It-sikkerhed handler om at beskytte aktiver, herunder information, der er vigtig for organisationen. I DFDG og de omkringliggende systemer handler det i høj grad om at kontrollere adgangen til personhenførbare data, så uvedkommende ikke får adgang til data eller mulighed for at ændre eller tilintetgøre data.
Generelt følges sikkerhedspolitikkerne og indbygget databeskyttelse samt offentlige anbefalinger for it-sikkerhed, der omhandler sikkerhed i forhold til eksterne parter. Sikkerhed bliver et vigtigere og vigtigere element i takt med, at systemerne åbnes op til fx borgerrettede selvbetjeningsløsninger. Til systemer, der indeholder personhenførbare data, stilles der højere krav til sikkerhed.
...
Da testmiljøerne fortsat anvender CPR-nummer, og data ikke er fuldt syntetisk genereret, skal adgangen til testmiljøerne behandles fortroligt. Det skal sikres, at al adgang til data og miljøer logges, og at adgangen kontrolleres ved et for udviklerne personligt login eller certifikat.
Bemærk at Sikkerhedskrav for miljøer der indeholder personhenførbare oplysninger, CPR mm. er underlagt samme krav til sikkerhedsforanstaltninger som produktionsmiljøer.
Se desuden /wiki/spaces/CITY/pages/203128898, sikkerhedspolitik
Produktionsmiljøsikkerhed
...
- Sikkerhed for fortrolighed: Kun de, som har ret til informationen, skal have adgang til den
- Sikkerhed for integritet: At beskytte informationers og behandlingsmetoders korrekthed og fuldstændighed
- Sikkerhed for tilgængelighed: Det skal sikres, at bemyndigede brugere har adgang til informationen og dertil knyttede aktiver, når de har behov for det
Generelt følges sikkerhedspolitikkerne, databeskyttelse PbD 10.04 og anbefalingerne fra ”It-Sikkershedsarkitektur” arbejdet, ref. [6], der omhandler sikkerhed i forhold til eksterne parter. Sikkerhed bliver et vigtigere og vigtigere element i takt med, at systemerne åbnes op til fx borgerrettede selvbetjeningsløsninger. Til systemer, der indeholder personfølsomme data, stilles der højere udledes krav til sikkerhed gennem databeskyttelse konsekvensanalyser.
Web-service sikkerhed
Web-services sikres via OCES funktionscertifikater, og data transmitteres over en krypteret forbindelse.
...
Applikationssikkerhed
Applikationssikkerheden er dokumenteret i sikkerhedspolitikkerne, herunder 08.26 Applikationssikkerhed, der omfatter:
- Adgangskontrol i forhold til applikation og administration
- Sessionshåndtering og kryptering
- Datavalidering og applikationslogik
...