Bergen kommunes strategi for informasjonssikkerhet
|
|
- Arne Langeland
- 8 år siden
- Visninger:
Transkript
1 Bergen kommunes strategi for informasjonssikkerhet Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid. Side 1 av 12
2 Innholdsfortegnelse Innledning 3 Visjon og overordnet perspektiv 3 Bakgrunn 4 Informasjonssikkerhet langt mer en teknologi 4 Sammensatt og kompleks informasjonsplattform 5 Den "menneskelige brannmur 5 Tidligere arbeid 6 Samarbeid og samspill 6 Sentrale strategier og føringer i Bergen kommune 6 Overordnete veiledninger og føringer 6 Nasjonalt regelverk 7 Personopplysningsforskriften og kravene 7 Fokusområder, målsetninger og strategiske tiltak 8 Fokusområder 8 Fokusområde 1 - organisering, systematikk og styring 8 Strategisk nivå (Jf. figur 1, over) 9 Taktisk nivå (Jf. figur 1) 10 Operasjonelt nivå (Jf. figur 1) 10 Overordete tiltak 11 Fokusområde 2 - informasjon, bevisstgjøring og sikkerhetskultur 12 Overordnete tiltak 12 Side 2 av 12
3 Innledning Informasjon er et aktivum som, i likhet med andre viktige virksomhetsaktiva, har verdi for en organisasjon og derfor må vernes på forsvarlig måte. Informasjonssikkerhet beskytter informasjon mot utautorisert innsyn, uautorisert endring og sikrer nødvendig tilgjengelighet. Bergen kommune forvalter viktig informasjon om kommunens ansatte, innbyggere, organisasjoner og virksomheter. Fokus på informasjonssikkerhet er viktig i kommunens daglige drift, både som et ledd i gjennomføring av de daglige oppgaver og for å kunne gi innbyggerne den nødvendige tillit til at informasjonen deres blir ivaretatt på en god måte. Informasjons- og kommunikasjonsteknologi (IKT) brukes i stadig større grad som verktøy i kommunens ulike behandlingsformål. Det forventes en fortsatt økning i bruk av IKT i årene fremover. Økt bruk av IKT øker også kompleksitet i kommunens informasjonsplattform, dvs. kommunens totale portefølje av informasjonsbehandlinger, noe som igjen kan føre til økt risiko for brudd på informasjonssikkerheten. Verdien av informasjonen er ofte høy og konsekvensene tilsvarende store dersom informasjonen skulle gå tapt, bli skadet eller på annen måte ikke bli ivaretatt på en tilstrekkelig trygg måte. Denne strategien vil være gjeldene for perioden frem til og med Strategien skal revideres årlig for å sikre at den er oppdatert, med hensyn til styrende dokumenter og føringer. På grunnlag av en rekke uønskete hendelser i løpet av 2010 har nødvendigheten av å styrke informasjonssikkerheten i Bergen kommune blitt tydelig. Derfor øker nå ledelsen fokus på informasjonssikkerhet. Med denne strategien ønsker ledelsen i Bergen kommune å starte arbeidet med å styrke sikkerhetskulturen gjennom planmessig og systematisk arbeid i hele organisasjonen. Visjon og overordnet perspektiv Målet med strategien er å legge til rette for å realisere Bergen kommunes visjon om en organisasjon med fokus på informasjonssikkerhet i alle ledd, hvor informasjonssikkerhet håndteres planmessig og systematisk og blir en naturlig del av organisasjonskulturen. Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid. (Rune Haugsdal) Side 3 av 12
4 Bakgrunn Overordnet kan man anse informasjonssikkerhet som egenskaper med en hver form for informasjon. En hver bit med informasjon kan klassifiseres på grunnlag av hvilke krav som stilles til beskyttelse av den. Det være seg krav til beskyttelse mot uautorisert innsyn (konfidensialitet) og uautorisert endring (integritet), samt sikre nødvendig tilgjengelighet. Det siste tiåret har det vært en overgang fra manuell, papirbasert forvaltning til elektronisk og automatisert forvaltning og elektroniske tjenester. Dette virker både effektiviserende internt i offentlig forvaltning, og skaper et grunnlag for større grad av kontroll og medvirkning for publikum. Samtidig skaper økt bruk av IKT behov for nye og endrete behandlingsprosesser. Dette fører igjen til økt kompleksitet og dermed større utfordringer for informasjonssikkerheten ved at informasjon behandles og blir spredt i større grad en