Kapittel 1: Innledning

Størrelse: px
Begynne med side:

Download "Kapittel 1: Innledning"

Transkript

1 Kapittel 1: Innledning - Universitetet i Oslo Kapittel 1: Innledning IT-sikkerhetsarbeidet skal være tydelig forankret og godt kjent i universitetets ledelse og ha denne ledelsens uttalte støtte, oppmerksomhet og engasjement. IT-sikkerhetsledelse skal inngå som en del av lederoppgavene på linje med annet sikkerhetsarbeid på universitetet. Innholdsfortegnelse 1.1. Virkeområde 1.2. Målgrupper 1.3. Eierskap, godkjenning og revisjon 1.4. Versjon Grunnlaget for arbeidet 1.6. Prosedyrer og rutiner IT er ikke lenger bare snakk om drift og leveranser av tjenester, IT inngår som en vesentlig del i utviklingen av universitetets prosesser og virksomhet og gir universitetet nye muligheter og evner i arbeidet med å nå sine mål. (Fra dokumentet Organisering og standardisering av universitetets IT-virksomhet behandlet i Universitetsstyret 27. oktober 2012) Behovet for en systematisk oversikt og samling av de retningslinjer og rutiner som ligger til grunn for arbeidet med IT-sikkerhet springer ut av universitetets avhengighet av IT og IT-ressurser i sin daglige og langsiktige virksomhet. Trusler som i sin konsekvens svekker eller hindrer universitetets og den enkelte brukers tilgang til IT-ressursene eller åpner disse for misbruk, er ikke bare en trussel mot universitetets og brukernes mulighet til å løse sine oppgaver og nå sine mål. Truet er også de store materielle og immaterielle verdier som universitetet forvalter og den store mengden av informasjon som er gitt i fortrolighet eller samlet inn på en slik måte at de omfattes av lov om personopplysninger. I tillegg kommer den ødeleggende virkning ulike sikkerhetshendelser kan få for omdømmet til Universitetet i Oslo Virkeområde Håndboka samler retningslinjer for alle deler av IT-sikkerhetsarbeidet, inkludert informasjonssikkerheten. Den gjelder for all IT-virksomhet på universitetet enten den skjer i regi av USIT eller av andre enheter ved universitetet. Den er således styrende for: Sentral og lokal IT på universitetet System- og tjenesteeiere Institusjoner i universitetets randsone som benytter seg av universitetets IT-tjenester og IT-infrastruktur Samarbeidstiltak, inkludert tiltak som universitetet er vertskap for I tillegg vil aktuelle deler av håndboka gjøres gjeldende for USITs oppdragsvirksomhet. Retningslinjene i IT-sikkerhetshåndboka er utformet i tråd med og skal være i overensstemmelse med lov- og regelverk på området og vedtak fattet av universitetets ledelse (universitetsstyre, rektor, universitetsdirektør). I den grad retningslinjer trukket opp i håndboka strider mot noe av dette, er det retningslinjene i håndboka som viker. På den andre siden er IT-sikkerhetshåndboka overordnet instrukser, rutiner og anbefalinger utformet og gitt av underordnete enheter. IT-sikkerhetshåndboka inngår som en del av dokumentasjonen av sikkerhetsarbeidet på universitetet. I tillegg 1 of 3 15/09/14 20:29

2 Kapittel 1: Innledning - Universitetet i Oslo til IT-sikkerhetshåndboka omfatter dette: Instrukser og beredskapsplaner utarbeidet av Eiendomsavdelingen v/sikkerhetssjefen HMS-håndboka og andre bestemmelser på HMS-området 1.2. Målgrupper IT-sikkerhetsarbeid et en virksomhet som omfatter hele organisasjonen og IT-sikkerhetshåndboka har flere målgrupper: Universitetets ledelse og ledelsen ved fakulteter og andre enheter IT-tilsatte i sentral og lokal IT System- og tjenesteeiere Universitetets IT-brukere (ansatte og studenter) Samarbeidstiltak universitetet er vertskap for og samarbeidende organisasjoner, inkludert organisasjoner og institusjoner i universitetets randsone 1.3. Eierskap, godkjenning og revisjon Universitetsdirektøren er øverste ansvarlig for IT-sikkerheten på universitetet og eier IT-sikkerhetshåndbok for Universitetet i Oslo. IT-sikkerhetshåndboka gjennomgås og revideres årlig. IT-direktøren koordinerer arbeidet med revisjonen og legger forslag til endringer fram for universitetsdirektøren. Universitetsdirektøren avgjør om endringene er av en slik karakter at de skal legges fram for godkjenning av rektor eller universitetsstyret. Til hvert kapittel er det nedfelt noen overordnete prosedyrer og rutiner. Ansvaret for utforming av prosedyrer, rutiner og andre bestemmelser i denne delen av håndboka tilligger IT-sikkerhetssjefen i samarbeid med linjeledere og godkjennes av IT-direktøren Versjon 2.0 Dette er versjon 2.0 av IT-sikkerhetshåndboka. Den første versjonen ble utarbeidet av en arbeidsgruppe på USIT oppnevnt av IT-direktøren. Den andre versjonen er en revidert og oppdatert utgave av versjon 1.0 utført av IT-sikkerhetssjefen på oppdrag fra IT-direktøren Grunnlaget for arbeidet Arbeidet med IT-sikkerhetshåndboka bygger på den internasjonale standarden på området, ISO/IEC 27002:2005 Information Technology Security Techniques Code of Practice for Information Security Management. IT-sikkerhetshåndboka følger disposisjonen i denne standarden. Denne standarden anbefaler Direktoratet for forvaltning og IKT (DIFI) lagt til grunn for arbeidet med styringssystem for informasjonssikkerhet i offentlig virksomhet. USIT er pr 2012 ikke sertifisert etter denne standarden, men følger den der det formålstjenlig Prosedyrer og rutiner Med utgangspunkt i dette kapittelet er følgende prosedyrer og rutiner beskrevet: 1. Årlig revisjon av IT-sikkerhetshåndbok for Universitetet i Oslo 2. Utarbeiding og godkjenning av prosedyrer i IT-sikkerhetshåndbok for Universitetet i Oslo 2 of 3 15/09/14 20:29

