Indhold

Informationssikkerhedspolitik

Mappen ’Informationssikkerhedspolitik’ skal indeholde en beskrivelse af den generelle IT-sikkerhed i virksomheden.

Informationssikkerhed dækker både fysisk sikkerhed (fritliggende dokumenter med personoplysninger, clean desk, makulering, låse på skabe, alarmer mm.) og teknisk sikkerhed; er jeres it-systemer opdateret og udstyret med de nødvendige sikkerhedsforanstaltninger som passwords; og er jeres computere sikret med antivirus etc., samt organisatorisk sikkerhed; er der formaliserede politikker for sikkerheden og bliver medarbejderne trænet heri etc.

OBS. Det er ikke nødvendigt for de helt små virksomheder. Her kan du i stedet vælge at udvide afsnittet om sikkerhed i mappen ’Persondatapolitik’, men hvis du vælger at udfylde dette punkt, bestemmer du helt selv hvor omfattende du gør din politik.

Eksempel på passwordpolitik

Denne passwordpolitik gælder alle e-mailkonti hos "Firma" og skal sikre et minimum af kompleksitet for alle passwords. Dermed bliver de sværere at gætte, og dine data er bedre beskyttet.

Du skal skifte dit password hvert halve år. 1 uge før dit password udløber, vil du modtage en mail, der opfordrer dig til at skifte. Tidspunktet vil være individuelt og afhænger af, hvornår du sidst har skiftet.

Krav til dit nye password er: Det må ikke indeholde dele af dit navn og du må ikke genbruge passwords. Det skal bestå af mindst 10 karakterer og indeholde mindst 3 ud af flg. 4 kategorier: Store bogstaver (A-Z) Små bogstaver (a-z) Tal (0-9) Specialtegn. (,.!@?+-)

Nedenfor kan du se hvad vi anbefaler at en informationssikkerhedspolitik indeholder:

  1. Formål
  2. Omfang
  3. Hovedmålsætninger og sikkerhedsniveau
  4. Organisation og ansvar
  5. Klassifikation
  6. Overtrædelse af informationssikkerhedspolitikken
  7. Bilag 1 - Informationssikkerhedshåndbogen
    1. Risikovurdering og -håndtering
    2. Overordnede retningslinjer
      1. Informationssikkerhedsstrategi
    3. Organisering af informationssikkerhed
      1. Interne organisatoriske forhold
      2. Mobilt udstyr og fjernarbejdspladser
    4. Medarbejdersikkerhed
      1. Sikkerhedsprocedure før ansættelse
      2. Under ansættelsen
      3. Ansættelsens ophør eller ændring
    5. Styring af informationsrelaterede aktiver
      1. Identifikation af og ansvar for informationsrelaterede aktiver
      2. Klassifikation af informationer
      3. Mediehåndtering
    6. Adgangsstyring
      1. De forretningsmæssige krav til adgangsstyring
      2. Administration af brugeradgang
      3. Brugernes ansvar
      4. Styring af system- og applikationsadgang
    7. Kryptografi
      1. Kryptografiske kontroller
    8. Fysisk sikring og miljøsikring
      1. Fysisk sikring
      2. Udstyr
    9. Driftssikkerhed
      1. Driftsprocedurer og ansvarsområder
      2. Malwarebeskyttelse
      3. Backup
      4. Logning og overvågning
      5. Styring af driftssoftware
      6. Sårbarhedsstyring
      7. Overvejelser i forbindelse med audit af informationssystemer
    10. Kommunikationssikkerhed
      1. Styring af netværkssikkerhed
      2. Informationsoverførsel
    11. Anskaffelse, udvikling og vedligeholdelse af systemer
      1. Sikkerhedskrav til informationssystemer
      2. Sikkerhed i udviklings- og hjælpeprocesser
      3. Testdata
    12. Leverandørforhold
      1. Informationssikkerhed i leverandørforhold
      2. Styring af leverandørydelser
    13. Styring af informationssikkerhedsbrud
      1. Styring af informationssikkerhedsbrud og forbedringer
    14. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring
      1. Informationssikkerhedskontinuitet
      2. Redundans
    15. Overensstemmelse
      1. Overensstemmelse med lov- og kontraktkrav
      2. Gennemgang af informationssikkerhed

Beredskabsplan

Hvad er en beredskabsplan?