tidligere. Informasjonssikkerhet langt mer en teknologi IKT krever teknologiske sikringstiltak for å tilby et minimum av sikkerhet. Samtidig er det fortsatt en rekke behandlingsprosesser som i stor grad foregår med manuelle rutiner og de alle fleste behandlingsprosesser har fortsatt et visst tilsnitt av manuelle rutiner knyttet til seg. For eksempel papirbaserte skjema og per brev. Manuelle, papirbaserte prosesser er underlagt de samme lover og regler for informasjonssikkerhet som de elektroniske. Kravene til informasjonssikkerhet handler om hvordan kommunen best mulig skal beholde kontroll og samtidig sikre sine informasjonsbehandlinger på forsvarlig vis, i henhold til regelverket. Det handler med andre ord om å hindre uønskede hendelser i form av uautorisert innsyn, uautorisert endring eller utilgjengelighet. Dette er uavhengig av om informasjonen lagres eller behandles elektronisk eller manuelt. Informasjonssikkerhet handler om sikring av den informasjonen som behandles til en hver tid. Dette gjelder i en hvilken som helst behandlingsprosess og det gjelder enten behandling foregår elektronisk eller manuelt. For å skape trygghet om at informasjonssikkerheten er ivaretatt kreves et bevisst forhold til hvilken informasjon som behandles, til hvilket formål og til risikoen ved hvert behandlingsformål. Side 4 av 12
5 Sammensatt og kompleks informasjonsplattform Økt bruk av elektronisk informasjonsbehandling og stadig flere koblinger mellom de ulike behandlingene fører til en vesentlig økning i kompleksitet i det vi kan kalle informasjonsplattformen til Bergen kommune. Økende kompleksitet krever økt innsats for å beholde kontroll. Det stiller høyere krav til ulike prosess- og systemeiere om hvordan de skal opprettholde kontroll og oversikt over grunnleggende forhold som formålet med en informasjonsbehandling, oversikt over hvilke data som skal og bør behandles og hvilke krav som skal og bør stilles til sikring av denne informasjonen. Den "menneskelige brannmur Informasjonssikkerhet handler altså om å beskytte den informasjonen man ikke har anledning til å la komme på avveier eller på annen måte bli utsatt for noe uønsket. Store mengder informasjon som behandles i kommunens informasjonsplattform er av en karakter som gjør at den må håndteres med forsiktighet. Med forsiktighet menes at man i større grad behandler informasjonen med grunnleggende forståelse for de kravene som stilles til sikring av informasjonen som behandles. Dessverre oppfatter alt for mange at informasjonssikkerhet er en teknologisk løsning som kan skrues av eller på. Faktum er at stadig flere sikkerhetstrusler innebærer en eller annen form for menneskelig involvering. Enten det handler om å trykke på en lenke til en smittebærende nettside, åpne et pdf-dokument som innholder mer enn bare informasjon, koble kommunens bærbare pc til et usikret trådløst nettverk, ta med seg data ut av organisasjonen på en minnepenn, ta med seg infisert minnepenn inn i organisasjonen eller bare oppgi passordet sitt til uvedkommende. Den stadig mer profesjonelle hacker-industrien blir mer og mer vellykket desto dyktigere den blir til å utnytte den menneskelige faktor. De siste årene har fokus blitt rettet mot brukeren og mulighetene for å kombinere teknologiske svakheter med muligheten for å utnytte enkeltmenneskers nysgjerrighet, grådighet eller redsel. Ved å spille på en eller flere av disse tre faktorene utnytter angripere sluttbrukeren for å komme forbi de teknologiske sikkerhetsmekanismene for å tilegne seg taushetsbelagt og beskyttelsesverdig informasjon. Uansett hvor mange og gode fysiske og logiske barrierer en organisasjon måtte ha, vil det alltid være relativt enkelt for en tiltrodd ansatt å forbigå disse uten nødvendigvis å være bevisst et sikkerhetsbrudd. De ansatte er som brannmurer, de må få definerte regelsett for å vite hva som skal slippe inn og ut av organisasjonen. De siste par årene har man sett eksempler på at de ansattes manglende opplæring og forståelse kan skape store problemer i en