3 Kapittel 1: Innledning - Universitetet i Oslo Publisert 22. jan :45 - Sist endret 29. aug :49 3 of 3 15/09/14 20:29

4 Kap 2: Begreper og definisjoner - Universitetet i Oslo Kap 2: Begreper og definisjoner IT-sikkerhetsarbeidet skal benytte et vokabular som tydelig og utvetydig beskriver bestemmelser, tiltak og andre forhold i denne delen av IT-virksomheten. BEGREP: Administrativt IT-system Autentisering Autorisering Autoritativt system Behandlingsansvarlig Brukerdata Brukerprogramvare Brukerutstyr Båndbredde CERT FEIDE Hjemmemaskin Hjemmevakt Identifikasjon Informasjonssikkerhet Informasjonssystem Integritet IT-bruker BETYDNING: IT-systemer som benyttes til og understøtter løsningen av administrative oppgaver i en organisasjon Bekreftelse av identitet ved hjelp av noe en person vet, har eller er, for eksempel at en IT-bruker bekrefter sin identitet ved hjelp av et personlig passord Tillatelse til å utføre en handling, tildeling av rettigheter i et system System som lagrer og leverer informasjon om noe og er anerkjent og har status som opprinnelig kilde til denne informasjonen Ansvarlig for behandling av personopplysninger i virksomheten ved universitetet, skal påse av formålet for og hjelpemidlene i denne behandlingen er innmeldt på forskriftsmessig vis Data brukeren selv har til rådighet og lagret på medier brukeren selv har kontroll med tilgangen til Den programvare brukeren benytter i sin virksomhet på universitetet Det utstyr (stasjonær og bærbar PC, nettbrett, smarttelefon eller annet utstyr) brukeren benytter for å få tilgang til universitetets IT-tjenester En kommunikasjonskanals kapasitet til overføring av informasjon Computer Emergency Response Team, en gruppe som har ansvar for daglig oppfølging av trusler og hendelser som kan kompromittere IT-tjenester og IT-systemer Felles elektronisk ID Datamaskin som brukeren har tilgjengelig hjemme og som kan etablere forbindelse til universitetets nett og gi brukeren tilgang til IT-tjenester og IT-systemer der Vaktordning utenom ordinær arbeidstid med oppdrag å overvåke feilsituasjoner og problemer og i spesielle tilfelle selv løse disse eller kontakte andre som kan løse dem Noe som knytter en identitet i et system til en person, for eksempel et brukernavn Tiltak for å sikre informasjonens konfidensialitet, integritet og tilgjengelighet IT-system som lagrer, administrere og gjør tilgjengelig data tilknyttet en eller annen anvendelse, består ofte av en eller flere databaser med tilhørende applikasjoner Sikring av en informasjons nøyaktighet, fullstendighet og opprinnelighet En person som på grunnlag av registrering i et autoritativt system er tildelt brukernavn og passord og på basis av dette har tilgang til IT-tjenester og IT-systemer ved universitetet 1 of 3 15/09/14 20:29

5 Kap 2: Begreper og definisjoner - Universitetet i Oslo IT-ressurs IT-sikkerhet IT-system IT-tilsatt IT-tjeneste Kapasitet Katastrofesite Konfidensialitet Lokal IT-tilsatt Nett, trådfast og trådløst Personopplysninger Personvernombud Priviligert bruker Risikovurdering/-analyse Sensitive data Sikkerhetshendelse Sikkerhetsnivå SLA Service Level Agreement Stabilitet IT-basert innretning som inngår som del av en IT-tjeneste eller et IT-system, omfatter nett, programvare, maskinvare, lagringssystemer etc Tiltak innrettet på å sikre IT-tjenester og IT-systemer på et for organisasjonen akseptabelt sikkerhetsnivå Samlingen av de IT-løsninger som inngår i et system som kan benyttes til å løse et sett av beslektede oppgaver Tilsatte ved universitetet som har som sin arbeidsoppgave drift, vedlikehold, utvikling eller støttetjenester knyttet til IT-virksomheten ved universitetet Enhver IT-basert tjeneste som brukerne får tilgang til ved universitetet Et systems evne til å løse en bestemt oppgave Et reservested der kopi av kritiske data lagres og der kritiske tjenester kan kjøres dersom den ordinære tjenesten ikke er tilgjengelig Sikring av informasjon mot ikke-autorisert innsyn i, endring eller offentliggjøring Tilsatt ved enheter ved universitetet med oppgave å ta seg av brukernære drifts- og støttetjenester Nettet på universitetet er delt i en trådfast del der maskinen koples til nettet via kabel og en trådløs del. Det stilles forskjellig krav til maskiner som skal koples til de to delene av nettet Opplysninger som kan knyttes til og identifisere en person Ansvarlig for oppfølging av lov om personopplysninger ved institusjonen, skal påse at behandlingsansvarlige følger de lover og forskrifter som gjelder for behandling av personopplysninger Bruker som i et system er tildelt spesielle rettigheter som går utover rettighetene en ordinær bruker av systemet har Kartlegging av sårbarheter ved et system og hvor sannsynlig det er for at de ulike sårbarhetene kan utnyttes til å skaffe noen urettmessig tilgang til systemet. Ledsages av en anbefaling av tiltak som sikrer et for organisasjonen akseptabelt sikkerhetsnivå I følge Lov om behandling av personopplysninger omfatter sensitive data opplysninger om en persons rasemessige eller etniske bakgrunn, politisk, filosofisk eller religiøs oppfatning, om en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helsemessige forhold, seksuelle forhold og medlemsskap i fagforeninger Enhver hendelse som kan kompromittere sikkerheten i et system eller en tjeneste og åpne denne for urettmessig tilgang Det sikkerhetsnivå ansvarlig myndighet har bestemt skal gjelde for organisasjonens virksomhet Se tjenesteavtale Oppetid, mål på den tiden et system eller tjeneste er tilgjengelig for brukeren, henger ofte sammen med tilgjengelighet 2 of 3 15/09/14 20:29

6 Kap 2: Begreper og definisjoner - Universitetet i Oslo Standard driftsopplegg Systemeier Systemforvalter Systemprogramvare Sårbarhetsvurdering/-analyse Tilgjengelighet Tjenesteavtale Tjenesteansvarlig Tjenesteerklæring Trusselbilde De krav som stilles til maskiner som koples til nettet, omfatter krav til operativsystem, konfigurasjon av systemet, rutiner for oppgradering med mer Eieren av et system, ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet, samt finansieringen av dette Ansvarlig ved Universitetet i Oslo for et system i de tilfelle der systemeier er et organ som representerer flere institusjoner, ansvarlig for de institusjonsspesifikke kravene til systemet Den programvare som sammen med operativsystemet gjør en datamaskin operativ Se risikovurdering/-analyse Responstid, svartid, mål på den tiden det tar å utføre bestemte operasjoner i et system, inkluderer også sikring mot tap eller vesentlig avbrudd i brukerens tilgang til en tjeneste eller et system En avtale om å levere en tjeneste eller et system med funksjons- og kvalitetskrav som partene har definert i avtalen og med bestemmelser som sanksjoner når ett eller flere av disse kravene ikke imøtekommes Ansvarlig på USIT for leveransen av en tjeneste og at denne er i henhold til det som måtte finnes av funksjons-, kvalitets- og sikkerhetskrav til tjenesten En løsere form for tjenesteavtale med en ofte omfattende beskrivelse av hvilke tjenester og systemer som skal leveres til en organisasjon Oversikt over trusler mot et system eller en tjeneste som så utgjør grunnlaget for risikovurderingen/-analysen Se også Definisjoner av begreper brukt i USITs driftsmiljøer. Publisert 22. jan :45 - Sist endret 29. aug :53 3 of 3 15/09/14 20:29

