Tillg til Rejsefortllingen Informationssikkerhed Din rolle som mellemleder

Tillæg til Rejsefortællingen Informationssikkerhed: Din rolle som mellemleder December 2019 Side 1

Introduktion tillæg om mellemlederens rolle Indhold Materialet bør tilpasses til din organisation Som et tillæg til den eksisterende vejledning ”Informationssikkerhed, en rejsefortælling om funktioner, roller og ledelse” er der udviklet en beskrivelse af rollen som henholdsvis ”data- og systemejere” og ”mellemledere”. Materialet indeholder generelle beskrivelser hvor det kan være nødvendigt at tilpasse præsentationen ved at fjerne eller tilføje dele, således at præsentationen passer til den specifikke organisation samt eventuelle særlige regler på organisationens fagområde. Dette tillæg giver et overblik over mellemlederenes roller og ansvar i forhold til informationssikkerhed med udgangspunkt i databeskyttelsesforordningens (GDPR) krav til den dataansvarlige, og kontrollerne beskrevet i informationssikkerhedsstandarden ISO 27001 Annex A. Materialet er derfor målrettet offentlige mellemledere, som har brug for at danne sig et overblik over opgaverne i forhold til persondatasikkerhed (GDPR) og informationssikkerhed (ISO 27001). Eksempler på hvad der kan ændres: • Henvisninger til egne interne retningslinjer for informationssikkerhed og til regler, som gælder specifikt på organisationens område. • Farver og baggrund så det passer ind i organisationens template. • Tilpasning af interne roller og titler i forhold til organisationen • Tilføjelse/fjernelse af opgaver ift. organisationens rollebeskrivelser Side 2

Vigtigt med lokal tilpasning af roller og opgaver Materialet tager udgangspunkt i Rejsefortællingens definition af roller og ansvar for mellemledere, og er gjort konkret ved at holde den definition op imod kravene i databeskyttelsesforordningen (GDPR) og kravene i standarden for informationssikkerhed (ISO 27001). GDPR ISO 27001 GDPR definerer ikke specifikke roller som f. eks. mellemleder. Den taler om den dataansvarliges ansvar, og det er op til den enkelte myndighed at definere hvem, der er tovholder i organisationen på de enkelte dele af det ansvar. Det er forskelligt i hvilket omfang de enkelte myndigheder er forpligtet til at anvende ISO 27001. For nogle myndigheder er det et krav, for andre er det noget man har valgt. Du bør derfor orientere dig i forhold til jeres lokale anvendelse af ISO 27001. I dette materiale har vi medtaget de dele af af den dataansvarliges ansvar, som vi mener hører hjemme hos mellemlederen. Opgaverne kan være anderledes fordelt i din organisation og materialet bør derfor tilpasses lokalt, så det afspejler den lokale opgavefordeling. Kravene til mellemlederen er fundet med udgangspunkt i ISO 27001’s kontroller i annex A. Som udgangspunkt vælger den enkelte organisation selv hvilke kontroller der implementeres lokalt, og materialet bør derfor også tilpasses i forhold til hvilke kontroller der er valgt lokalt. Side 3

Hvorfor informationssikkerhed? Stigende problem i Danmark Flere myndigheder har oplevet sikkerhedstrusler som f. eks. ransomware, der typisk benyttes til afpresning med en række direkte konsekvenser som f. eks. • Tabt arbejdstid • Tab af data og information • Økonomisk tab Fra DR. dk Tabt tillid og tryghed Generelt har borgere og virksomheder i Danmark stor tillid til myndigheder. Men hvis kritiske informationer går tabt, eller bliver uhensigtsmæssigt spredt, vil tilliden blive brudt. Fra Børsen Side 4

Ansvaret er fordelt på hele organisationen Topledelse Dig som mellemleder Har det overordnede ansvar og fordeler roller og ansvar i organisationen Har ansvar for at informationssikkerhed bliver indarbejdet i arbejdsgange og processer Data- og systemejer Har ansvar for data og de systemer, data ligger i Informationssikkerhed i din myndighed Informationssikkerhedskoordinator Organisationens tværgående daglige sikkerhedsleder Medarbejdere Har ansvar for at overholde gældende politikker og rapportere risici og hændelser Data protection officer (DPO) Rådgiver og hjælper organisationen med at overholde de databeskyttelsesretslige regler og skal inddrages i alle spørgsmål om beskyttelse af persondata. Side 5

