1. Formål
FU's it-sikkerhedspolitik har til formål at beskytte og sikre virksomhedens data og systemer. Politikken bidrager til at beskytte FU's værdier og omdømme og er med til at sikre overholdelse af lovgivningen, herunder reglerne om persondatabeskyttelse (GDPR). Derudover fastlægger it-sikkerhedspolitikken rammerne for cybersikkerhed med henblik på at sikre FU mod cyberangreb.
FU's it-sikkerhed er baseret på:
- Almindeligt anerkendte metoder og politikker for informationssikkerhed.
- Alle relevante regler, lovkrav, retningslinjer, vejledninger og kontrakter indenfor FU's forretningsområde, databeskyttelseslovgivningen og outsourcingbekendtgørelsen, i det begrænsede omfang FU er omfattet af sidstnævnte.
- Regelmæssig ekstern kontrol i form af it-sikkerhedsanalyser og risikovurderinger.
2. Omfang
It-sikkerhedspolitikken gælder for alle medarbejdere ved FU og dækker alle tekniske, processuelle og menneskelige forhold, der kan påvirke de services og systemer, som FU anvender til elektronisk informationsbehandling, herunder de services og systemer, der leveres af underleverandører, samt de services og systemer, som FU leverer til egne kunder.
På baggrund af it-sikkerhedspolitikken udarbejder FU interne retningslinjer for it-sikkerhed og persondatabeskyttelse, som alle medarbejdere er forpligtede til at overholde. FU tilstræber at indrette systemer og arbejdsgange, så de understøtter medarbejdernes overholdelse, f.eks. ved sletteregler, ligesom alle egenudviklede it-systemer designes med henblik på at sikre et passende højt niveau af it-sikkerhed og persondatabeskyttelse (privacy by design og privacy by default).
3. Mål
FU gennemfører alle nødvendige aktiviteter for at sikre:
- Fortrolighed: At FU's informationer, herunder personoplysninger og kundernes informationer i FU's varetægt, kun er tilgængelige for de personer, og på den måde, som det er tiltænkt.
- Integritet: At man ved styring og kontroller af arbejdsgange opnår en pålidelig og korrekt funktion af it-systemerne med pålideligt datagrundlag.
- Tilgængelighed: At FU's forretningssystemer normalt er tilgængelige i forretningstiden, og at der vedligeholdes et it-beredskab, som sikrer, at normal drift af forretningssystemerne kan reetableres, som udgangspunkt indenfor 24 timer. Det sker bl.a. med brug af daglig eller ugentlig backup, afhængigt af en vurdering af systemernes forretningskritiske karakter. De kundevendte systemer cloudhostes og overvåges 24/7/365, så eventuelle nedbrud opdages samme dag, også i weekenden og helligdage.
FU risikovurderer virksomhedens forretningskritiske informationer og andre informationsaktiver, dels årligt, dels ved ændringer i trusselsbilledet, nye projekter, it-anskaffelser og behandlinger samt ved brud på sikkerheden.
Målsætningen er, at en tilstrækkelig og dokumenteret sikkerhed afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it, så medarbejdere og kunder kan udføre deres opgaver på en optimal måde.
FU gennemfører de aktiviteter, der er nødvendige for at holde medarbejderne orienterede om it-sikkerhed samt om deres ansvar over for virksomhedens informationer og systemer (awareness). Dette indbefatter løbende uddannelse af alle medarbejdere, introduktion af nye medarbejdere til FU's it-sikkerhedspolitik og interne retningslinjer for it og persondatabeskyttelse.
4. Ansvarsplacering
Ansvaret for FU's it-sikkerhed er placeret hos den it-ansvarlige (afdelingschef for Finans, administration og it), der delegerer relevante opgaver vedrørende den daglige drift af it-sikkerheden til den it-driftsansvarlige. Derudover er der udpeget en medarbejder med ansvar for FU's overholdelse af reglerne om persondatasikkerhed (GDPR).
Hvis en medarbejder opdager eller får mistanke om trusler mod eller brud på it-sikkerheden eller persondatasikkerhed, skal vedkommende straks indberette dette til den ansvarlige person. Alle it-sikkerhedshændelser og brud på persondatasikkerheden registreres efter faste arbejdsgange i dertil indrettede systemer, som er beskrevet i interne retningslinjer til medarbejderne.
5. Opfølgning og kontrol
FU måler, vurderer og følger op på it-sikkerheden på følgende måde:
- Løbende opfølgning på hændelser inden for it-sikkerhed
- Opfølgning på vidensniveau inden for it-sikkerhed i FU, bl.a. i form af tests af medarbejdernes bevidsthed om it-sikkerhed (awareness- og phishing-tests).
- Løbende vurderinger af sikkerhedsaspekter i forbindelse med nye projekter, anskaffelser og ændringer.
- Årlige gennemgange af de systemer og programmer, som FU's medarbejdere benytter, herunder risikovurderinger ift. it-sikkerhed generelt, samt specifikt persondatasikkerhed.
- Gennemførelse af interne kontroller og uafhængige tredjepartsevalueringer af it-sikkerheden på FU og risici forbundet hermed.
På baggrund af dette gennemgår og revurderer direktionen it-sikkerhedspolitikken en gang om året. I forbindelse med denne gennemgang træffer direktionen beslutning om nye organisatoriske og tekniske foranstaltninger eller eksterne vurderinger af FU's it-sikkerhed, ud fra en konkret risikovurdering. Beslutningen træffes på baggrund af eventuelle hændelser siden sidste gennemgang, samt det generelle trusselsniveau i samfundet og den finansielle sektor og udviklingen på området.
6. Godkendelse
Denne politik er vedtaget af FU’s direktion den 10.04.2024.