7 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet Grunnlaget og retningslinjene for IT-sikkerhetsarbeidet skal være tydelig formulert og enkelt tilgjengelig, være godkjent av universitetets ledelse og være tilgjengelig for dem som måtte ha behov for eller legitim interesse av det. Innholdsfortegnelse 3.1. Beskyttelse, kontroll og reaksjon Sikkerhet i dybden Driftssikkerhet Informasjonssikkerhet 3.2. Prinsipper for IT-sikkerhetsarbeidet IT-sikkerhetsarbeidet har som utgangspunkt målene Universitetet i Oslo har formulert for sin virksomhet blant annet i Strategi For å nå målene for sin virksomhet er universitetet avhengig av utstrakt bruk av IT og IT-tjenester. Det overordnete målet for IT-sikkerhetsarbeidet er: Å sikre rett nivå på sikkerhet, stabilitet, tilgjengelighet og kvalitet av IT-tjenester og IT-ressurser slik at primærvirksomheten og støttetjenestene kan utføres mest mulig problem- og avbruddsfritt. Dette krever tekniske, organisatoriske og praktiske tiltak som dekker alle sidene ved IT-sikkerheten: Beskyttelse og sikring Kontroll og overvåking Reaksjon og oppfølging IT-sikkerhetstiltakene skal favne alle IT-ressurser på universitetet, infrastruktur, tjenester og systemer, maskin- og programvare, samt data og informasjon Beskyttelse, kontroll og reaksjon IT-sikkerhetsarbeidet på universitetet omfatter tre grupper av tiltak som alle må ivaretas på en hensiktsmessig måte og som samlet utgjør et helhetlig sikkerhetsopplegg: Beskyttelse og sikring: Tiltak for å beskytte og sikre utstyr, tjenester, systemer, ressurser og annet mot avbrudd, feil, innbrudd, misbruk, ødeleggelse eller andre trusler mot sikkerheten, tilgjengeligheten, stabiliteten og kvaliteten i IT-tjenestene og IT-systemene Kontroll og overvåking: Tiltak for å kontrollere og verifisere at sikringstiltakene fungerer og for å fange opp unormale situasjoner og omstendigheter som kan representere en trussel Reaksjon og oppfølging: Tiltak for å identifisere og eliminere årsaker og følge opp sikkerhetsbrudd for å hindre at hendelsen inntrer på nytt, eventuelt med sanksjoner mot dem som måtte ha forårsaket dem Sikkerhet i dybden 1 of 4 15/09/14 20:29

8 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Universitetet i Oslo bygger sitt IT-sikkerhetsarbeid på prinsippet om sikkerhet i dybden. Dette innebærer å bygge et forsvarsverk med flere nivåer av sikkerhetstiltak. De viktigste nivåene i dette forsvarsverket er: Sikkerhet i nettet, både i porten inn og ut av universitetsnettet, internt mellom de ulike delene av universitetsnettet og i nettkomponentene Sikkerhet i tjenestene og systemene som benyttes i organisasjonen, inkludert operativsystem og systemprogramvare på maskinutstyret der tjenestene og systemene går Sikkerhet på arbeidsplassutstyret og annet brukerutstyr som benyttes i organisasjonen En kompetent IT-organisasjon med god innsikt i og kunnskap om alle sider av IT-sikkerheten og som rår over de verktøy som trengs for effektivt sikkerhetsarbeid Oversikt, kunnskap og årvåkenhet hos den enkelte IT-tilsatte og bruker På alle nivåer skal sikkerhetstiltakene være beskrevet for de ulike interessentgruppene i enkelt tilgjengelig og tilpasset informasjon og dokumentasjon Driftssikkerhet Driftssikkerhet er en vesentlig del av IT-sikkerheten ved siden av den betydningen den har for tilgjengelighet ( responstid ) og stabilitet ( oppetid ). Faktorer det legges vekt på for å oppnå tilfredsstillende driftssikkerhet, er: Et godt fysisk driftsmiljø med stabil strømforsyning, kjøling etc og med tilfredsstillende fysisk sikring mot urettmessig tilgang, tyveri, brann, vannskade etc Tilstrekkelig kapasitet på maskinvare og nett Reduksjon av kompleksitet Feiltolerante løsninger for viktige tjenester og funksjoner Sikring av tjenester og systemer, data og informasjon Informasjonssikkerhet Spesifikt for informasjonssikkerheten innebærer dette tiltak som sikrer alle parter følgende: Tilgjengelighet: Sikrer mot tap av eller avbrudd i tilgangen til informasjon og data Konfidensialitet: Sikrer mot ikke-autorisert innsyn i, endring av eller offentliggjøring av informasjon og data Integritet: Sikrer informasjonens og datas nøyaktighet, fullstendighet og opprinnelighet 3.2. Prinsipper for IT-sikkerhetsarbeidet IT-sikkerhetsarbeidet på Universitetet i Oslo bygger på følgende prinsipper: 1. Forankring i universitetets ledelse: IT-sikkerhetsarbeidet skal være tydelig forankret og godt kjent i universitetets ledelse og ha denne ledelsens uttalte støtte, oppmerksomhet og engasjement. IT-sikkerhetsledelse skal inngå som en del av lederoppgavene i linja 2. Kontinuerlig oppfølging: IT-sikkerhetsarbeidet skal rapporteres i linja for IT-sikkerhetsorganisasjonen i tråd med rutiner beskrevet i IT-sikkerhetshåndboka 3. Klart formulert grunnlag: Grunnlaget og retningslinjene for IT-sikkerhetsarbeidet skal være tydelig formulert og enkelt tilgjengelig, være godkjent av universitetets ledelse og være tilgjengelig for dem som måtte ha behov for eller legitim 2 of 4 15/09/14 20:29

