Denne IT-sikkerhedspolitik skitserer procedurerne og bedste praksis for at beskytte følsomme data og sikre IT-systemerne hos Made4Media ApS. Politikken har til formål at beskytte personlige og følsomme oplysninger, minimere databrud og sikre, at vi overholder relevante databeskyttelseslove.

IT-software, Server og Clouds

1. Dataklassifikation og Adgangskontrol

  • Dataklassifikation:

    • Alle data inden for organisationen bør klassificeres i forhold til deres følsomhed. Personlige, følsomme og fortrolige data skal håndteres med størst omhu.

    • Der bør udvikles et detaljeret klassifikationssystem, der angiver, hvilke typer data der betragtes som højrisiko (f.eks. personidentifikationsdata, finansielle oplysninger).

  • Adgangskontrol:

    • Implementer rollebaseret adgangskontrol (RBAC) for at begrænse adgangen til følsomme data baseret på jobansvar.

    • Sørg for, at kun autoriseret personale har adgang til fortrolige og følsomme dokumenter.

    • Opbevar logfiler over adgang til følsomme oplysninger, herunder hvem der har fået adgang, hvornår og hvilke handlinger der blev udført.

2. Kryptering og Datastyring

  • Kryptering:

    • Alle data under overførsel (f.eks. kommunikation via internettet) skal krypteres med industristandardprotokoller som TLS 1.2+.

    • Data i hvile (f.eks. opbevarede filer, databaser) bør også krypteres med robuste krypteringsalgoritmer (f.eks. AES-256).

    • Udfør regelmæssige revisioner af krypteringsmetoder for at sikre, at alle data er tilstrækkeligt beskyttet.

  • Datastyring:

    • Opbevar følsomme og personlige data på sikre, krypterede placeringer (f.eks. krypterede harddiske eller sikre cloud-løsninger).

    • Etabler procedurer for sikkert at slette eller destruere personlige data, når de ikke længere er nødvendige eller ved medarbejderafskedigelse.

3. Tredjeparts IT-Systemer og Risikostyring

  • Eksterne IT-Systemer:

    • Brug kun tredjeparts IT-systemer, der overholder relevante databeskyttelseslove (f.eks. GDPR, Databeskyttelsesloven).

    • Udfør regelmæssige vurderinger af sikkerhedsstandarderne og databeskyttelsespolitikkerne for eksterne IT-systemer, især dem der opbevarer eller behandler personlige data.

    • For hvert eksternt IT-system (f.eks. Google Workspace, Microsoft Office) skal der sikres, at de tilbyder klare databeskyttelsesaftaler og specificerer, hvordan data krypteres og deles.

  • Risikostyring:

    • Gennemfør regelmæssige risikovurderinger for at identificere sårbarheder og trusler relateret til IT-systemerne.

    • For hvert eksternt system, dokumenter dets sikkerhedsfunktioner, krypteringspraksis og eventuelle datadelingaftaler.

4. Medarbejdertræning og Bevidsthed

  • Sikkerhedsbevidsthedstræning:

    • Giv regelmæssig IT-sikkerhedstræning til alle medarbejdere med fokus på at genkende phishing-forsøg, sikre deres enheder og håndtere persondata korrekt.

    • Inkluder træning i, hvordan man identificerer risici forbundet med AI-systemer og andre eksterne IT-tjenester, såsom brugen af persondata til modeltræning.

  • Overvågning og Logning:

    • Vedligehold detaljerede logfiler over alle aktiviteter relateret til adgang, behandling og deling af følsomme data.

    • Brug overvågningsteknologier til at opdage usædvanlige aktiviteter eller potentielle brud i realtid.

5. Datadeling og Overholdelse

  • Datadeling:

    • Sørg for, at personlige data kun deles med tredjeparter, der overholder databeskyttelseslove og har de rette databeskyttelsesaftaler på plads.

    • Del data kun, når det er absolut nødvendigt, og sørg for, at det deles på en sikker måde (f.eks. via krypterede kanaler).

  • Overholdelse:

    • Hold dig opdateret på de relevante databeskyttelsesregler for Made4Media ApS (f.eks. GDPR).

    • Sørg for, at alle medarbejdere er opmærksomme på og overholder disse love, når de behandler eller deler persondata.

6. Incident Response og Kontinuitetsplanlægning

  • Incident Response Plan:

    • Udarbejd en omfattende plan for håndtering af sikkerhedsbrud og datalækager, der hurtigt og effektivt kan adressere problemer.

    • Planen bør inkludere procedurer for at identificere, inddæmme og løse brud samt informere berørte personer og relevante myndigheder.

  • Kontinuitetsplanlægning:

    • Forbered dig på potentielle IT-systemfejl, datatab eller brud ved at have backup- og gendannelsesprocedurer på plads.

    • Sørg for, at alle vigtige data regelmæssigt sikkerhedskopieres og opbevares sikkert.

Konklusion

Denne IT-sikkerhedspolitik giver en ramme for at beskytte personlige og følsomme data og sikre, at Made4Media ApS opererer med de højeste sikkerhedsstandarder. Regelmæssige revisioner, medarbejdertræning og tredjepartsvurderinger er afgørende for at opretholde overholdelse og beskytte mod nye trusler.