systemerne skal så vidt muligt kontrollere disse regler automatisk. 10.1.4 Tildeling af fælles bruger adgang Der må tildeles fælles bruger identifikation og password til en gruppe medarbejdere med særlige opgaver. Brugerprofilen (Labkonti) må kun oprettes af IT, og kontoen må ikke give adgang til personlige ressourcer herunder mail. 10.1.5 Tildeling af periodiske rettigheder I forbindelse med ferieafløsning eller tilsvarende, hvor en bruger (medarbejder, vikar eller anden) har behov for periodisk adgang og rettigheder: Medarbejdere kan selv give andre medarbejdere adgang til deres oplysninger i Outlook gennem rettighedsstyring. Stedfortræder rettigheder i Outlook må ikke benyttes (send på vegne af), med undtagelse af ressourcepostkasser. Automatisk videre sendelse af mail må kun ske til anden Institut-adresse, og aldrig eksternt for Instituttet. Password til netværk er strengt personlige og må aldrig overdrages. Øvrige rettighedstildelinger kan kun gives med skriftlig godkendelse fra ejeren eller med godkendelse fra Personaleafdelingen eller Direktion. 10.1.6 Ændring af IT-rettigheder ved funktions- eller afdelingsskift Ændring af en brugers adgang og rettigheder til IT-systemer og data skal ændres umiddelbart i forbindelse med, at en medarbejder skifter funktion eller afdeling. Ændringerne skal meldes til Personaleafdelingen. Kontrol af adgang og rettigheder skal gennemgå løbende revision. 10.1.7 Overdragelse af IT-ejerskaber ved funktions- eller afdelingsskift Ved en medarbejders skift af funktion eller afdeling skal nærmeste leder sikre at dataejerskaber overføres til andre medarbejdere, og at data på den fratrædendes PC (stationær og/eller bærbar) overføres til en andre medarbejdere hurtigst muligt. PC’ere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Databærende medier der har tilhørt ledende medarbejdere skal destrueres af IT. Der gives automatisk adgang til fælles Institutressourcer og lokale ressourcer bestemt af tilknyttet arbejdsområde. Telefonnummer, emailadresse, postkasse og personlige drev er uændret for flyttede medarbejdere. 10.1.8 Begrænsning af logon forsøg Så vidt de enkelte adgangssystemer kan sættes op til det, skal ukorrekte logon forsøg begrænses automatisk. Efter at det maksimale antal forsøg er brugt skal brugeren enten lukkes tidmæssig ude eller permanent lukkes og have tildelt ny adgangskode (password). Årsagen til de ukorrekte logon forsøg skal undersøges (fejl eller indtrængningsforsøg), og brugere, som gentagne gange har problemer med korrekt logon, skal vejledes. 10.1.9 Password - nulstilling Har en bruger glemt sit password, skal denne henvende sig personligt eller telefonisk til systemadministratoren, som nulstiller brugerens password.

Side 30 af 37


Password på netværkskonti må kun nulstilles efter kontrol af mobilnummer eller ved personligt fremmøde (sammenholdt med medarbejdersøgning). Systemadministratoren må ikke ændre password på baggrund af mail eller tilsvarende elektronisk henvendelse uden at foretage en kontrolopringning til brugeren, eller sende det nye password som mail. Brugeren skal umiddelbart efter ændre det tildelte password til et personligt password. Det skal kontrolleres at brugeren ændrer sit password. 10.1.10 Arbejdsstationer, ubemandede Skærmen på arbejdsstationer (inklusive bærbare) skal ’slukkes’ automatisk efter nærmere defineret (kort) tid uden aktivitet, samt når arbejdspladsen forlades midlertidigt. Skærmen ’åbnes’ igen ved brug af password eller fysisk identifikation (kort, token, biometri, andet). Arbejdsstationen skal slukkes inden arbejdspladsen forlades i længere tid, for eksempel ved arbejdstids ophør. 10.1.11 Revision og kontrol af bruger konti Der skal løbende udføres kontrol af brugerkonti og deres aktualitet. Inaktivitet i 3 måneder medfører spærring af:

• Netværkskonti. Kan kun genåbnes af IT ud fra kontrol af ansættelsesforhold. • VPN adgang. Kan kun genåbnes af IT ud fra kontrol af ansættelsesforhold. • Netværksstik. Kan genåbnes ved at kontakte IT. • PC eller anden hardware. Genåbning af adgang kan kun ske efter opdatering af udstyr.