organisasjon. Store organisasjoner, også innen offentlige sektor, i Norge har opplevd store tap som følge av for lite fokus på og forståelse for informasjonssikkerhet. Ved å forstå bakgrunnen for et hvert sikkerhetsbrudd kan dette fortelle oss noe om hvordan de best kan unngås. Det hjelper ikke bare å ha oppdatert programvare, antivirusløsning og brannmurer når de ansatte ikke har klare grenser og et klart definert ansvar for sikkerheten i sin egen arbeidshverdag. Den "menneskelige brannmur" er det svakeste ledd. Derfor er det viktig å sørge for at alle medarbeidere kjenner sitt eget og andres ansvar for å bidra til økt informasjonssikkerhet. Side 5 av 12
6 Rammebetingelser Tidligere arbeid I gjennomførte Bergen kommune en bevisstgjøringskampanje om informasjonssikkerhet som førte til det første informasjons- og dokumentasjonsløftet på dette området. Den gang ble det satt i gang en prosess for å bygge opp et styrings- og internkontrollsystem for informasjonssikkerhet, nå skal dette arbeidet videreutvikles og ferdigstilles. Prosessen som ble satt i gang danner et grunnlag av erfaringer og forståelse for hvordan man bør gå frem for å nå målet om et godt og systematisert arbeid med informasjonssikkerhet i Bergen kommune. Samarbeid og samspill Bergen kommune er som en av få kommuner etablert som dialog- og samarbeidspartner i flere nasjonale og regionale samarbeidsfora. Det er etablert god dialog med sentrale myndigheter som Datatilsynet, Helsedirektoratet, Norsk senter for informasjonssikring (NorSIS), Direktoratet for forvaltning og IKT (DIFI) og regionalt med Fylkesmannen i Hordaland. Denne typen samarbeid er viktig både for å holde seg godt orientert og for å få mulighet til å påvirke utviklingen av fagområdet. Sentrale strategier og føringer i Bergen kommune Denne strategien er ment å fungere både på grunnlag av og i sammenheng med andre sentrale strategier, styrende dokumenter og føringer i Bergen kommune. Her nevnes noen av disse: IKT-strategien HR-strategien Etisk standard Revisjonsrapport Informasjonssikkerhet og behandling av personopplysninger Overordnete veiledninger og føringer De siste årene har informasjonssikkerhet fått økt fokus fra sentrale myndigheter. I 2003 kom den første nasjonale strategien for informasjonssikkerhet. I 2007 kom regjeringens "Nasjonale retningslinjer for å styrke informasjonssikkerheten ". Disse retningslinjene har tre hovedmålsetninger. 1. Robust og sikker kritisk infrastruktur og støttesystemer for kritiske samfunnsfunksjoner 2. God sikkerhetskultur ved utvikling og bruk av informasjonssystemer og ved elektronisk informasjonsutveksling 3. Høy kompetanse og fokus på forskning om informasjonssikkerhet I tillegg har man en rekke andre føringer å forholde seg til, slik som Datatilsynets retningslinjer om personopplysningsforskriftens sikkerhetsbestemmelser, Datatilsynets veiledning om internkontroll og informasjonssikkerhet, Norm for informasjonssikkerhet i helsesektoren og Sikkerhetsloven med forskrifter for å nevne noen. Norsk sikkerhetsmyndighet (NSM) ga i 2008 ut en veiledning til klassifisering og beskyttelse av informasjon. I 2009 deltok Bergen kommune i arbeidet med en risiko- og sårbarhetsanalyse for Hordaland fylke. I denne FylkesROS-en inngikk også en analyse av informasjonssikkerhetsområdets i lys av kritisk infrastruktur. Her ble det blant annet pekt på manglende sikkerhetskultur og - styring som en kritisk risiko. Side 6 av 12