9 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... interesse av det 4. Bevissthet om sårbarhet, trusler og risiko: Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av det generelle trusselbildet og hvilke sikkerhetstiltak dette krever. For kritiske systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover de generelle sikringstiltakene 5. Planlagte IT-sikkerhetstiltak: Det skal utarbeides årlige handlingsplaner med tiltak som skal gjennomføres for å redusere sårbarhet og bedre IT-sikkerheten 6. Tydelig ansvars- og oppgavedeling: Universitetet skal ha en IT-sikkerhetsorganisasjon der roller, beslutnings- og rapporteringslinjer er klart definert og der myndighet og fullmakter på de ulike nivåene er like klart definert. 7. Kartlagte og klassifiserte IT-tjenester: Det skal foreligge en oversikt over universitetets IT-tjenester og IT-systemer. I denne oversikten skal tjenestene og systemene klassifiseres i forhold til viktighet og denne klassifiseringen skal danne grunnlag for tiltak knyttet til sikring av tjenester og systemer 8. Roller og ansvar for den enkelte: For de ulike gruppene av personell (brukere, IT-ansatte etc) som kommer i berøring med IT-tjenestene og IT-systemene ved universitetet, skal det foreligge klare bestemmelser knyttet til arbeidsavtaler, taushetsplikt, sikkerhetsklarering med mer. Det skal eksistere tilbud om opplæring av de ulike gruppene for å sikre nødvendig kompetanse innen IT-sikkerhet. Det skal eksistere retningslinjer for representanter for tredjeparts tilgang til IT-tjenestene og IT-systemene 9. Forsvarlig fysisk sikring: Lokaler med IT-utstyr skal være forsvarlig fysisk sikret mot urettmessig tilgang, samt brann, vannskade, tyveri og lignende hendelser. Lokaler som huser kritiske IT-ressurser skal i tillegg ha sikker strømforsyning og et kontrollert miljø (kjøling, luftfuktighet etc) 10. Tilstrekkelig teknisk sikring: IT-systemene og IT-tjenestene skal være tilstrekkelig sikret teknisk mot uberettiget tilgang til og misbruk av data og IT-ressurser, mot redusert tjenestekvalitet og mot tap av data. Samtidig skal kravene til datas tilgjengelighet, konfidensialitet og integritet ivaretas 11. Identifiserbare brukere og prosesser: Universitetet i Oslo skal ha autoritative systemer for personinformasjon om brukere som grunnlag for identifikasjon, autentisering og autorisering i forhold til IT-systemer og IT-tjenester. Det skal eksistere retningslinjer for etablering og avvikling av brukernavn med tilhørende rettigheter og tjenester 12. Anskaffelse, utvikling og vedlikehold av IT-systemer: Det skal være spesifisert hva slags krav til IT-sikkerhet som skal legges til grunn ved anskaffelse og utvikling av IT-systemer. Tilsvarende skal det være klare rutiner knyttet til oppgradering og vedlikehold av tjenestene og systemene. Det skal være et regime for testing av ny programvare og nye systemer, samt oppgradering av eksisterende før dette settes i produksjon 13. Beredskap i forhold til sikkerhetshendelser: Universitetet skal ha en CERT-gruppe som følger opp hendelser som i sin konsekvens kan eksponere universitetets IT-ressurser for sårbarheter med påfølgende misbruk, ødeleggelse, tap av data, anseelse eller lignende og gjennomfører tiltak for å avverge eller redusere skadevirkningene. 14. Beredskap, kontinuitets- og katastrofeplan: 3 of 4 15/09/14 20:29

10 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Det skal eksistere beredskapsplaner for oppfølging og reaksjon ved feil og problemer, samt kontinuitets- og katastrofeplaner for håndtering av større og varige brudd på tilgangen til IT-tjenestene og IT-systemene. Det skal eksistere en oversikt over hvilke beredskaps- og kontinuitetstiltak som skal være knyttet til de ulike kategoriene av IT-tjenester 15. Etterleve lov- og regelverk: IT-virksomheten ved Universitetet i Oslo skal skje i overensstemmelse med relevant lov- og regelverk. Dokumentasjon av at så er tilfelle skal foreligge i den form og med den tilgjengelighet som den enkelte lov krever. Forhold som ikke faller inn under eksisterende lov- og regelverk skal reguleres av IT-reglement for Universitetet i Oslo med utfyllende bestemmelser Publisert 22. jan :45 - Sist endret 7. sep :53 4 of 4 15/09/14 20:29

11 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Kapittel 4: Risiko- og sårbarhetsvurderinger Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av det generelle trusselbildet og hvilke sikkerhetstiltak dette krever. For kritiske systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover de generelle sikringstiltakene. Innholdsfortegnelse 4.1. Det generelle trusselbildet 4.2. Virksomhetskritiske tjenester og systemer 4.3. Ikke-tolererbare trusler 4.4. Data som må sikres spesielt 4.5. Prosedyrer og rutiner 4.1. Det generelle trusselbildet Hvis vi holder katastrofer av ulikt slag (brann, naturkatastrofer og lignende) utenfor, så er det hensiktsmessig å beskrive det generelle trusselbildet langs tre akser: 1. Teknologi vs mennesker 2. Indre vs ytre trusler 3. Tilsiktete vs utilsiktete handlinger Utviklingen det siste tiåret har medført tre viktige endringer i det generelle trusselbildet av betydning for arbeidet med IT-sikkerhet: 1. Teknologi Teknologien er blitt viktigere fordi teknologien og de tekniske løsningene IT-virksomheten bygger på, blir stadig mer kompleks, samtidig som virksomhetens avhengighet av dem øker sterkt. Å sikre komplekse systemer er langt vanskeligere enn å sikre oversiktlige og enkle systemer og å sikre virksomhetskritiske systemer blir mer krevende enn tidligere 2. Ytre trusler I denne perioden har ytre trusler gjennom Internett mer eller mindre overtatt hovedrollen i trusselbildet, i motsetning til tidligere tider da indre trusler representerte den største risikoen 3. Tilsiktete handlinger Ytre trusler er svært ofte resultatet av tilsiktete handlinger, i mange tilfeller er handlingene overlagte og med åpenbart kriminelle hensikter. Mange av truslene er knyttet til at personer med illegitime hensikter skaffer seg tilgang til store mengder utstyr koplet til Internett og bruker dette til egne formål uten eiernes viten og gjør disse til stråmenn for illegitime handlinger Det første trekket er knyttet til den teknologiske utviklingen. I utgangspunktet vil IT-tjenester og IT-systemer med nødvendighet være beheftet av feil og mangler: De lages av mennesker De brukes av mennesker 1 of 4 15/09/14 20:30