Modtager medarbejder ikke løn i tre måneder spærres netværkskonti. Årsager skal undersøges og brugerkontoen eventuelt slettes. Har brugeren forladt virksomheden skal det kontrolleres, at ejerskaber, data mv. er blevet overdraget til andre medarbejdere. 10.1.12 Revision og kontrol af brugernes rettigheder System- og dataejere, alternativt en anden navngiven medarbejder, skal med faste intervaller revidere den aktive brugerbestand, brugernes adgang og rettigheder til IT-systemer og data, samt stikprøvevis kontrollere de løbende ændringer. Rekvisitioner og faktiske rettigheder skal sammenholdes. 10.1.13 Fysisk sikring af uovervåget IT-udstyr Uovervåget IT-udstyr, som befinder sig i offentlige tilgængelige områder, skal sikres mod tyveri ved mærkning. 10.1.14 Logisk sikring af uovervåget IT-udstyr Software og eventuelle data i uovervåget IT-udstyr (f.eks. PC baserede kundeterminaler) skal genopfriskes automatisk med intervaller der står i rimeligt forhold til antallet af brugere, samt terminalens informationsværdi for kunderne. 10.1.15 Logning af brugeraktiviteter Automatisk logning af aktiviteter i systemerne skal beskrive brugernes adfærd omkring adgange (til netværk, programmer og data), brug af Internetydelser, mail med videre. Brugerne skal være orienteret om at al information kan logges. Log informationerne skal behandles fortroligt, og må kun anvendes internt i virksomheden. Direkte overvågning af udvalgte medarbejdere iværksættes ved formodet støj, hacking og misbrug eller efter skriftlig henvendelse fra Personale eller Direktion. Alle eksterne mail (inkludere alle emner i Outlook) logges og arkiveres. Det er ikke muligt at slette mails på Teknologisk Institut. Alle tilslutninger med remote værktøjer - samt forsøg på tilslutning - logges med angivelse af bruger/pc som har taget adgang, samt tilslut- og frakoblingstidspunkt. 10.2 Styring af adgang til netværk 10.2.1 Identifikation og autentifikation af brugere

Side 31 af 37


Adgang til virksomhedens IT-netværk skal sikres med password. Hvor der måtte være særlige behov for kontrol, skal der anvendes 2-faktor identifikation. Kun medarbejdere med tildelte initialer kan få adgang til Instituttets netværk. 10.2.2 Identifikation af anvendt netværksudstyr Adgangskontrollen for opkobling af bærbart udstyr til virksomhedens netværk kan suppleres med identifikation af maskinens identitet. 10.2.3 Styring af brugsperioder, automatisk afbrydelse Adgang til virksomhedens IT-netværk kan for medarbejdere begrænses for alle til at omfatte normal arbejdstid + et antal timer før og efter. Ønskes ekstraordinær adgang skal dette godkendes af IT ledelsen. Adgangen skal tidsmæssigt begrænses for ikke-ansatte: Konsulenter, udviklere og tilsvarende eksterne. Adgangsperioden fra kundeterminaler og -automater skal begrænses, hvor det måtte være aktuelt. 10.3 Styring af adgang til operativ- og lignende systemer 10.3.1 Fabrikspassword på maskiner og i systemer Fabrikspassword – standard password, som følger med en ny maskine eller system, skal ændres når maskine eller system installeres i virksomhedens netværk. Password koden skal være tilstrækkelige kompleks og afvige væsentligt fra gængse bruger password og skal udskiftes med faste intervaller, samt efter brug af nød kode eller IT-medarbejders fratræden. Password, som udleveres til tekniker eller konsulent i forbindelse med installation eller problemløsning, skal ændres umiddelbart efter, at pågældende har afsluttet opgaven. Benyttes samme password i flere systemer skal password skiftes jævnligt og samtidig i alle systemer. 10.3.2 Brug og kontrol af nødkoder Logon identifikation (brugernavn + password) for adgang til kritiske enheder og systemer skal nedskrives, lægges i forseglet kuvert og anbringes i et tilgængeligt aflåst og brandsikret skab. Kuverten må brydes i nødsituationer, efter (telefonisk) godkendelse, hvor en nøglemedarbejder ikke kan træffes og tiden til fejlløsning er knap. Har kuverten været brudt skal det anvendte password ændres snarest efter at problemerne er løst, og kuverten skal retableres med den ny kode. Hændelsen skal registreres og rapporteres. 10.3.3 Brug af systemværktøjer Brug af systemværktøjer, der kan omgå de normale adgangs-, kontrol- og sikkerhedssystemer, må kun anvendes af IT-medarbejdere med den fornødne baggrund eller uddannelse. Brugen skal godkendes før arbejdet påbegyndes. Systemværktøjerne skal være sikret mod tilfældig og uretmæssig anvendelse. 10.3.4 Identifikation og autentifikation af brugere Adgang til virksomhedens IT-basissystemer (maskiner, operativsystemer mv.), som kun må gives til virksomhedens IT-medarbejdere skal sikres med password. Adgang til særligt følsomme systemer bør sikres med 2-faktor kontrol. 10.3.5 Styring af brugsperioder, automatisk afbrydelse Adgang til virksomhedens IT-forretningssystemer og data kan begrænses til at omfatte normal arbejdstid + et antal timer før og efter. Adgangen skal tidsmæssigt begrænses for ikke-ansatte: Konsulenter, udviklere og tilsvarende eksterne. Adgangsperioden og opkoblingstid fra kundeterminaler og - automater skal begrænses, hvor det måtte være aktuelt. 11 SYSTEM- OG PROGRAMUDVIKLING, VEDLIGEHOLDELSE MV. 11.1 Standard programmel 11.1.1 Anskaffelse og evaluering - programmel Anskaffelse af enhver art software applikation skal gå via IT, som skal vurdere produktets relevans, sammenhæng med øvrige systemer, sikkerhed med videre. Det ønskede software og applikation skal