En beredskabsplan skal ses som et praktisk redskab, som du og dine medarbejdere bruger, når et databrud skal håndteres. Planen skal tilpasses til de særlige forhold, der gælder din virksomhed, og beskriver hvordan den overordnede krisestyring skal foregå. Her er det vigtigt at have en udførlig plan på plads, så I er klar i det øjeblik, et databrud indtræffer.

Indholdet og mængden af informationer, som beredskabsplanen indeholder, afhænger af din virksomheds størrelse. For den mindre virksomhed er en procedure for anmeldelse af et brud tilstrækkelig (du noterer blot, hvad vil du gøre ved et brud).

Hvad indeholder en beredskabsplan?

En beredskabsplan indeholder konkrete planer og fastlagte procedurer. Den bidrager til organisationens evne til at handle og øger således muligheden for hurtigt at reagere på krisen, når den opstår.

For at få en brugbar beredskabsplan er der nogle retningslinjer du kan holde dig til. Du kan eventuelt tage afsæt i følgende punkter, når du udarbejder din beredskabsplan.

  • Den skal være handlingsorienteret – planen skal lynhurtigt give et overblik over de opgaver, der skal handles på, og hvem der skal udføre dem (ved fravær hvem tager så over?)
  • Den skal være overskuelig – planen bør ikke være for omfattende, da du risikerer at ingen læser den.
  • Den skal indeholde en beskrivelse af i hvilke situationer/ved hvilke hændelser at planen skal sættes i gang.
  • Den skal indeholde beskrivelser af, hvorledes konkrete opgaver skal udføres.
  • Den skal være ajourført – ellers har den ingen relevans. Sørg for at procedurerne for opdatering af planen findes i indledningen.
  • Den skal være tilgængelig – sørg for at alle medarbejdere har adgang til den.
  • Den skal læses – sørg for at alle medarbejdere har læst og forstået beredskabsplanen.

Hvis du får databrud

En beredskabsplan indeholder konkrete planer og fastlagte procedurer. Den bidrager til organisationens evne til at handle og øger således muligheden for hurtigt at reagere på krisen, når den opstår.

For at få en brugbar beredskabsplan er der nogle retningslinjer du kan holde dig til. Du kan eventuelt tage afsæt i følgende punkter, når du udarbejder din beredskabsplan.

  • Den skal være handlingsorienteret – planen skal lynhurtigt give et overblik over de opgaver, der skal handles på, og hvem der skal udføre dem (ved fravær hvem tager så over?)
  • Den skal være overskuelig – planen bør ikke være for omfattende, da du risikerer at ingen læser den.
  • Den skal indeholde en beskrivelse af i hvilke situationer/ved hvilke hændelser at planen skal sættes i gang.
  • Den skal indeholde beskrivelser af, hvorledes konkrete opgaver skal udføres.
  • Den skal være ajourført – ellers har den ingen relevans. Sørg for at procedurerne for opdatering af planen findes i indledningen.
  • Den skal være tilgængelig – sørg for at alle medarbejdere har adgang til den.
  • Den skal læses – sørg for at alle medarbejdere har læst og forstået beredskabsplanen.

Hvis du får databrud

Hvis persondata er blevet kompromitteret og det der er hændt sandsynligvis indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder skal Datatilsynet uden unødig forsinkelse og om muligt inden for 72 timer orienteres af den dataansvarlige.

Du skal ikke hænge dig for meget i begrebet ”om muligt”, for der skal være en meget god grund til at udsætte anmeldelsen. Du skal under alle omstændigheder kunne redegøre for en eventuel forsinkelse over for Datatilsynet.

Hvis du er ude af stand til at levere alle oplysninger straks, er der mulighed for ved orienteringen at forklare forsinkelsen og samtidigt oplyse, hvornår du forventer at kunne opfylde pligten. Det kan fx ofte være svært at vurdere hvor mange personer, der er berørt af sikkerhedsbruddet.