7 Dette er blant de føringene som har vært med på å forme strategien og fungerer som et utgangspunkt for Bergen kommunes arbeid med informasjonssikkerhet fremover. Nasjonalt regelverk Informasjonssikkerheten i Bergen kommune og offentlig forvaltning generelt er regulert av en rekke lover og regler. Under nevnes noen av de viktigste: Utvalgte lover og forskrifter Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) Lov om kommuner og fylkeskommuner (kommuneloven) Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften) Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Forskrift om informasjonssikkerhet (forskrift til sikkerhetsloven) Lov om behandling av personopplysninger (personopplysningsloven) Forskrift om behandling av personopplysninger (personopplysningsforskriften) Både de overnevnte og en rekke annet regelverk stiller krav til informasjonssikkerhet, men kravene til systematisk arbeid med informasjonssikkerhet er klarest uttrykt i personopplysningsforskriften. Derfor benyttes denne gjerne som felles utgangspunkt for hva man bør ivareta for å oppnå tilstrekkelig grad av informasjonssikkerhet. Personopplysningsforskriften og kravene I forskriftens kapittel 2 listes det opp 16 spesifikke krav til informasjonssikkerhet: 1. Forholdsmessige krav om sikring av personopplysninger 2. Pålegg fra Datatilsynet 3. Sikkerhetsledelse 4. Risikovurdering 5. Sikkerhetsrevisjon 6. Avvik 7. Organisering 8. Personell 9. Taushetsplikt 10. Fysisk sikring 11. Sikring av konfidensialitet 12. Sikring av tilgjengelighet 13. Sikring av integritet 14. Sikkerhetstiltak 15. Sikkerhet hos andre virksomheter 16. Dokumentasjon Kravene til informasjonssikkerhet er her tydelige og konkrete. Dette følges opp i kapittel 3 med krav om internkontroll (compliance) og "systematiske tiltak for behandling av personopplysninger". Kort oppsummert kan man si at det dreier seg om å etablere en systematisk og dokumentert tilnærming for å forsikre organisasjonen om at alle informasjonsbehandlinger overholder kravene som stilles gjennom lover og regler. Norm for informasjonssikkerhet i helsesektoren 2 i kombinasjon med Datatilsynets veiledning om internkontroll og informasjonssikkerhet 3 ivaretar alle kravene i personopplysningsforskriften. Planen er å benytte denne normen som utgangspunkt for å bygge et planmessig og veldokumentert styrings- og internkontrollsystem for informasjonssikkerhet for Bergen kommune Side 7 av 12
8 Fokusområder, målsetninger og strategiske tiltak Personopplysningsforskriften er tydelig i sitt krav om virksomheters plikt til å definere egne sikkerhetsmål og -strategi 4. I Bergen kommune er sikkerhetsmål og -strategi i første rekke uttrykt gjennom denne strategien for informasjonssikkerhet, men også IKT-strategien har elementer av informasjonssikkerhet. I det følgende blir det gjort rede for hvilke strategiske satsingsområder Bergen kommune må fokusere på for å styrke informasjonssikkerheten. Fokusområder Hvert fokusområde er basert på en strategisk målsetning som skal understøtte og sikre at kommunen ivaretar personopplysninger og andre informasjonsverdier på tilfredsstillende måte. Kort oppsummert kan man si at dette styrker fokuset på kommunens oversikt over informasjonsverdier, risikovurderinger for å sikre at tilstrekkelige sikkerhetstiltak og forebygging og begrensing av konsekvenser ved uønskede hendelser. De følgende strategiske målsetningene beskriver overordnete mål for Bergen kommune fordelt på to fokusområder. Organisering, systematikk og styring Fokus på formidling og tydeliggjøring av den enkelte ansattes ansvar og plikter. Informasjon, bevisstgjøring og sikkerhetskultur - Fokus på å øke organisasjonens bevissthet om og forståelse for informasjonssikkerhet, og på å integrere informasjonssikkerhet som en naturlig del av organisasjonskulturen. Innen hvert fokusområde vil det listes opp overordnete tiltak. I kjølvannet av arbeidet med strategien vil disse overordnete tiltakene detaljeres og konkretiseres basert på behov innen det enkelte segment av styringssystemet. Fokusområde 1 - organisering, systematikk og styring Bergen kommune skal iverksette systematiske tiltak for å tydeliggjøre, følge opp og dokumentere den enkeltes ansvar for informasjonsresurser og behandlingsprosesser. Bergen kommune er en organisasjon med mer enn ansatte og over 400 lokasjoner. Det medfører store mengder informasjon fordelt mellom mange dokumenter, ansatte, lokasjoner og ulike informasjonskanaler. Skal det være mulig å holde orden på alle prosessene som behandler denne informasjonen er det nødvendig å holde orden på hvilken informasjon som behandles hvor, av hvem og med hvilken hensikt. Dette er grunnleggende elementer for kvalitetssikring og risikostyring. 4 Personopplysninsforskriften 2-3 Side 8 av 12