Side 32 af 37


afprøves og evalueres inden den implementeres i produktionsmiljøet. Indkøbet skal godkendes af den kommende systemejer. 11.1.2 Licensforhold og -kontrol Gældende lovgivning på området skal overholdes, samt leverandørernes særlige licensbetingelser. IT skal registrere alt erhvervet software / applikationer med angivelse af antal købte licenser. Det faktiske antal anvendte licenser skal kontrolleres minimum årligt, og altid i forbindelse med fornyelse af licenser. 11.1.3 Test, godkendelse og igangsætning Al software og rettelser/opgraderinger til dette skal afprøves inden implementering i driftsmiljøet. Implementering må kun ske med den IT-driftsansvarliges godkendelse. 11.1.4 Vedligeholdelse, opgradering Standard software skal løbende opgraderes i takt med at leverandørerne udsender ændringer/rettelser, og på en måde der sikrer afbalancering af kompatibilitet med øvrige systemer. Relevansen af enhver rettelse skal vurderes, rettelserne prioriteres og installationen skal følge reglerne for test. Opdatering af PC’ere distribueres centralt. Antivirus har herudover lokal opdateringsprofil mod antivirus leverandør, der henter opdateringer direkte indenfor tre timer efter logon. Opdateringer testes hos udvalgte brugere (10%) mindst i en uge før fuld distribution. Resultat af test skal forelægges IT ledelsen og afvente godkendelse. Større opdatering som Servicepacks skal gennem en ekstra testrunde før godkendelse. Ansvar for sikkerhedsopdateringer af maskiner på Specialnet og Gæstenet ligger hos systemejeren. Opdatering af Servere varetages og håndteres manuelt i Driften. Opdateringer gennemføres månedligt. Kritiske opdateringer installeres hurtigst muligt efter godkendelse fra IT ledelsen. Alle installerede opdateringer gennemtestes af systemansvarlig før ændringer og klarmelding sendes til driftsansvarlig. 11.2 Generelt for udvikling af applikationer 11.2.1 Definition af udviklingsopgaven, inkl. sikkerhedsaspekter For enhver udviklingsopgave skal der foreligge en beskrivelse af opgaven, samt en tilstrækkelig kravspecifikation. Der skal lægges særlig vægt på sikkerheden omkring systemets datahåndtering, indbyggede kontroller for datavalidering, beregninger, dataudveksling med videre, og for styring og kontrol med brugeradgang og rettigheder. Sikkerhedsaspekterne, herunder en risiko-/konsekvensvurdering skal diskuteres og gennemføres. 11.2.2 Systemets sikkerhedsmæssige aspekter I forbindelse med design og udvikling af nye applikationer, skal de sikkerhedsmæssige aspekter og påvirkninger af kørende systemer, elektroniske procedurer og manuelle forretningsgange specificeres og vurderes. Der skal udføres en analyse af de forretningskonsekvenser, der følger, hvis systemet ikke kører. Det skal godkendes, at applikationen lever op til regler og intentioner i indeværende sikkerhedspolitik. 11.2.3 Definition af systemets indbyggede kontroller Systemers indbyggede kontroller skal være dokumenterede. Nødvendige eksterne kontroller af inddata/uddata skal være dokumenterede. 11.2.4 Adgangskontrol og brugerstyring i nye applikationer I udvikling af nye applikationer skal man sikre, at den nødvendige kontrol af brugeres adgang til systemet, dets funktioner og data kan styres på rolleniveau, herunder administration af adgangsrettighederne. Tilsvarende skal data kunne beskyttes mod adgang fra uautoriserede programmer. De benyttede adgangskoder (password) skal lagres i sikret krypteret form. Adgang til væsentlige funktioner og følsomme data skal logges til brug for revision.