Du er både mellemleder og medarbejder Som medarbejder er du med til i praksis at sikre, at de enkelte opgaver udføres på en måde, så vi som myndighed samlet set både efterlever lovgivningen, og vores egne interne politikker – og undgår alvorlige økonomiske tab, personlige konsekvenser, tab af borgernes tillid, offentlig kritik og bøder m. v. Som medarbejder skal du overholde gældende politikker og rapportere risici og hændelser Generelt skal du som medarbejder · Overholde gældende politikker · Udpege mangler i gældende politikker og efterlevelsen af disse · Rapportere risici og hændelser på en proaktiv måde Side 6

Kravkatalog Informationssikkerhedskrav til mellemledere udledt af GDPR og ISO 27001 Side 7

Overblik over krav til mellemleder Du skal kende din rolle og dit ansvar Slide 10 Du skal sikre, at alle ved, hvad de skal gøre ved sikkerhedsbrud Slide 19 Du skal kende politikker og regler Slide 11 Når du bruger leverandører Slide 20 Du skal informere dine medarbejdere Slide 12 Du skal kende krav til IT-arbejdspladser og medier Slide 21 Du skal sikre de registreredes rettigheder Slide 13 Når du ansætter Slide 22 Du skal sikre, at I overholder principperne for behandling af persondata Slide 14 Du skal tildele adgangsrettigheder Slide 23 Du skal sikre, at I indhenter samtykke når der ikke er hjemmel Slide 16 Når du ændrer organisering og processer Slide 24 Du skal sikre, at I overholder oplysningspligten Slide 17 Når dine medarbejdere stopper Slide 25 Behandling af persondata skal registreres Slide 18 Side 8

Du skal kende din rolle Sådan læser du kravene Vejledninger og materialer Rejsefortællingen Introduktion til krav Mulighed for at tilføje egne vejledninger Lokale vejledninger Du skal kende den interne organisering af informationssikkerhed, og forstå din egen rolle i organiseringen. Eksempler • Roller og ansvar i informationssikkerhed henvisning til autoritative materialer Du orienterer dig i organisationens rollebeskrivelser på intranettet, og efterspørger aktivt de beskrivelser du mangler. Handlingsanvisende eksempler Alle ansvarsområder for informationssikkerhed skal defineres og fordeles (ISO A. 6. 1. 1) Der skal udpeges en ejer i organisationen for hvert aktiv (ISO A. 8. 1. 2) henvisning til kilde Kilde: ISO 27001 Side 9

Du skal kende din rolle og dit ansvar Du skal kende den interne organisering af informationssikkerhedsarbejdet, og forstå din rolle i organiseringen. Vejledninger og materialer På videncenter. kl. dk under viden og værktøjer kan du finde vejledning i ”Rejsefortællingen”, som indeholder vejledninger om roller og ansvar for informationssikkerhed. Lokale vejledninger Eksempler • Du vil, som leder, ofte have flere roller, og derfor flere forskellige funktioner. F. eks. er du også medarbejder, samtidig med at du er leder, og du kan f. eks. også være systemejer, o. a. • Du orienterer dig i organisationens rollebeskrivelser og vejledninger på intranettet, og efterspørger aktivt de beskrivelser og vejledninger, som du oplever at mangle. Alle ansvarsområder for informationssikkerhed skal defineres og fordeles (ISO A. 6. 1. 1) Kilde: ISO 27001 Side 10