12 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Og mennesker gjør med nødvendighet feil, både når de lager og når de bruker ting. I tillegg, IT-tjenestene og IT-systemene har vokst og vokser fortsatt i avhengighet og kompleksitet. Bak de stadig mer avanserte og funksjonelt rike tjenestene og systemene som benyttes, er det et stort antall programmer som skal samvirke direkte og indirekte i mer og mer komplekse interaksjoner. Det eneste som er sikkert med ny teknologi, er at den er grunnleggende usikker og inneholder sikkerhetshull og kostnadene ved å få tjenestene og systemene operative og sikre dem er sterkt økende. Det andre trekket er knyttet til utviklingen av Internett og bruken av dette i all slags virksomhet. I løpet av noen få år utviklet Internett seg fra en arena preget av samarbeid, godvilje og raushet til også å være en risikofylt omgivelse for virksomheten. Det er fire forhold som gjør at Internett er et sted der en skal trå noe varsommere enn tidligere: Det første er rekkevidde. Internett har gitt våre tjenester og vår kommunikasjon global rekkevidde, samtidig har det også gitt de mørke kreftene en arena med samme rekkevidde når det gjelder å spre informasjon om og utnytte sikkerhetshull, kompromittere systemer, samt distribuere verktøy for å utnytte sikkerhetshull og lignende Det andre forholdet går på automatisering. Tidligere var det en IT-faglig utfordring å bryte seg inn på andres datamaskiner. I dag kan enhver laste ned sofistikerte verktøy ( rootkit, virusgeneratorer etc) som kan automatisere massive angrep mot sikkerheten, tilgjengeligheten og stabiliteten på et stort antall systemer med et enkelt museklikk. Disse verktøyene er ofte oppdatert for å utnytte de sist oppdagete sikkerhetshullene før leverandøren er klar med oppgraderinger som fjerner hullet i sin programvare Det tredje forholdet går på ressurser. PC-er med mye rå maskinkraft og stor båndbredde kan sette i gang kraftige angrep, når de samme PC-ene samarbeider om oppgaven, kan angrepet ha ødeleggende virkning. Med spredningen av bredbånd er disse PC-ene på nett hele tiden Det fjerde har med penger å gjøre. Internett er blitt en viktig arena for forretningsvirksomhet med tilhørende pengetransaksjoner. Der det finnes penger, finnes det også krefter som ønsker å tilegne seg disse på uærlig vis I tillegg, gjennom å skaffe seg uberettiget adgang til andres maskiner økes slagkraften betydelig. I Internett finnes et stort antall maskiner som ikke er tilstrekkelig sikret. En vanlig strategi er å ta kontroll over et større antall av disse og benytte dem i et koordinert angrep. Det er nok av eksempler på angrep der bakmennene har skaffet seg tilgang til titusenvis av PC-er og der disse PC-ene uten eiernes vitende er brukt å utføre angrepet. Det tredje trekket er knyttet til noe av det samme. De ytre fiendene som bruker Internett som plattform for sin virksomhet utfører den med overlegg. Dette endres ikke av at det er en rekke brukere som uten å vite det løper disse kreftenes ærend. Motivasjonen til disse ytre fiendene varierer sterkt, fra å briske seg for venner og konkurrenter til kriminelle handlinger med økonomisk motiv. En vesentlig motivasjon er å skaffe seg urettmessig tilgang til andres ressurser for å bruke dem til ett eller annet formål av mer eller mindre lyssky karakter. Det kan være ressurser som kan brukes til å distribuere varer (musikk, filmer, programvare og lignende) ulovlig, det kan være ressurser som kan brukes i angrep på aktører og tjenester i Internet ( denial of service -angrep) eller lignende. En annen viktig motivasjon er jakten på penger, enten dette skjer ved å tilegne seg informasjon som har en verdi i et grått eller svart marked, drive utpressing eller på andre måter skaffe seg tilgang til andres penger (gjennom for eksempel svindel med kredittkort). En variant av dette er den markedsføringen som skjer via spam. En tredje motivasjon er ulike varianter av ødeleggelsestrang som blant annet mye av virusvirksomheten bygger på Virksomhetskritiske tjenester og systemer 2 of 4 15/09/14 20:30

13 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Virksomhetskritiske tjenester og systemer skal gjennomgå en konkret risiko- og sårbarhetsanalyse og påfølgende utforming av spesifikke sikringstiltak i tillegg til de generelle. En slik analyse er i utgangspunktet svarene som gis på noen enkle spørsmål: 1. Hvilke verdier har vi? 2. Hva vil tap av disse verdiene koste oss? 3. Hvilke trusler er disse verdiene eksponert for? 4. Hva er risikoen for at disse truslene blir manifeste? 5. Hva koster det å beskytte seg mot disse truslene? I teorien er spørsmålet om sikkerhetstiltak et økonomisk spørsmål, er det potensielle tapet (identifisert i spørsmål 2) multiplisert med risikoen (spørsmål 4) større enn kostnadene ved sikkerhetstiltaket (spørsmål 5)? Hvis svaret er ja er sikkerhetstiltaket regningssvarende, hvis nei vil ikke tiltaket bli iverksatt dersom ikke andre forhold veier så tungt at tiltaket allikevel må iverksettes. I utgangspunktet er det vanskelig å fastsette verdier og potensielle verditap når det gjelder IT-virksomheten. Materielle verdier kan vanligvis lett verdsettes, men disse utgjør en stadig mindre del av en organisasjons verdier. Det er langt vanskeligere å verdsette verdier av immateriell karakter, prosesser, kompetanse, omdømme og lignende, samt verdien knyttet til tilgjengelighet og stabilitet av tjenester, systemer og data. For en del virksomhetskritiske tjenester og systemer er det allikevel nødvendig å gå konkret inn på disse forholdene og vurdere hva slags spesifikke sikringstiltak som er nødvendig. Ansvaret for dette ligger hos tjeneste- eller systemeier i tett samarbeid med USIT. Eksempler på slike tjenester og systemer er: Universitetets adgangskontrollsystem og anlegg for sentral drift ( SD-anlegg ) Lønns- og personalsystemet SAPUiO Felles studentsystem (FS) Økonomisystemet E-posttjenesten Brukeradministrasjonssystemet Lagrings- og backuptjenestene Katalogtjenestene ( LDAP, Active Directory ) 4.3. Ikke-tolererbare trusler I utgangspunktet er det en del trusler som universitetet ikke kan leve med og som i størst mulig grad skal elimineres. Dette omfatter trusler som i sin konsekvens kan medføre eller innebære: Skade på liv og helse Vedvarende, vesentlige avbrudd av primærvirksomheten Vesentlige materielle skader Omfattende tap av omdømme Vedvarende brudd på lov- og regelverk 4.4. Data som må sikres spesielt I den daglige og langsiktige virksomheten er universitetets virksomhet avhengig av data fra informasjonssystemene. Dette gjelder først og fremst systemene som leverer autoritative data til andre systemer: 3 of 4 15/09/14 20:30