9 Figur 1 - organisasjonskart for arbeidet med informasjonssikkerhet Strategisk nivå (Jf. figur 1, over) Som vist i "figur 1 - organisasjonskart for arbeidet med informasjonssikkerhet" er organiseringen del i tre nivåer; strategisk, taktisk og operasjonelt. På strategisk nivå blir det holdt oversikt over kommunens overordnete status på informasjonssikkerhetsområdet. Dette skjer på grunnlag av rapportering fra taktisk nivå. På strategisk nivå planlegges, utarbeides og besluttes overordnete føringer og styrende dokumenter i samråd med taktisk nivå. Behandlingsansvarlige Med hjemmel i personopplysningsloven er det virksomhetens øverste leder som er ansvarlig for all informasjonsbehandling som foregår i virksomheten. I Bergen kommune er byrådsleder øverste behandlingsansvarlig. Behandlingsansvaret er delegert til kommunaldirektør for hver byrådsavdeling, i tillegg til revisjonssjef i Kommunerevisjonen og direktør for bystyrets kontor. Side 9 av 12
10 Informasjonssikkerhetsrådet (IS-rådet / kommunaldirektørforum) Er kommunens øverste styrende organ for informasjonssikkerhet og består av strategisk styringsgruppe, andre behandlingsansvarlige og informasjonssikkerhetsansvarlig. Informasjonssikkerhetsansvarlig (ISA / IKT-sikkerhetsansvarlig) I Bergen kommune er det IKT-sikkerhetsansvarlig som har det overordnete ansvaret for informasjonssikkerheten for konsernet Bergen kommune. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet på vegne av de daglig behandlingsansvarlige. Dette innbærer blant annet å etablere og vedlikeholde et overordnet styringssystem for informasjonssikkerhet, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. ISA har videre myndighet og ansvar til blant annet å kunne gjennomføre opplæring i informasjonssikkerhet, overordnete risikovurderinger, bestille sikkerhetstester, avvikshåndtering, iverksette korrigerende og andre sikkerhetsrelaterte tiltak. ISA rapporterer til daglig behandlingsansvarlige både innenfor den enkelte byrådsavdeling og gjennom IS-rådet i sikkerhetssaker. Taktisk nivå (Jf. figur 1) På dette nivået i styringssystemet skal strategiske føringer omsettes i praksis og gjennomføres i samarbeid med operasjonelt nivå. Gjennom IS-forum utarbeider planer og forbereder rapporter til strategisk nivå i samarbeid med ISA. Informasjonssikkerhetsforum (IS-forum) ISAs operative organ er IS-forum, som består av representanter for hvert av de lokale styringssystemene, som er henholdsvis IKT-koordinator for den enkelte byrådsavdeling, operativ sikkerhetsansvarlig for den interne driftsavdelingen og evt. andre med tilsvarende ansvar. I tillegg bør IS-forum også inkludere én representant fra verneombudsorganisasjonen, én fra tillitsmannsapparatet og én fra etat for samfunnssikkerhet og beredskap, når dette er naturlig. IKT-koordinatorer Bergen kommunes IKT-koordinatorer har et overordnet ansvar for koordinering av IKT innen en eller flere byrådsavdelinger. Disse koordinatorene har også et overordnet ansvar for oppfølging av styringssystem for informasjonssikkerhet innen sine respektive områder. Ansvaret består i å koordinere rapportering fra og oppfølging av den enkelte systemeier og resultatenhetsleder i informasjonssikkerhetssaker i henhold til instruks. Operasjonelt nivå (Jf. figur 1) Alt operasjonelt arbeid skal ivareta informasjonssikkerheten innen sitt ansvarsområde i henhold til instruks og vil få informasjon og bli revidert av IKT-koordinatorene på taktisk nivå. System- og tjenesteeiere Alle informasjonssystemer og -tjenester i Bergen kommune skal være administrert av en system- eller tjenesteeier som har ansvaret for at Bergen kommunes instruks for systemog tjenesteeiere blir fulgt opp. Resultatenhetsledere Resultatenhetsledere har ansvar for å følge "instruks for resultatenhetsledere" i sin ivaretakelse av informasjonssikkerhet knyttet til medarbeidere og informasjonsressurser. Alle ansatte Hver enkelt ansatt, innleid eller annen type bruker av Bergen kommunes Side 10 av 12