En databehandler skal på samme måde orientere den dataansvarlige ”hurtigst muligt”. Begge dele baseres på tidspunktet for opdagelsen af sikkerhedsbruddet, ikke det aktuelle kompromitteringstidspunkt.

Når et brud indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige også underrette de fysiske personer om bruddet uden unødig forsinkelse.

Sådan anmelder du et brud

For at ensrette informations-flowet og gøre det nemmere at anmelde et brud er der på Virk.dk etableret en løsning til anmeldelse af databrud, du finder et link til anmeldelse her:

Her finder du også yderligere vejledninger og en trin-for-trin guide til indberetning af brud. Anmeldelsesskemaet er dynamisk dvs. alt efter hvilke spørgsmål du besvarer, dukker der supplerende spørgsmål op.

SKRIV ALDRIG DE BERØRTES PERSONLIGE OPLYSNINGER IND I SKEMAET.

Nedenstående punkter indgår altid i skemaet og er derfor vigtige at overveje, inden du går i gang med at udfylde blanketten.

Efter udfyldelse og indsendelse af blanketten på Virk.dk videresendes den til Datatilsynet. Hvis det bliver nødvendigt med yderligere oplysninger, kan du efterfølgende blive kontakte af Datatilsynet.

VIGTIGT - husk at downloade en kopi af den udfyldte blanket, når du har sendt den. Din kopi er dit bevis for, at du har foretaget en indberetning. Erhvervsstyrelsen sletter anmeldelser efter 30 dage.

Flowchart ved databrud

Hvornår skal der ske anmeldelse af brud til Datatilsynet, og hvornår skal der ske underretning af de registrerede (fysiske personer)

Hvornår skal der ske underretning af fysiske personer?

Ovenstående flowchart viser, at Forordningen - udover pligten til at anmelde databrud til Datatilsynet – også indeholder en forpligtelse til at underrette de involverede fysiske personer i tilfælde af brud på persondatasikkerheden. Det kan fx være ved lækkede følsomme oplysninger, eller hvor databrudshændelsen på anden måde medfører en risiko, hvis oplysningerne kommer i de forkerte hænder – fx personnumre, kreditkortoplysninger eller login-oplysninger (passwords).

Kommunikation under og efter et databrud

Kræver dit databrud en underretning enten til medier eller fysiske personer, der er blevet kompromitteret, er et beredskab for krisekommunikation en nødvendighed. Kommunikationen skal også sikre tilliden til, at virksomheden arbejder målrettet på at imødegå konsekvenserne af hændelsen, der altså følges op med relevant, rettidig og korrekt information til borgerne. Her skal i på forhånd have afklaret:

  • Hvem har ansvaret for krisekommunikationen?
  • Hvilke kanaler benytter I til at kommunikere med offentligheden (samarbejde med medier, pressemøder, egne hjemmesider, sociale medier mv.)?

Anmeldelse til Datatilsynet

En anmeldelse til Datatilsynet skal ske uden unødig forsinkelse og senest 72 timer efter, at virksomheden er blevet bekendt med databruddet. Det er ikke alle brud, der skal meldes; det afgøres af, om der er sket en kompromittering af persondata.

Hvad er et databrud?

Et databrud kan være mange ting fx et hackerangreb, læk af data på internettet, fejl i it-systemer eller et indbrud i virksomheden. Det kan også skyldes helt almindelige menneskelige fejl - som fx at man sender en mail med personoplysninger til en forkert modtager, eller man mister et USB-stik, en bærbar PC, smartphone eller anden mobil enhed, der indeholder eller giver adgang til personoplysninger. Når en medarbejder ved et uheld sletter eller ændrer personoplysninger, er der også tale om et brud.

Eksempel - Anmeldte sager til Datatilsynet

CPR-numre blev uberettiget tilgængelige via borgeradgang til et offentligt system. Ved en fejl blev et CPR-nummer ikke anonymiseret i en aktindsigt. Mails fremsendt med bilag indeholdende navn og CPR-nummer. En hjemmeside viste – også til uberettigede – borgeres navn, adresse, CPR-numre og karaktergennemsnit. Et udsendt referat videregav beskyttet adresse på borger.