Side 33 af 37


11.2.5 Opbygning og sikring af systemdokumentation Der skal fra projektets start udarbejdes den nødvendige systemdokumentation, Systemdokumentationen inklusive diagrammer, tegninger, tabeller med mere skal arkiveres. 11.2.6 Rettigheder og ophavsret til design og kode Virksomheden ejer alle rettigheder til applikationer udviklet af ansatte medarbejdere, hvilket skal være anført i medarbejdernes ansættelseskontrakter. Virksomhedens ophavsret, brugsret og ret til ændringer i applikationer skal aftales og sikres gennem kontrakt med ekstern udvikler. Det skal være muligt at foretage nødvendige rettelser uden om den primære udvikler, i det omfang denne ikke har tid eller mulighed for at udføre opgaven indenfor virksomhedens tidskrav og behov. 11.2.7 Versionsstyring og ændringsstyring af programudgaver Udviklere - interne som eksterne - skal benytte versionsstyring i udviklingsforløbene. 11.2.8 Brug af produktionsdata i testforløb Produktionsdata må kun benyttes i testforløb i kopiform efter godkendelse af ansvarlig system- og dataejer. Forretningskritiske data og data omfattet af Registerlovgivningen må kun benyttes i begrænset omfang, og skal altid anonymiseres før brug. Anvendelse af denne type data skal begrundes skriftligt af rekvirenten. Det skal sikres at data opbevares minimum under samme sikkerheds- og sikringsforhold som angivet i indeværende IT-sikkerhedspolitik. Overførsel til eksterne udviklere må kun ske efter dataejerens godkendelse. 11.2.9 Test, godkendelse og igangsætning af forretningssystemer Alle forretningssystemer, nye, rettelser og opgraderinger til disse skal afprøves inden implementering i driftsmiljøet. Implementering må kun ske med den IT-driftsansvarliges godkendelse. 11.3 Særligt for ekstern programudvikling 11.3.1 Kildekode deponering for eksternt udviklede programmer Ved særligt kritiske systemer skal kopi af programkode - alle versioner - samt kopi af relevant dokumentation for koden, skal sikres ved deponering, som sikrer adgang til koden og dens videreudvikling. Kravet skal være anført i alle udviklingskontrakter. Deponeringen skal være løbende dokumenteret. Adgang til koden skal kunne opnås indenfor 30 dage fra et eventuelt forretningskollaps hos udviklingsfirmaet. 11.3.2 Leverandørens adgang til produktionsdata i testforløb Produktionsdata må kun benyttes i testforløb i kopiform efter godkendelse af ansvarlig system- og dataejer. Forretningskritiske data og data omfattet af Registerlovgivningen må kun benyttes i begrænset omfang og skal anonymiseres før brug. Anvendelse af denne type data skal begrundes skriftligt. Begrundelsen skal arkiveres som til brug for revision. Leverandøren skal slette alle former for testdata, inklusive eventuelle sikkerhedskopier, umiddelbart efter at resultaterne af et testforløb er godkendt. 11.4 Administration og styring af web-sites 11.4.1 Styring og kontrol af virksomhedens domænenavne Ansvaret for domænenavne ligger hos IT, som løbende skal føre en liste over virksomhedens registrerede domæne navne. Listen skal revideres minimum én gang om året. Der skal føres periodisk kontrol af om andre virksomheder har registreret .dk domænenavne som kan føre til vildledning på nettet. Sager med begrundet mistanke skal anmeldes til DK-Hostmaster A/S (ansvarlig for alle danske domænenavne). 11.4.2 Ansvar for vedligeholdelse af informationer på web-sites

