Sikkerhed

Fold punkterne ud for at læse mere

• Opretholdelse af ISO27001-standarden

  ISO27001 er et internationalt ledelsessystem til etablering, implementering, drift, overvågning, gennemgang, vedligeholdelse og forbedring af en organisations informationssikkerhed og tilhørende ledelsessystem. Det betyder, at standarden ikke primært beskriver tekniske sikkerhedsløsninger, men derimod forankrer processer i organisationen og fokuserer på ledelsens ansvar for, at der løbende bliver udviklet og vedligeholdt de retningslinjer, der skal til.

  I Statens It har vi været ISO27001-certificerede siden 2014, og vi følger en årsplan for interne og eksterne audits, risikovurderinger og revisioner for at holde os på sporet.

  De eksterne audits dækker over Rigsrevisionens revisioner, KRT’s gennemgange, Datatilsynets inspektion ift. GDPR samt uafhængig auditering to gange årligt af et eksternt certificerings- og auditeringsorgan.

  Internt i Statens It udfører vi løbende audits inden for de forskellige ISO-relaterede områder, og sikrer, at ISO-dokumentationen er opdateret via dokumentejerne. Der udføres risikovurderinger på egne informationsaktiver med involvering af de relevante teams i organisationen, og der følges på ugentlig basis op på den interne RTP (Risk Treatment Plan), som blandt andet rummer identificerede risici og revisionsanmærkninger.  

• Teknisk sikkerhed

  Den tekniske del af Statens It’s sikkerhedsservice dækker over en række tekniske sikkerhedskomponenter såsom antispam-løsning, antivirus, firewall mm.

  Herudover udfører Staten It en lang række sikkerhedsrelaterede aktiviteter, bl.a. risikostyring ift. understøttende infrastruktur og forretningsgrundlag, implementering, drift og test af logisk sikring af kundens infrastruktur, patch management, log management mv.

  Vi kan desuden tilbyde en række sikkerhedsrelaterede tilkøbsservices samt rådgivning på sikkerhedsområdet.

• GDPR

  Når en kunde entrerer med Statens It, indtager vi rollen som databehandler for kunden, som dermed er dataansvarlig. Parterne underskriver en databehandleraftale, som beskriver det ansvar, kunden og Statens It har som hhv. dataansvarlig og databehandler.

  Som databehandler for vores kunder, er Statens It ansvarlig for at træffe de nødvendige (tekniske og organisatoriske) sikkerhedsforanstaltninger mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab eller misbruges. Statens It må kun behandle personoplysninger i henhold til databehandleraftalen eller efter anden dokumenteret instruks fra kunden.

  Statens It skal omgående underrette kunden, hvis en instruks efter Statens It’s mening er i strid med databeskyttelsesforordningen. Statens It træffer ikke selvstændige beslutninger om væsentlige elementer ved ”hjælpemidlerne” til behandlingen af personoplysninger (fx tekniske eller organisatoriske hjælpemidler), medmindre der er tale om en såkaldt ”shared service”, eller hvis det følger af databehandleraftalen, instruksen eller hovedaftalen. Statens It kan blive selvstændig dataansvarlig for en eventuel behandling, som man som databehandler foretager i strid med instruksen fra kunden.