Hvilke databrud skal IKKE anmeldes?

Et hackerangreb, hvor hackeren ikke får adgang til persondata eller flere forgæves forsøg på log in.

DDoS (Distributed Denial-of-Service) angreb, hvor en hacker forsøger at genere jeres server så meget, at angrebet forårsager et nedbrud.

Tab af en telefon eller PC som IT-afdelingen har mulighed for hurtigt at kunne slette alt data på.

Data er ved en fejl blevet slettet men reetableres hurtigt via et backup-system.

Se flere eksempler på side 33-37 i denne vejledning: https://www.datatilsynet.dk/media/6558/haandtering-af-brud-paa-persondatasikkerheden.pdf

Databrudslog

Virksomheden skal føre en log (oversigt) over databrud, hvor du skal registrer alle databrud og konsekvensvurdere. Hvis ikke databruddet udgør en risiko for de registrerede, så har du ikke pligt til at anmelde bruddet til Datatilsynet, med det skal stadig skrives ind i databrudsloggen.

Det står dig frit for hvordan du vil løse opgaven og hvilket program du vil benytte dig af, det kunne være Word, Excel eller lign. Der er heller ikke krav til selve udformningen af dokumentet, om det er et skema eller en liste. Det er dog et krav at sikkerhedsbruddet registreres og at risikoen for de registrerede vurderes, så en vurdering af om der skal ske anmeldelse til Datatilsynet kan foretages.

TIP: Det virker besynderligt hvis en virksomhed over en periode på f.eks. et år ikke har oplevet nogle former for sikkerhedsbrud. Dvs. en tom databrugslog kan vække mistanke hos tilsynsfolk.

Hvad er et databrud?

Husk på at et brud kan være mange ting, har en medarbejder sendt en mail med personfølsomme oplysninger, til en forkert adresse er det et brud. Andre eksempler er tyveri af PC, fejl i IT-systemet, indbrud i virksomheden.

En databrudslog kan eksempelvis indeholde:

1. Information om rapportør

  • Navn, Tlf., E-mail, Kontor/afdeling

2. Baggrundsinformation om hændelsen

  • Dato og varighed for hændelse.
  • Hvor indtraf hændelsen, fx fysisk adresse, pc-navn/nr. systemnavn, netværk.
  • Hvordan blev den opdaget, fx system log, lange svar tider, indbrud, besked fra andre.

3. Beskrivelsen af hændelsen

  • Hvilken type var hændelsen? Fx virus, DDoS (Distributed Denial-of-Service) angreb, hvor en hacker blot forsøger at genere jeres server så meget at den bryder sammen. Uautoriseret adgang, tyveri af maskine, mistet data.
  • Hvad var årsagen? Fx download fra internet, åbent vindue, misforstået procedure.
  • Hvor alvorlig er hændelsen? Fx lav (offentlige data), middel (interne data) og høj (følsomme data) .
  • Hvad er påvirket af hændelsen? Fortrolighed / integritet / tilgængelighed af data.

4. Opfølgning på hændelsen

  • Vurdering af risikoen ifm. hændelsen Datatilsynet skal underrettes indenfor 72 timer hvis der er risiko for at personers rettigheder og frihedsrettighed krænkes.
  • Hvem er evt. informeret? Fx departementet, serviceportal, myndighed, CFCS.
  • Hvordan er skaden begrænset? Fx ’inficeret pc taget af nettet’, ’forbindelse til andre systemer stoppet’.
  • Hvem deltog i løsningen? Fx leverandøren, sikkerhedsspecialist, CFCS, SIT.
  • Kan hændelsen genopstå? Fx ’nej – den uautoriserede adgang er fjernet i adgangskontrollen’
  • Log-oplysninger. Eksisterer der log over forløbet.
  • Supplerende oplysninger. Tekniske informationer, fx karakteristika, styresystem, IP-adresse, politianmeldelse.

PersondataSupport ApS

Sverigesvej 10
DK-8700 Horsens

CVR-nr. 38582356

PDS Norge as

Fyrstikalléen 3A
NO-0661 Oslo

Org-nr. 916517572

Kontakt - NO

(+47) 922 92 400