Side 34 af 37


Indholdet på virksomhedens hjemmesider skal være løbende ajourført. Hjemmesider og CMS system (Content Management System) skal have en ansvarlig system- og dataejer. Adgang til oprettelse, indhold, ændring og sletning af informationer omfattes af henholdsvis virksomhedens regler for (rollebaseret) adgang. Vedligeholdelsen skal, så vidt muligt, være funktionsadskilt med bidragsydere og en redaktør. 11.4.3 Ansvar for regler og lovgivning for e-handel via web-sites Indhold og beskrivelser på virksomhedens hjemmesider skal som minimum leve op til lovgivningens krav for området. Beskrivelserne skal fremstå klart og tydeligt i opsætning og sprogbrug, og tydeligt fremgå af menu, faneblad eller tilsvarende designteknik. Teksterne skal løbende kontrolleres og justeres i takt med ændringer i lovgivningen. E-handelssystemet skal om muligt være registreret og godkendt med e-mærket fra E-handelsfonden. 11.4.4 Kunders / borgeres adgang til information via web-sites Adgang til informationssystemer i virksomheden skal sikres gennem entydig identifikation af brugeren (kunden/borgeren), og adgangen til data begrænses til at omfatte virksomhedens generelle informationer. Brugeridentifikation og eventuelt kodeord er tidligere fremsendt til kunden. Skal brugeren have adgang til egne registrerede data skal adgangen sikres med et entydigt kodeord, som tidligere er sendt til brugerens post- eller mail adresse. 11.4.5 Sporing (tracking) af kunders adfærd på hjemmesiden Fra virksomhedens hjemme- og handelssider må brugeradfærd spores til statistisk behandling. Foregår sporingen på IP adresser, skal brugerne give deres samtykke til registreringen. Brugerne skal altid adviseres om sporingsaktiviteten på siderne. Registerlovens forskrifter om indsamling og lagring af oplysninger skal overholdes. 12 STYRING AF SIKKERHEDSHÆNDELSER 12.1 Advarselssystemer 12.1.1 Forhåndsvarsler om sikkerhedstrusler på vej IT skal abonnere på tjenester, der løbende og hurtigt via mail og/eller SMS, kan varsle om trusler mod IT-sikkerheden med henblik på imødegåelse. Der skal være etableret forsvarssystemer og procedurer til brug for imødegåelse af truslerne, og til opretning af skaderne, hvis forsvaret ikke er tilstrækkeligt. 12.2 Rapportering 12.2.1 Rapportering af sikkerhedshændelser Sikkerhedshændelser skal rapporteres til IT-chefen, og skal omgående registreres. Konstaterede sikkerhedsbrud skal hurtigst muligt udbedres. Udtræk over sikkerhedsbrud skal fremlægges på det kommende møde i IT-forretningsrådet og/eller forelægges ledelsen til orientering. 12.2.2 Rapportering af sikkerhedssvagheder og -eksponeringer Sikkerhedssvagheder og konstaterede mangler skal omgående rapporteres til IT-chefen. IT-chefen skal løbende sikre at konstaterede sikkerhedssvagheder og -mangler udbedres hurtigst muligt. Udtræk over sikkerhedssvagheder og mangler skal fremlægges på kommende møde i IT-forretningsrådet eller på anden vis forelægges ledelsen til orientering. 12.2.3 Mistanke om - og konstaterede sikkerhedsbrud Ved mistanke om eller konstatering af brud på sikkerheden skal IT-chefen, alternativt nærmeste leder, informeres. Rapportering af hændelsen følger politik og regler for sikkerhedshændelser. Sikring af systemdokumentation og udbedring skal iværksættes omgående. 12.2.4 Anvendelse af logfiler til investigering