Du skal kende politikker og regler Du skal orientere dig i interne politikker/procedurer for informationssikkerhed, og du skal kende kravene i Databeskyttelsesforordningen. Eksempler • Du orienterer dig i organisationens politikker/procedurer på intranettet, og efterspørger aktivt de politikker/procedurer du mangler. • Du orienterer dig i forhold til Databeskyttelsesforordningen, så du kender dens krav og principper. Hvis du er i tvivl, drøfter du det med jeres DPO eller informationssikkerhedskoordinator. • Du holder dig orienteret om lovgivningskrav, der er relevante for de fagområder, som dit ansvarsområde dækker i forhold til informationssikkerhed. F. eks. på sundhedsområdet. Vejledninger og materialer Brug ”Rejsefortællingen” på videncenter. kl. dk som findes under Viden og værktøjer. Den kan give dig et overblik. På sikkerdigital. dk finder du generel information om roller og ansvar i informationssikkerhed. Lokale vejledninger Ledelsen skal fastlægge og godkende et sæt politikker for informationssikkerhed, som skal offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter (ISO A. 5. 1. 1) Regler for accepteret brug af information og aktiver i relation til information og informationsbehandlingsfaciliteter skal identificeres, dokumenteres og implementeres (ISO A. 8. 1. 3) Kilde: GDPR & ISO 27001 Side 11

Du skal informere dine medarbejdere Du skal sørge for, at medarbejdere, og andre der arbejder for dig, er sikkerhedsbevidste, og lever op til deres roller og ansvar. Eksempler • Du sikrer dig, at dine medarbejdere gennemgår organisationens uddannelseslektioner om informationssikkerhed. • Du drøfter løbende medarbejdernes håndtering af informationssikkerhed på faglige møder i afdelingen. • Du gør informationssikkerhed til et tema på et afdelingsseminar, hvor du sikrer, at medarbejderne får en generel forståelse for informationssikkerhed, og arbejder med hvordan de understøtter den i hverdagen. • Du afholder formidlingsmøder og følger op. Vejledninger og materialer På Videncenter. kl. dk under viden og værktøjer kan du finde vejledning i ”Rejsefortællingen”, samt andre uddannelses- og dialogmaterialer. På datatilsynet. dk kan du finde vejledning om ”dine forpligtelser”. Lokale vejledninger Ledelsen skal kræve, at alle medarbejdere og kontrahenter (leverandører, konsulenter, etc. ) opretholder informationssikkerhed i overensstemmelse med organisationens fastlagte politikker og procedurer. (ISO A. 7. 2. 1) Alle organisationens medarbejdere og, hvor det er relevant, kontrahenter skal ved hjælp af uddannelse og træning bevidstgøres om sikkerhed og regelmæssigt holdes ajour med organisationens politikker og procedurer, idet omfang det er relevant for deres jobfunktion (ISO A. 7. 2. 2) Kilde: GDPR & ISO 27001 Side 12

Du skal sikre de registreredes rettigheder Du skal sikre, at I overholder de registreredes rettigheder i alle jeres behandlinger af persondata. Eksempler • Du laver konkrete instrukser til dine medarbejdere, i det omfang der er særlige krav, som ikke er omfattet af den generelle instruks til medarbejderne. • Du er opmærksom på de undtagelser der gør, at du ikke nødvendigvis skal efterleve borgerens anmodning. Dette gælder særligt art 17 og art 20 • Du sørger for at følge op på, om medarbejderne følger instrukserne, og drøfter løbende den praktiske anvendelse med den enkelte. Vejledninger og materialer På datatilsynet. dk finder du ”Vejledning om de registreredes rettigheder”. Lokale vejledninger Forordningen indeholder en række særlige krav som skal kunne understøttes. • Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder (Art 12) • Ret indsigt (Art 15) • Ret til berigtigelse (Art 16) • Ret til sletning (”Retten til at blive glemt”) (Art 17) • Ret til begrænsning af behandling (Art 18) • Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling (Art 19) • Ret til dataportabilitet (Art 20) • Ret til indsigelse (Art 21) • Ret til ikke at være genstand for automatiske individuelle afgørelser (Art 22) Kilde: GDPR Side 13

