Version 1.0 (02-12-2022)
Princip | Rationale | Implikation |
#D1: STARs sikkerheds- og compliance niveau skal afspejle risikovilligheden, som defineret af direktionen | Effektiv forankring fordrer, at direktionen fastlægger risikovillighed og ambitionsniveau med henblik på sikring af informationssystemer og beskyttelse af borgernes data. | Direktionen oplyses med henblik på at fastlægge STARs risikovillighed og følge op på den ønskede modenhed indenfor sikkerhed og compliance, herunder ønskede KPI’er og dashboards. |
#D2: Sikkerhed og compliance krav, relevante for STAR City, skal dokumenteres og vedligeholdes
| Et rammeværk for sikkerhed og compliance sikrer, at STAR City’s IT-løsninger udvikles ensartet og efterlever relevante krav. | Ressourcer med fokus på STAR-City’s behov afsættes, således at etablering, udvikling og styring, af rammeværket understøttes. |
#D3: Sikkerhed og compliance skal forankres hos forretningen og ejes af forretningen | Forankring af ansvaret i forretningsområdet sikrer implementering af det ønskede modenhedsniveau. | Passende ressourcer i STAR City, fx STARs databeskyttelsesansvarlig, sikkerhedsekspert og leverandører, bistår forretningen med rådgivning. |
#D4: Informationer, herunder borgernes personoplysninger, skal beskyttes med passende tekniske og organisatoriske sikkerhedsforanstaltninger | Trusselsbilledet er under konstant udvikling, derfor skal foranstaltninger for databeskyttelse og informationssikkerhed løbende tilpasses. | Projektledere og leverandører sikrer, at foranstaltninger jf. trusselsanalyser, risikovurderinger og best practice vedligeholdes i STAR’s løsninger. |
#D5: Sikkerhed og databeskyttelse skal indbygges rettidigt i alle projekter | Uden rettidig inddragelse og budgettering udsættes projekter for mangler indenfor databeskyttelse og sikkerhed, der kan forårsage forsinkelser og uventede omkostninger for STAR. | Projektledere og leverandører indbygger sikkerhed og compliance gennem rettidig inddragelse af STARs databeskyttelsesansvarlig og sikkerhedseksperter. |
#D6: Sikkerhed og compliance skal være målbar med henblik på at: · Påvise efterlevelse · Fremme processen for kontinuerlig forbedring · Understøtte rapportering | Det er nødvendigt at foretage modenhedsmålinger med henblik på at prioritere afhjælpning af mangler samt afgive regelmæssig rapportering til ledelsen. | Projektledere og leverandører bidrager med evaluering af IT-løsningens modenhed og rapportering til styregruppen ved hjælp af standard KPI’er og dashboards som defineret af direktionen. |
Planlagt til version 1.1 | Sikkerhed skal tænkes ind i domænerne applikation og infrastruktur. |