14 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Lønns- og personalsystemet SAPUiO Felles studentsystem (FS) I samme klasse stiller også det brukeradministrative systemet. Det vil også være svært ødeleggende for universitetet dersom data i økonomisystemet og arkivsystemet mistes eller blir gjenstand for uautorisert endring. Utover dette vil forskningsdata i viktige forskningsprosjekter og forskningsdata som er innsamlet i tråd med avtale med tredjepart eller med hjemmel i lov om personopplysninger måtte sikres spesielt mot tap og uautorisert tilgang Prosedyrer og rutiner I tilknytning til dette kapittelet er følgende prosedyrer utarbeidet: Prosedyre for sårbarhets- og risikovurdering av virksomhetskritiske systemer og tjenester Publisert 22. jan :45 - Sist endret 29. aug :09 4 of 4 15/09/14 20:30

15 Kapittel 5: Årsplan for IT-sikkerhetsarbeidet - Universitetet i Oslo Kapittel 5: Årsplan for IT-sikkerhetsarbeidet Det skal utarbeides årlige handlingsplaner med tiltak som skal gjennomføres for å redusere sårbarhet og bedre IT-sikkerheten. Innholdsfortegnelse 5.1. Planverk 5.2. Prosedyrer og rutiner 5.1. Planverk Det utarbeides årsplaner for IT-sikkerhetsarbeidet på linje med andre deler av IT-virksomheten. Årsplanene redegjør for prioriterte tiltak på området. Årsplanen utarbeides av IT-sikkerhetssjefen og godkjennes av IT-direktøren og legges fram for universitetsdirektøren til orientering. Det rapporteres tertialvis på årsplanen Prosedyrer og rutiner Ingen prosedyrer. Publisert 22. jan :45 - Sist endret 12. aug :24 1 of 1 15/09/14 20:30

16 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse Universitetet skal ha en IT-sikkerhetsorganisasjon der roller, beslutnings- og rapporteringslinjer er klart definert og der myndighet og fullmakter på de ulike nivåene er like klart definert. Innholdsfortegnelse 6.1. Sikkerhetsarbeid på universitetet Beslutnings- og rapporteringslinje Annen delegering av fullmakter, autorisering 6.2. IT-sikkerhetsorganisasjonen IT-direktøren IT-sikkerhetssjef Leder av UiO-CERT Underdirektører, Seksjons- og gruppeledere Tjenesteeier Lokale IT-ansvarlige 6.3. Administrativ IT Strategisk systemeier Systemeier 6.4. Andre roller og funksjoner Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør 6.5. Internkontroll og Internrevisjon 6.6. Prosedyrer og rutiner 6.1. Sikkerhetsarbeid på universitetet Ansvaret for IT-sikkerhetsarbeidet følger styringslinja fra universitetsdirektøren til grunnenhetene. Det operative ansvaret for IT-sikkerheten er delegert fagavdelingen, USIT v/it-direktøren og følger linja i IT-organisasjonen ned til den enkelte IT-tilsatte, inkludert lokale IT-tilsatte. IT-sikkerhet utgjør sammen med fysisk sikkerhet og HMS (Helse, miljø og sikkerhet) de tre delene av sikkerhetsarbeidet ved universitetet. Universitetsdirektøren er øverste ansvarlig for sikkerhetsarbeidet: Ansvar for at det er utformet rutiner, prosedyrer, organisatoriske og praktiske tiltak som sikrer at virksomheten kan foregå i tråd med gitte retningslinjer og ivaretar universitetets krav til sikringsnivå: På IT-sikkerhetsområdet er dette ansvaret delegert IT-direktøren. Gjennom denne delegasjonen utøver IT-direktøren gjennom IT-sikkerhetssjefen myndighet for IT-sikkerhet på vegne av universitetsdirektøren på hele universitetet Ansvar for at disse bestemmelsene etterleves i den ordinære virksomheten: Dette ansvaret følger linja fra universitetsdirektøren via fakultetsledelsen til ledelsen ved grunnenhetene 1 of 4 15/09/14 20:31

17 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... (institutt, avdeling, randsoneenhet etc) Utover dette kommer roller og funksjoner med spesielle oppgaver av betydning for IT-sikkerheten: Strategisk systemeier Tjeneste- og systemeiere/-forvaltere Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør Enhet for intern revisjon (EIR) er tillagt ansvar for å etterse at internkontroll er tilfredsstillende etablert for all virksomhet på universitetet, inkludert de ulike områdene av sikkerhetsarbeidet Beslutnings- og rapporteringslinje Beslutnings- og rapporteringslinjs i IT-sikkerhetsarbeidet følger styringslinja i universitetets organisasjon Annen delegering av fullmakter, autorisering Delegering av fullmakter og myndighet på IT-sikkerhetsområdet utover det som er beskrevet i IT-sikkerhetshåndboka, følger linja i universitetets organisasjon. All delegering skal være dokumentert og bekjentgjort på hensiktsmessig måte IT-sikkerhetsorganisasjonen Universitetsdirektøren er øverste ansvarlig for IT-sikkerheten ved Universitetet i Oslo IT-direktøren IT-direktøren er delegert myndighet og har ansvar for IT-sikkerheten på universitetet, jf IT-direktørens ansvar og oppgaver. Dette innebærer blant annet ansvar for: At IT-sikkerhetshåndboken gjennomgår en årlig revisjon og at denne godkjennes av universitetsdirektøren At det foreligger rutiner og prosedyrer som sikrer oppfølging av retningslinjene i IT-sikkerhetshåndboka At det foreligger årsplan for IT-sikkerhetsarbeidet og at status på området rapporteres i tråd med rutinene for virksomhetsrapportering på universitetet IT-sikkerhetssjef IT-sikkerhetssjefen utøver IT-direktørens myndighet innen IT-sikkerhetsområdet og rapporterer til denne, jf stillingsbeskrivelsen for denne stillingen Leder av UiO-CERT Leder av UiO-CERT-gruppa er av IT-direktøren tildelt ansvar og myndighet for daglig oppfølging av sikkerhetshendelser i tråd med retningslinjene i kapittel 13 Håndtering av sikkerhetshendelser. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen Underdirektører, Seksjons- og gruppeledere Underdirektører, seksjons- og gruppeledere på USIT har ansvar for USITs tjenesteleveranser og at disse følger retningslinjene i IT-sikkerhetshåndboka, jf ansvar og oppgaver tillagt linjeledere på USIT i Funksjons- og bemanningsplan for USIT Tjenesteeier For hver av IT-tjenestene definert i tjenestekatalogen skal det på USIT være en tjenesteeier som blant annet er 2 of 4 15/09/14 20:31