Side 35 af 37


Alle systemlog´s skal sikres mod manipulation og sletning. Væsentlige system log’s skal gemmes i en længere defineret periode. Log´s som beskriver brugeradfærd må kun kunne læses af IT-medarbejdere, og kun i forbindelse med løsning af aktuelle fejl eller kriminel investigering. Adgang, databeskyttelse, sikkerhedskopiering med videre skal håndteres fortroligt. 12.3 Forsikringer og ansvar 12.3.1 Forsikringer Virksomhedens forsikringer for IT området skal periodisk gennemgås med henblik på justeringer. 12.3.2 Ansvar ved brug af vagtselskaber Virksomheden skal følge op på, at de aftalte vagt-/vægterydelser leveres tilfredsstillende, 12.4 Kriminelle akter 12.4.1 Håndtering af kriminalitet (medarbejdere) Ved mistanke om eller konstateret kriminel akt til skade for virksomheden, forårsaget af en fast eller løst tilknyttet medarbejder, eksempelvis tyveri af udstyr, software og lignende, tyveri eller misbrug af forretningsinformationer eller manipulation med økonomiske data, skal ledelsen omgående informeres. Ledelsen afgør det videre forløb i virksomheden og hvorvidt sagen skal meldes til politiet. 12.4.2 Håndtering af kriminalitet (eksterne) Ved mistanke om eller konstateret kriminel akt til skade for virksomheden, forårsaget af gæster, leverandører eller andre typer udefra kommende personer, eksempelvis tyveri af udstyr, software og lignende, tyveri eller misbrug af forretningsinformationer eller manipulation med økonomiske data, skal ledelsen omgående informeres. Ledelsen afgør sagens videre forløb, og om hvorvidt sagen skal meldes til politiet. 12.4.3 Sikring af og indsamling af beviser Ved mistanke om eller konstateret kriminel akt mod virksomhedens IT-systemer og anvendelse skal de nødvendige beviser sikres hurtigst muligt til eventuel brug for politimyndighederne. Analyser af databærende medier skal så vidt muligt udføres på kopier. 12.4.4 Anvendelse af logfiler til investigering Opsamlede system logger stilles umiddelbart til rådighed for investigering af såvel problemer og fejl, som i forbindelse med undersøgelser af mulig eller gennemført kriminel akt. Kun virksomhedens IT-medarbejdere og eventuelt tilkaldte IT-specialister (herunder politimyndigheder) må få adgang til log informationerne. Investigering skal altid foregå på en kopi af en given log. 12.5 Kontroller og revision 12.5.1 Generel udførelse af kontroller Virksomhedens ledelse er ansvarlig for, og skal sikre at beskrevne sikkerhedsforskrifter overholdes. 12.5.2 Intern IT-revision Virksomheden skal gennem brug af intern IT-revision sikre, at det ønskede sikkerhedsniveau fastholdes, og at negative afvigelser registreres og udbedres. 13 VURDERING AF RISICI, SÅRBARHEDER OG KONSEKVENSER 13.1 Forretningsrisici og konsekvenser 13.1.1 Vurdering af forretningsrisici Der skal løbende foretages analyser af Teknologisk Instituts mest forretningskritiske systemer, dvs. de som ved længerevarende nedbrud påfører virksomheden forretningsmæssige tab (bundlinie, likviditet, kundeloyalitet) - direkte eller indirekte.

Side 36 af 37


For hvert af virksomhedens forretningssystemer skal de økonomiske konsekvenser ved nedbrud over tid klarlægges. Akkumuleres tabene, er tabene konstante, er systemet mere følsomt i særlige månedsperioder, på bestemte ugedage eller datoer osv. På baggrund af de beregnede økonomiske konsekvenser udarbejdes en liste over de mest forretningskritiske systemer. Virksomhedens IT-infrastruktur er en nødvendig forudsætning for driften af de øvrige systemer og vil derfor være del af analysen. Nedbrud på IT-infrastrukturen giver almindeligvis ikke tab i sig selv; tabet henhører under det enkelte forretningssystem. Som udgangspunkt skal alle systemer klassificeres efter følgende model:

