IT Sikkerhedspolitik

Sikkerhedspolitikken skal til enhver tidunderstøtte Aider Danmarks værdigrundlag og vision samt de strategiske mål, derer i IT-strategien.

Hensigten med sikkerhedspolitikken erendvidere at tilkendegive over for alle, som har en relation til Aider Danmark,at anvendelse af informationer og informationssystemer er underkastetstandarder og retningslinjer.

Aider Danmark ønsker derfor at opretholde ogløbende udbygge et IT-sikkerhedsniveau på højde med de krav, som skitseres i’Den fællesstatslige standard for informationssikkerhed’ (DS 484 basale krav).Kravene skærpes på veldefinerede områder, hvor der er specielle lovkrav,aftaleretslige forhold eller evt. særlig risiko (afdækket ved enrisikovurdering).

Fastholdelse og udbygning af et højtsikkerhedsniveau er en væsentlig forudsætning for, at Aider Danmark fremstårtroværdig både nationalt og internationalt.

For at fastholde Aider Danmarks troværdighedskal det sikres, at information behandles med fornøden fortrolighed, og at dersker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner.

IT-systemer betragtes, næst eftermedarbejderne, som Aider Danmarks mest kritiske ressource. Der lægges derforvægt på driftssikkerhed, kvalitet, overholdelse af lovgivningskrav og på, atsystemerne er brugervenlige, dvs. uden unødigt besværligesikkerhedsforanstaltninger.

Der skal skabes et effektivt værn modIT-sikkerhedsmæssige trusler, således at Aider Danmarks image og medarbejdernestryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt imodsåvel naturgivne som tekniske og menneskeskabte trusler. Alle personerbetragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppeskal være hævet over sikkerhedsbestemmelserne.

Målene er derfor, at:

• opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab - TILGÆNGELIGHED
• opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer - INTEGRITET
• opnå fortrolig behandling, transmission og opbevaring af data - FORTROLIGHED
• opnå en gensidig sikkerhed omkring de involverede parter - AUTENTICITET
• opnå en sikkerhed for gensidig og dokumenterbar kontakt - UAFVISELIGHED

Ovenstående mål skal konkretiseres i ServiceLevel Agreements (SLAs) og kontrakter overfor samarbejdspartnere.

Regler og retningslinjer frainformationssikkerhedspolitikken skal løbende indarbejdes i de relevantegældende regler på personalepolitikkens område.

Sikkerhedskonceptet omfatter følgende:

• En informationssikkerhedspolitik, der godkendes af direktionen på baggrund af indstilling fra IT-udvalget.
• En informationssikkerhedshåndbog, der uddyber informationssikkerhedspolitikken, fastlægges af IT-udvalget.
• Sikkerhedsinstrukser og –procedurer, som er formuleret af IT-udvalget

Politikken er gældende for alle Aider Danmarksinformationsrelaterede aktiviteter, uanset om disse udføres af ansatte i Aider Danmark eller af samarbejdspartnere.

Dette inkluderer f.eks. alle data ompersonale, data om finansielle forhold, alle data som bidrager tiladministrationen af virksomheden, produktionsdata og anlægsdata, samtinformationer som er overladt til Aider Danmark af andre. Disse data kan værefaktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætningerfor planlægning eller anden information, som kun er til intern brug.

Informationssikkerhedspolitikken har gyldighedfor alle ansatte i Aider Danmark og al anvendelse af Aider Danmarksinformationsaktiver.

Det delegerede sikkerhedsrelaterede ansvar ogden tilhørende myndighed ligger hos de personer, som af partnergruppen erudpeget hertil.

Katastrofer søges undgået gennem enveltilrettelagt fysisk sikring og overvågning af bygninger, tekniskeinstallationer og IT-udstyr. Omfanget af disse foranstaltninger besluttes udfra en afvejning af risici imod sikringsomkostninger og udmøntes i SLAs.

Aider Danmarks beredskabsplan aftales medbluepipe a/s og indarbejdes i dennes overordnede beredskabsplan. Heri skal hhv.Aider Danmarks og partnernes ansvar for sikkerhedskopiering og nødplanerentydigt præciseres.

Beredskabsplanerne skal omfatte:

• Skadebegrænsende tiltag
• Etablering af temporære nødløsninger
• Genetablering af permanent løsning

Beredskabsplanerne skal ajourføres og testesløbende – og minimum en gang om året.

Medarbejdere, der bryder de gældendeinformationssikkerhedsbestemmelser i Aider Danmark, kan straffes disciplinært. De nærmere regler om dette fastsættes i overensstemmelse med den gældendepersonalepolitik.