18 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... ansvarlig for at tjenesten som leveres følger retningslinjene i IT-sikkerhetshåndboka Lokale IT-ansvarlige Lokale IT-ansvarlige er ansvarlig for at lokal IT-virksomhet skjer i tråd med bestemmelsene i IT-sikkerhetshåndboka. Ved tvil skal IT-sikkerhetssjefen konsulteres Administrativ IT I behandlingen av anbefalingene i Administrative IT-systemer fra IHR-plangruppe for administrativ IT besluttet universitetsstyret 27. januar 2012 følgende: Et entydig definert systemeierskap Et entydig ansvars- og myndighetskart Et veikart for administrative IT-systemer En strategisk koordineringsgruppe En rådgivnings- og sekretariatsfunksjon Strategisk systemeier Strategisk systemeier er bindeleddet mellom universitetsledelsen, USIT og systemeierne i IT-sikkerhetsspørsmål Systemeier Systemeier er ansvarlig for å spesifisere krav til IT-sikkerheten ved disse, sikre at disse er i tråd med bestemmelsene i IT-sikkerhetshåndboka og sikre at dette følges opp av drifts- og utviklingsorganisasjonen i tråd med beskrivelse av ansvar og myndighet i Styring og forvaltning av administrativ IT Andre roller og funksjoner Ved siden av ovennevnte har følgende roller og funksjoner betydning for arbeidet med IT-sikkerhet: Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør Personvernombud Personvernombudet ivaretar deler av Datatilsynets oppfølgingsansvar i forhold til lov om personopplysninger med tilhørende forskrift. Personvernombudet skal påse at den behandlingsansvarlige følger de lover og forskrifter som gjelder for behandlinger av personopplysninger, samt å føre en fortegnelse over behandlinger av personopplysninger. Personvernombudet skal: Bistå den registrerte med å ivareta sine rettigheter Påse at behandlingen av personopplysninger blir meldt til ombudet og at innmeldingene inneholder korrekte og tilstrekkelige opplysninger i forhold til bestemmelsene i personopplysningsloven med tilhørende forskrifter Føre en systematisk og offentlig tilgjengelig oversikt over alle slike behandlinger Ved Universitetet i Oslo er personvernombud delt i to: Norsk Samfunnsvitenskapelige datatjeneste (NSD), Bergen er personvernombud for behandlinger i forskningsøyemed 3 of 4 15/09/14 20:31

19 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... Morten Opsal, Enhet for intern revisjon, er personvernombud for administrative behandlinger Behandlingsansvarlig Behandlingsansvarlig bestemmer formålet ved behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes i behandlingen av disse på universitetet. Behandlingsansvarlig ved UiO er Universitetsdirektøren. Behandlingsansvarlig er ansvarlig for all behandling av personopplysninger ved UiO, skal påse at lov og forskrift etterfølges og skal holde oversikt over innmeldte behandlinger. Ved Universitetet i Oslo er dette ansvaret delegert til juridisk rådgiver Märtha Felton. Det følger av ordinær delegering av ansvar, at den enkelte avdelingsleder/instituttleder er ansvarlig for den behandling av personopplysninger som blir foretatt ved den enkelte avdeling/institutt. Dette ansvaret kan igjen delegeres videre Kommunikasjonsdirektør Kommunikasjonsdirektøren er ansvarlig for intern og ekstern informasjon i krisesituasjoner i tråd med den generelle sikkerhetsinstruksen for Universitetet i Oslo Internkontroll og Internrevisjon Internkontroll defineres som en kontinuerlig prosess, iverksatt, gjennomført og overvåket av institusjonens styre, ledelse og ansatte. Den utformes for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og kostnadseffektiv drift Pålitelig regnskapsrapportering og økonomiforvaltning Overholdelse av lov- og regelverk Enhet for intern revisjon (EIR) har som sitt ansvarsområde å føre tilsyn med at den etablerte interne kontrollen fungerer som planlagt og eventuelt om den har mangler eller svakheter. Det skjer gjennom revisjoner som er planlagte og systematiske undersøkelser av et spesifikt tema. EIR har en årsplan å arbeide etter der disse temaene er beskrevet. EIR utøver i tillegg rådgiving og veiledning innenfor fagfeltet internkontroll og bidrar med kvalitetssikringsaktiviteter Prosedyrer og rutiner Ingen prosedyrer. Publisert 22. jan :45 - Sist endret 11. sep :38 4 of 4 15/09/14 20:31

20 Kapittel 7: IT-tjenester og informasjonsressurser - Universitet... Kapittel 7: IT-tjenester og informasjonsressurser Det skal foreligge en oversikt over universitetets IT-tjenester og IT-systemer. I denne oversikten skal tjenestene og systemene klassifiseres i forhold til viktighet og denne klassifiseringen skal danne grunnlag for tiltak knyttet til sikring av tjenester og systemer. Innholdsfortegnelse 7.1. Tjenestekatalog og konfigurasjonsdatabase Operative tjenester Utviklingstjenester Støttetjenester Veikart for administrativ IT 7.3. Klassifikasjon av IT-tjenestene Viktighet = 5 (uviktige tjenester) Viktighet = 4 (test/utviklingstjenester, lite viktige tjenester) Viktighet = 3 (normal) Viktighet = 2 (viktige systemer) Viktighet = 1 (høy viktighet) 7.4. Informasjonsressursene Klassifisering av informasjonsressursene Behandling av personopplysninger Særskilte tillatelser, sikkerhetsklareringer mm Behandling av særskilte typer data Lagring av informasjon og data 7.5. Ressurser eid av tredjepart 7.6. Prosedyrer og rutiner IT-tjenester er en kombinasjon av flere IT-ressurser: IT-infrastrukturen med nettet på universitetet og forbindelsene til omverdenen Maskinvare, inkludert brukernes arbeidsplassutstyr Programvare, inkludert databaser, applikasjoner, informasjonssystemer etc For IT-tjenestene skal det eksistere en klassifikasjon i forhold til viktighet for daglig og langsiktig virksomhet på universitetet. Implisitt i denne klassifiseringen vil det også ligge en klassifisering av det maskinutstyret og den programvaren som inngår i tjenesteproduksjonen og den kompetansen og kunnskapen som IT-organisasjonen trenger for å tilby tjenesten. Informasjonsressurser omfatter alle typer data og informasjon som er lagret på universitetets utstyr og gjøres tilgjengelig ved hjelp av IT-tjenestene. IT-sikkerhetshåndboka omfatter IT-tjenester og informasjonsressurser som eies eller forvaltes av Universitetet i Oslo eller enheter tilknyttet universitetet og som er tilgjengelig på universitetets nett. 1 of 6 15/09/14 20:32