Du skal sikre, at I overholder principperne for behandling af persondata Vejledninger og materialer På datatilsynet. dk kan du finde vejledningen ”Hvad er dine forpligtelser? ” Lokale vejledninger Du skal sikre dig, at kravene til behandling af personoplysninger, og informationssikkerhed i det hele taget, overholdes. Eksempler • Du sikrer dig, gennem instrukser og information, at medarbejderne kender principperne. • Du sørger for at følge op på medarbejdernes efterlevelse af instrukser, og drøfter løbende den praktiske anvendelse med den enkelte. Den dataansvarlige er ansvarlig for, og skal kunne påvise, at principperne for behandling af personoplysninger overholdes (GDPR) Kilde: GDPR Side 14

Overholder I principperne? GDPR indeholder 6 principper for behandling af persondata. Overholder jeres behandlinger principperne? Kender dine medarbejdere principperne? Brug f. eks. principperne til at lave en test af jeres behandling af persondata. Kan du, som leder stå inde for, at I overholder principperne? Kan du dokumentere det? De 6 principper • Behandlingen af data skal være lovlig, rimelig og gennemsigtig. • Data må kun indsamles og anvendes til det angivne formål. • Data skal være tilstrækkelige, relevante og begrænset til det nødvendige. • Data skal være korrekte og ajourførte. • Data må ikke opbevares længere end formålet kræver. • Data skal behandles på en måde der sikrer tilstrækkelig sikkerhed for beskyttelse af data. Din organisation er, overfor Datatilsynet, ansvarlig for, og skal kunne påvise, at principperne overholdes. Side 15

Du skal sikre, at I indhenter samtykke, når der ikke er hjemmel Vejledninger og materialer På datatilsynet. dk kan du finde vejledningen ”Samtykke”. Lokale vejledninger Behandling af persondata er kun lovlig, hvis der er hjemmel til det i lovgivningen, eller hvis der er indhentet samtykke fra de registrerede. Du skal sikre, at jeres procedurer omkring indhentning og tilbagetrækning af samtykke er korrekte. Eksempler • Du sikrer dig, gennem instrukser og information, at medarbejderne kender regler for indhentning af samtykke. • Du sørger for at følge op på, om medarbejderne følger instrukserne, og drøfter løbende den praktiske anvendelse med den enkelte. • Du følger op på eksisterende dokumentation af samtykke for at sikre, at behandlingen er lovlig. Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling. (GDPR om samtykke). (GDPR Art 4) Kilde: GDPR Side 16

Du skal sikre, at I overholder oplysningspligten Når I indsamler personoplysninger har I pligt til, på eget initiativ, at give den registrerede en række oplysninger. Du skal sikre, at jeres procedurer omkring oplysningspligten er korrekte. Eksempler • Du sikrer dig, gennem instrukser og information, at medarbejderne kender oplysningspligten. • Du sørger for at følge op på, om medarbejderne følger instrukserne, og drøfter løbende den praktiske anvendelse med den enkelte. Vejledninger og materialer På datatilsynet. dk kan du finde ”Vejledning om de registreredes rettigheder” hvor oplysningspligten er beskrevet. Lokale vejledninger Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede en række oplysninger. (GDPR art 13 og 14) Kilde: GDPR Side 17

Behandling af persondata skal registreres Vejledninger og materialer På datatilsynet. dk kan du finde en vejledning i hvordan fortegnelsen skal føres. På kl. dk kan du finde KL’s standardfortegnelser Lokale vejledninger Din organisation er forpligtet til at føre en samlet fortegnelse over alle behandlinger af personoplysninger - både behandlinger af ikke-følsomme oplysninger og følsomme oplysninger. Eksempler • Du afklarer hvem der fører fortegnelsen, og afklarer med vedkommende hvordan du skal forholde dig til registrering af jeres behandlinger af persondata. • Ofte varetages registreringen af andre, f. eks. en informationssikerhedskoordinator, en data- og systemejer, o. a. Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. (GDPR) Alle relevante lov-, myndigheds- og kontraktkrav samt organisationens metode til overholdelse af disse krav skal være klart identificeret, dokumenteret og opdateret for hvert informationssystem og for organisationen (ISO A. 18. 1. 1) Kilde: GDPR & ISO 27001 Side 18