• Primære systemer P1 • Sekundære systemer P2 • Systemer uden prioritering P3

Der skal vedligeholdes oversigter og procedurer for alle P1 og P2 systemer. Medarbejdere i IT skal have nødvendige kompetencer for driftsafviklingen. Herudover skal der være tilknyttet konsulenter, der kan rådgive og afhjælpe problemer med systemerne. Til hvert system skal der altid som minimum være udpeget en systemadministrator og en systembackup. Systemerne skal undergå løbende overvågning og der skal tages backup af alle data og systemfiler løbende. Genetablering af P1 systemer skal altid prioriteres højest af alle opgaver. Organisationen skal løbende varsles om alternativer og muligheder, der gør medarbejderne i stand til at udføre deres arbejde. 13.1.2 Årsag/Sandsynlighed for fejl Der skal løbende foretages analyser der identificerer de væsentligste risici med henblik på at kunne imødegå og reducere dem med såvel forebyggende som udbedrende tiltag. For systemerne vurderes sandsynligheden for, at de rammes af forskellige hændelser - indefra såvel som udefra -, f.eks. betjeningsfejl, tekniske fejl på maskiner og systemer, sandsynligheden for hacking og virusangreb, strømsvigt, internetsvigt, vandskader, brand og andet relevant. Hændelserne kan være direkte opstået i virksomheden, f.eks. betjeningsfejl eller manglende sikkerhedskopi, eller indirekte påført af omgivelserne, f.eks. brand eller kemisk udslip fra nabovirksomheder. Analysen bør som minimum gennemføres årligt, eller i forbindelse med større IT-omlægninger. Nye systemer skal løbende indplaceres i eksisterende analyse. 13.1.3 Kritiske komponenter Kritiske komponenter skal løbende identificeres (f.eks. servere, netværkspunkter, databaser o.a.) med henblik på en spredning af risikoen hvor flere forretningskritiske systemer rammes af samme hændelse, eller af en dominoeffekt. For systemerne klarlægges eventuelle sammenfald i anvendelsen af maskin- og systemressourcer, f.eks, placering af databaser og andre filer på samme server, eller brug af andres fælles ressourcer. En efterfølgende spredning af de forretningskritiske systemer til dedikerede ressourcer vil, ud over at begrænse følgevirkningerne af en fejl, ofte kunne forenkle nødprocedurer og beredskab. Dataflowet mellem de forretningskritiske systemer (kritiske data) skal identificeres med henblik på særlig sikring og kontrol for at reducere konsekvenserne af datafejl og mangler. Analysen bør gennemføres årligt, eller i forbindelse med større IT-omlægninger. Nye systemer skal løbende indplaceres i eksisterende analyse. 13.1.4 Ensartet og enkelt Systemer og netværk skal løbende vurderes, så de opbygges så ensartet og enkelt som muligt. Det er et mål at anvende så almindeligt og gennemtestet hardware og systemer som overhovedet muligt.

Side 37 af 37


Der skal anvendes så få varianter af hardwarekomponenter, og de skal om muligt opsættes med samme konfigurationer og indstillinger. Antallet af forskellige leverandører skal derfor minimeres. Nuværende kompetencer i IT skal vurderes ved enhver indførelse af teknologi, og kompetencevurderingen skal have en overvejende indflydelse på valg teknologi, så længe den ikke begrænser forretningens udvikling væsentligt. 13.1.5 Omstillingsevne Implementering og udvikling af medarbejder- eller kunderettede systemer skal løbende vurderes i forhold til funktion og behov. Ethvert system skal tænkes som et sæt af funktioner eller services, der forbedrer forretningen eller minimerer omkostninger. Enhver binding mellem funktioner eller services skal minimeres både på kort og på lang sigt. I økonomiske analyser skal det antages at bindingerne hindrer fremtidig omstillingsevne i forhold til forretningen, kundebehov, organisationsændringer eller ændrede arbejdsgange. Analysen skal ske under hensyntagen til de meromkostninger, det må medføre for udvikling og implementering. Systemer til bestemte funktioner eller services skal anvendes som tiltænkt, og ændringer i datamodeller skal undgås. I den sammenhæng skal softwareudvikling og implementering tænkes ud fra det samme tekniske paradigme.

it -sikkerhedspolit ik teknologisk institut...side 1 af 37 it-sikkerhedspolitik v. 4.5 marts 2012 it...

Documents