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring Side 1 av 5 Enhet for Intern Revisjon REVISJONSRAPPORT IT-tilgangsstyring Distribusjon: IT-direktøren OPA Kopi: Universitetsdirektøren Gjennomført februar - september 2013 Revisorer: Morten Opsal Blindern,

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Notat: Organisering og styring av universitetets IT-virksomhet

Notat: Organisering og styring av universitetets IT-virksomhet Notat: Organisering og styring av universitetets IT-virksomhet Til: Fra: Kopi til: SAB-arbeidsgruppe for organisasjons- og beslutningsstruktur IT-direktøren USITs ledelse Dato: 5. september 2015 Referanse:

Detaljer

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte - Styret - Rektor - Leder for Organisasjonsavdelingen -

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Bilag 6 Vedlegg 3 Definisjoner

Bilag 6 Vedlegg 3 Definisjoner Bilag 6 Vedlegg 3 Definisjoner Saksnummer 13/00203 1 / 7 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 0.1 16.05.2013 Difi Dokument distribuert til tilbydere 02. 01.11.2013 Difi Ny definisjon

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

Informasjonssikkerhetsprinsipper

Informasjonssikkerhetsprinsipper Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

IT for et fremragende universitet

IT for et fremragende universitet Møte m/sab arbeidsgruppe 4 29. september 2015 IT for et fremragende universitet Lars Oftedal Spørsmålene Hva kan IT bidra med i form av tjenester, ressurser, løsninger og kompetanse slik at universitetet

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef

Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef Hvordan være lur Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef To hoveddeler Jus og personvern IT-sikkerhet i det daglige Hva er personopplysninger? Personopplysninger er alle former

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Innholdsfortegnelse Service Level Agreement (SLA)... 1 1 Generelle offentlige og juridiske krav... 3 2 Introduksjon... 3 3 Omfang... 3 4 Tjenestekvalitet og klassifisering

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi

Detaljer

3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon

3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon 1 Innhold 1 INNLEDNING... 3 1.1 BESKRIVELSE BILAG 1... 3 2 AVTALENS OMFANG... 4 2.1 KUNDENS FORMÅL MED AVTALEN... 4 3 KRAV TIL DRIFT AV TILBUDT

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Plan for informasjonssikkerhet Bjugn kommune

Plan for informasjonssikkerhet Bjugn kommune Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

PACS 2005. IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

PACS 2005. IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig IT-sikkerhet i foretakene - ansvar og roller Helge Gundersen IKT-rådgiver / IT-sikkerhetsansvarlig Historisk: PACS 2005 Regionalt samarbeid innefor IT Formalisert samarbeid mellom 3 fylkeskommuner Felles

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem)

Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem) Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem) Versjon 10. juni 2013 1 Bakgrunn Samarbeidstiltaket FS er et samarbeid mellom norske universiteter og høgskoler med ansvar for å videreutvikle

Detaljer

FS skal være det ledende studieadministrative systemet i Norge, og langt framme internasjonalt.

FS skal være det ledende studieadministrative systemet i Norge, og langt framme internasjonalt. Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem) Versjon 26. november 2012 1 1. Innledning Samarbeidstiltaket FS er et samarbeid mellom norske universiteter og høgskoler med det formål

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Styringssystem for informasjonssikkerhet i Arbeidstilsynet

Styringssystem for informasjonssikkerhet i Arbeidstilsynet 2 Styringssystem for informasjonssikkerhet i Arbeidstilsynet 11. Juni 2014 Bjørn S. Larsen Direktoratet for arbeidstilsynet bjorn.larsen@arbeidstilsynet.no 3 Drivere Riksrevisjonen 17-18 oktober 2011 Riksrevisjonen

Detaljer

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Styringsdokument for personvern, informasjonssikkerhet og beredskap Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Direktiv Krav til sikkerhetsstyring i Forsvaret

Direktiv Krav til sikkerhetsstyring i Forsvaret Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

Felles studieadministrativt tjenestesenter FSAT. Strategi

Felles studieadministrativt tjenestesenter FSAT. Strategi Felles studieadministrativt tjenestesenter FSAT Strategi Styreleder Christen Soleim Opprettelse For å sikre videreutvikling av de studieadministrative tjenestene, besluttet Kunnskaps-departementet 14.

Detaljer

Digitaliseringsstrategi 2014-2029

Digitaliseringsstrategi 2014-2029 Digitaliseringsstrategi 2014-2029 Stavanger kommune Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet.

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket RUTINER FOR BEHANDLING AV STUDENTOPPLYSNINGER VED UNIVERSITETET I TROMSØ Fastsatt av universitetsdirektøren 04.07.05, jf. pkt. 1.5 i Instruks for behandling av personopplysninger ved Universitetet i Tromsø(instruksen).

Detaljer

STRATEGISK PLAN

STRATEGISK PLAN STRATEGISK PLAN 2010 2015 IT-AVDELINGEN UNIVERSITETET I BERGEN Brukerorientering Kvalitet Samarbeid Etikk SIDE 1 v. 1.00, 24. juni 2010 VISJON IT-avdelingen ved UiB skal produsere og levere IKT-tjenester

Detaljer

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen. Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for

Detaljer

Kompetansemål fra Kunnskapsløftet

Kompetansemål fra Kunnskapsløftet Datasikkerhet 2ISFA Kompetansemål fra Kunnskapsløftet yte service gjennom brukerstøtte og kommunikasjon med brukere yte service gjennom driftsstøtte og kommunikasjon med leverandører og fagpersonell på

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Olje- og energidepartementet

Olje- og energidepartementet Olje- og energidepartementet 1 Olje- og energidepartementets forvaltning og gjennomføring av budsjettet for 2009 1.1 Generelt om resultatet av revisjonen Tabell 1.1 (tall i mill. kroner)* Utgifter Inntekter

Detaljer

Risikobildet - forvaltningsområder. Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009.

Risikobildet - forvaltningsområder. Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009. Risikobildet - forvaltningsområder Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009. Risikobilde Forvaltningsområdet Utgangspunktet E&Ys risikovurdering

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK Byrådssak 1191 /15 Klassifisering av informasjonssystemer i Bergen kommune LIBR ESARK-1727-201512221-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en rapport som

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Digitaliseringsstrategi

Digitaliseringsstrategi Digitaliseringsstrategi 2014 2029 Innsatsområder Ansvar og roller Mål Brukerbehov Utfordringer Verdigrunnlag Digitaliseringsstrategien Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer