Guide til hændelsesinformation

Tabellen herunder kan bruges som en guide for information, der er hensigtsmæssig at få oplyst ved rapportering af en sikkerhedshændelse.

Nedbrud eller utilgængelighed, der alene skyldes driftsmæssige forhold – fx backup-kørsel, der forsinker et systems tilgængelighed – regnes først for en sikkerhedshændelse, hvis systemets maksimale accepterede nedetid (MTD) overskrides, eller er i risiko for at blive overskredet. Det er dog fortsat systemejerens ansvar at registrere hændelsen og håndtere eventuelle afledte indsatser. 

Det er naturligvis vigtigere, at der rapporteres om hændelsen, end at der oplyses alle detaljer, da der er mulighed for opfølgende spørgsmål. 

Kontaktinformation for rapportøren

Navn

Organisation/kontor

E-mail

Telefon



Baggrundsinformation om hændelsen

Dato for afsendelse af rapport

Dato for hændelse

Hændelsens varighed

Hvor indtraf hændelsen

[fx fysisk adresse, pc-navn/nr, systemnavn, netværk]

Hvordan blev den opdaget

[fx system log, lange svartider, røg fra maskine, besked fra andre]

Beskrivelse af hændelsen

Hvilken type var hændelsen

[fx virus, DDoS, uautoriseret adgang, tyveri af maskine, mistet data]

Hvad var årsagen

[fx download fra internet, åbent vindue, misforstået procedure]

Hvor alvorlig er hændelsen

[fx lav (offentlige data), middel (interne data), høj (følsomme data)]

Hvad er påvirket af hændelsen

[fortrolighed / integritet / tilgængelighed]

Supplerende oplysninger



Reaktion / opfølgning på hændelsen

Hvem er evt. informeret

[fx departementet, Serviceportal, myndighed, CFCS]

Hvordan er skaden begrænset

[fx ’inficeret pc taget af nettet’, ’forbindelse til andre systemer stoppet’]

Hvem deltog i løsningen

[fx leverandøren, sikkerhedsspecialist, CFCS, SIT]

Kan hændelsen genopstå

[fx ’nej – den uautoriserede adgang er fjernet i adgangskontrollen’]

Logoplysninger

[Eksisterer der log over forløbet]

Supplerende oplysninger

[tekniske informationer, fx karakteristika, styresystem, IP-adresse, politianmeldelse]