Du skal sikre, at alle ved, hvad de skal gøre ved sikkerhedsbrud Vejledninger og materialer På sikkerdigital. dk kan du finde dialogværktøjer, som du kan bruge til at drøfte håndtering af brud med dine medarbejdere. Lokale vejledninger Du skal sikre, at dine medarbejdere kender proceduren ved brud på informationssikkerheden. Eksempler • • Du gør identifikation og håndtering af brud på informationssikkerheden til et emne på afdelingsmøde. Du drøfter årsag til brud med dine medarbejdere for at forebygge gentagelser Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden tilsynsmyndigheden (GDPR art 33) Informationssikkerhedshændelser skal rapporteres ad passende ledelseskanaler så hurtigt som muligt (ISO A. 16. 1. 2) Kilde: GDPR & ISO 27001 Side 19

Når du bruger leverandører Du skal, i det omfang I anvender eksterne leverandører i opgaveløsningen, være opmærksom på kravene til informationssikkerhed i forhold til leverandørydelser (f. eks it-leverandører, transportører, konsulenter, etc). Eksempler • • • Du skal sikre at der indgås databehandleraftale med en hovedleverandør, som behandler persondata på jeres vegne. Du skal sikre, at der, i samarbejde med jeres informationssikkerhedskoordinator, laves en risikovurdering i forhold til samarbejdet med leverandøren. Du skal sikre, at der føres tilsyn med indgåede databehandleraftaler. Vejledninger og materialer Lokale vejledninger På sikkerdigital. dk kan du finde vejledninger om leverandørstyring. En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU- retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. (GDPR Art 28) Informationssikkerhedskravene til at minimere risiciene forbundet med leverandørens adgang til organisationens aktiver skal aftales med leverandøren og skal dokumenteres (ISO A. 15. 1. 1) Alle relevante informationssikkerhedskrav skal fastlægges og aftales med hver enkelt leverandør, som kan få adgang til, behandle, lagre, kommunikere eller levere IT-infrastrukturkomponenter til organisationens information (ISO A. 15. 1. 2) Aftaler med leverandører skal indeholde krav til håndtering af informationssikkerhedsrisici forbundet med forsyningskæden for IKTtjenester og –produkter (ISO A. 15. 1. 3) Kilde: GDPR & ISO 27001 Side 20

Du skal kende krav til IT-arbejdspladser og medier Vejledninger og materialer På sikkerdigital. dk kan du finde dialogværktøjer, som du kan bruge til at drøfte informationssikkerhed med dine medarbejdere. Lokale vejledninger Du skal kende til interne sikkerhedskrav til it-arbejdspladser, mobilt udstyr og fjernarbejdspladser, håndtering af datamedier, og skal kommunikere dette til dine medarbejdere. Eksempler Du orienterer dig i regler på organisationens intranet, og efterspørger aktivt de regelsæt du mangler. Du henviser til de interne regelsæt i dine instrukser til medarbejderne. Der skal vedtages en politik og understøttende sikkerhedsforanstaltninger til styring af de risici, der opstår ved anvendelse af mobilt udstyr (ISO A. 6. 2. 1) Der skal implementeres en politik og understøttende sikkerhedsforanstaltninger for at beskytte information, der er adgang til, og som behandles eller lagres på fjernarbejdspladser (ISO A. 6. 2. 2) Der skal implementeres procedurer til styring af bærbare medier i overensstemmelse med det klassifikationssystem, som organisationen har vedtaget. (ISO A. 8. 3. 1) Medier skal bortskaffes på forsvarlig vis, når der ikke længere er brug for dem, i overensstemmelse med formelle procedurer (ISO A. 8. 3. 2) Du informerer om regler på møder i afdelingen. Kilde: ISO 27001 Side 21

Når du ansætter Du skal sikre, at medarbejderne ved ansættelse modtager relevant instruktion om ansvar i forhold til informationssikkerhed. Eksempler • Du sikrer dig, at nye medarbejdere får instrukser om informationssikkerhed. • Du sikrer dig, at nye medarbejdere gennemfører organisationens uddannelse i informationssikkerhed. Vejledninger og materialer På datatilsynet. dk finder du ”Vejledning om databeskyttelse i forbindelse med ansættelsesforhold. ” Lokale vejledninger Kontrakter medarbejdere og kontrahenter skal beskrive de pågældendes og organisationens ansvar for informationssikkerhed. (ISO A. 7. 1. 2) Kilde: GDPR & ISO 27001 Side 22