11 informasjonssystemer er selv ansvarlig for å sette seg inn i og opptre i overensstemmelse med kommunens instruks for sluttbrukere. Leverandører Alle leverandører som behandler data på vegne av kommunen skal undertegne en databehandleravtale. Eventuell tilknytning til kommunens infrastruktur skal skje i henhold til en kontrakt og instruks for eksterne brukere. Det systematiske arbeidet vil baseres på ulike ansvarsinstruksene og beskrivelsene av styringssystemet basert på Norm for informasjonssikkerhet i helsesektoren. Dokumentasjonen beskriver grunnleggende krav, rutiner og nødvendig arbeidsflyt for å ivareta tilstrekkelig sikkerhetsnivå. Overordnet dokumentasjon av styringssystemet, ansvarsinstrukser og viktige prosedyrer vil legges til som vedlegg til denne strategien etter hvert som de blir utarbeidet. Overordete tiltak For å nå denne målsetningen er det en forutsetning at det skal iverksettes en rekke strategiske tiltak for å styrke organisering og systematisering av arbeidet med informasjonssikkerhet. Overordnete tiltak for organisering, systematikk og styring 1. Konkret tiltaksplan innen styringssystemets enkelte segmenter utarbeides og revideres årlig. 2. Revidere eksisterende instrukser og retningslinjer, og etablere nye ved behov. 3. Etablere styringssystem for informasjonssikkerhet med utgangspunkt i "Norm for informasjonssikkerhet i helsesektoren". 4. Kartlegge og klassifisere alle vesentlige informasjonsbehandlinger med hensyn til sikkerhetskrav. 5. Gjennomføre overordnete risikovurderinger innen hver byrådsavdeling og andre naturlig avgrensete organisatoriske enheter. 6. Foreta jevnlige sikkerhetsrevisjoner. 7. Etablere elektronisk støttesystem for å ivareta styrings- og internkontrollsystem for informasjonssikkerhet og andre områder med tilsvarende behov, som HMS-arbeidet. 8. Styrke bemanningen innen informasjonssikkerhet. Side 11 av 12
12 Fokusområde 2 - informasjon, bevisstgjøring og sikkerhetskultur Bergen kommune skal iverksette tiltak for å tilby integrert opplæring og informasjon om informasjonssikkerhet som i størst mulig grad er tilpasset, tilgjengelig og teknologinøytral, samt tilstrebe at informasjonssikkerhet blir en naturlig del av kommunens organisasjonskultur. Informasjonssikkerhet skal være integrert med kommunens instrukser, retningslinjer, opplæring og organisasjonskultur. Den enkeltes plikter og oppgaver i tilknytning til arbeidet med informasjonssikkerhet skal være naturlig integrert i ulike områder av organisasjonens arbeid, som i anskaffelser, i driftssituasjoner, i systemutvikling så vel som i den daglige behandlingen av informasjon for den enkelte ansatte. Overordnete tiltak Skal kommunen oppnå økt fokus på informasjonssikkerhet som en integrert del av organisasjonskulturen, må det iverksettes en rekke grunnleggende tiltak for å innarbeide informasjonssikkerhet som en naturlig del av forventningene til det daglige arbeidet. Overordnete tiltak for informasjon, bevisstgjøring og sikkerhetskultur 1. Integrere grunnleggende instrukser for sluttbrukere i personal- og arbeidsreglementet. 2. Standardisere krav til kartlegging, klassifisering, risikovurdering og avvikshåndtering. 3. Erstatte dagens løsning med automatisk fornying av IT-sikkerhetserklæringen en gang i året, med en grunnleggende e-læring for informasjonssikkerhet knyttet til personal og arbeidsreglementet. 4. Etablere styringskort for informasjonssikkerhet blant ledere. 5. Integrere kursmoduler for informasjonssikkerhet i eksisterende HR-kurs. 6. Utarbeide og tilgjengeliggjøre en oversiktlig og informativ struktur for instrukser, retningslinjer og andre styrende dokumenter. 7. Jevnlig informere organisasjonen om utviklingen i trusselbildet. Side 12 av 12
Strategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerDigitaliseringsstrategi 2014-2029
Digitaliseringsstrategi 2014-2029 Stavanger kommune Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet.