Du skal tildele adgangsrettigheder Du skal, med udgangspunkt i organisationens procedurer for brugeroprettelse og for tildeling af rettigheder, tildele dine medarbejdere de brugeradgange, de har brug for. Eksempler • Du orienterer dig om organisationens procedurer for tildeling af adgangsrettigheder, og efterspørger aktivt de procedurer du mangler. • Du tildeler medarbejderen de nødvendige adgangsrettigheder ved ansættelse. • Du kontrollerer løbende, at medarbejderne ikke har adgangsrettigheder til mere, end deres opgaver kræver. • Du skal sikre funktionsadskillelse for visse roller og opgaver for at imødegå f. eks. uautoriseret adgang, minimere risiko for fejl eller misbrug. Lokale vejledninger Der skal implementeres en formel procedure for registrering og afmelding af brugere med henblik på tildeling af adgangsrettigheder (ISO A. 9. 2. 1) Der skal implementeres en formel procedure for tildeling af brugeradgang med henblik på at tildele eller tilbagekalde adgangsrettigheder for alle brugertyper til alle systemer og tjenester (ISO A. 9. 2. 2) Modstridende funktioner og ansvarsområder skal adskilles for at nedsætte muligheden for uautoriseret eller utilsigtet anvendelse, ændring eller misbrug af organisationens aktiver (ISO A. 6. 1. 2) Kilde: ISO 27001 Side 23

Når du ændrer organisering og processer Du skal ved ændringer, af organisation og forretningsprocesser, være opmærksom på ændringens betydning for informationssikkerheden. Eksempler • Du revurderer medarbejderens adgangsrettigheder ved ændring af arbejdsgange, arbejdsområder, organisation eller processer og sørger for, at rettigheder, som ikke (længere) er nødvendige for den enkelte medarbejder, bliver lukket. • Hvis der anvendes nye IT-løsninger, skal der foretages en vurdering af disse i forhold til informationssikkerhed. • Hvis udførelsen af arbejdet involverer leverandører, skal du huske at vurdere, om der skal ændres i databehandleraftalen. Lokale vejledninger Ændringer af organisationen forretningsprocesser, informationsbehandlingsfaciliteter og – systemer, som påvirker informationssikkerheden, skal styres (ISO A. 12. 1. 2) Lederne skal regelmæssigt undersøge, om informationsbehandlingen og – procedurerne inden for deres ansvarsområde er i overensstemmelse med relevante sikkerhedspolitikker, standarder og andre sikkerhedskrav (ISO A. 18. 2. 2) Kilde: ISO 27001 Side 24

Når dine medarbejdere stopper Du skal ved ansættelsens ophør sikre dig, at medarbejderen afleverer alle aktiver, som tilhører organisationen. Du skal sikre, at en medarbejders brugerrettigheder trækkes tilbage, når vedkommende ikke længere er ansat. Eksempler • Hvis medarbejderen har udstyr, licenser, el. lign. som tilhører organisationen skal det afleveres. • Bruger-id nedlægges og adgange spærres. Alle medarbejdere og eksterne brugere skal aflevere alle organisationsaktiver, der er i deres besiddelse, når deres ansættelse, kontrakt eller aftale ophører (ISO A. 8. 1. 4) Alle medarbejderes og eksterne brugeres adgangsrettigheder til information og informationsbehandlingsfaciliteter skal inddrages, når deres ansættelsesforhold, kontrakt eller aftale ophører, eller skal tilpasses efter en ændring (ISO A. 0. 2. 6) Informationssikkerhedsansvar og –forpligtelser, som gælder efter ansættelsens ophør eller ændring, skal defineres og kommunikeres til medarbejderen eller kontrahenten og håndhæves (ISO A. 7. 3. 1) Kilde: ISO 27001 Side 25