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerStyresak 69-2015 Orienteringssak - Informasjonssikkerhet
Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerAvtale mellom. om elektronisk utveksling av opplysninger
Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerHelseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud
Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerPrinsipper for virksomhetsstyring i Oslo kommune
Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerKommunesektorens felles satsning på IKT
Kommunesektorens felles satsning på IKT Arild Sundberg - styreleder i programstyret KommIT Kommunaldirektør i Byrådsavdeling for finans, Oslo kommune Målet for en samordnet IKT-utvikling Levere gode tjenester
DetaljerFelles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør
Felles journal Fra et samfunnssikkerhets- og beredskapsperspektiv Elisabeth Longva, avdelingsdirektør 4. mai 2017 DSB (Direktoratet for samfunnssikkerhet og beredskap) Samordningsansvar på nasjonalt nivå
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerDatasikkerhet internt på sykehuset
Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerBruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.
Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune. Revidert
Digitaliseringsstrategi for Buskerud fylkeskommune Revidert 2018-2020 Buskerud fylkeskommune Stab og kvalitetsavdelingen oktober 2017 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerBergen kommune Informasjonssikkerhet. Forvaltningsrevisjon April 2015
Bergen kommune Informasjonssikkerhet Forvaltningsrevisjon April 2015 Sammendrag Deloitte har gjennomført en forvaltningsrevisjon av informasjonssikkerhet i Bergen kommune. Forvaltningsrevisjonen er bestilt
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerAsker kommune. 2. Navn på prosjektet: 3. Kort beskrivelse av prosjektet: 4. Kontaktperson: 5. E-post:
Asker kommune 2. Navn på prosjektet: Blikk for muligheter! Innovasjonsstrategi 2015-2015 3. Kort beskrivelse av prosjektet: Kommunestyret i Asker vedtok 3. februar 2015 Asker kommunes Innovasjonsstrategi
DetaljerDigitaliseringsstrategi
Digitaliseringsstrategi 2014-2029 Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet. Digitale verktøy
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerSamordning av IKT i spesialisthelsetjenesten Status ny felles IKT-strategi
Samordning av IKT i spesialisthelsetjenesten Status ny felles IKT-strategi v/administrerende direktør i Nasjonal IKT HF, Gisle Fauskanger IKT-forum 2015 for medisinsk nødmeldetjeneste GISLE FAUSKANGER
Detaljer«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg
«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg GDPR 20. juli 2018 ble «GDPR», også omtalt som EUs personvernforordning en del av den norske personopplysningsloven. GDPR viktige endringer: De registrerte
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.
Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerPlan for informasjonssikkerhet Bjugn kommune
Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerSykehuset Innlandet HF Styremøte 05.05.14 SAK NR 037 2014 HELHETLIG PLAN FOR VIRKSOMHETSSTYRING 2014. Forslag til VEDTAK:
Sykehuset Innlandet HF Styremøte 05.05.14 SAK NR 037 2014 HELHETLIG PLAN FOR VIRKSOMHETSSTYRING 2014 Forslag til VEDTAK: 1. Styret tar redegjørelsen om arbeidet med å videreutvikle virksomhetsstyringen
DetaljerLeverandøren en god venn i sikkerhetsnøden?
Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver
DetaljerVelkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner
Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerHandbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret
Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt
DetaljerKvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern
Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern Versjon 1.0-25.02.2018 Det er krav om innebygget personvern i tråd med personopplysningsloven. Innebygd personvern
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerSPISSKOMPETANSE GIR BEDRE INTERNREVISJON
30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerDigitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1
Digitaliseringsstrategi Birkenes kommune 2021 Vedtatt av RLG 15.05.17 Digitaliseringsstrategi for Birkenes kommune 1 Innholdsfortegnelse 1.0 Digitaliseringsstrategi for Birkenes kommune... 3 1.1 Visjon
DetaljerDigitaliseringsstrategi
Digitaliseringsstrategi 2014 2029 Innsatsområder Ansvar og roller Mål Brukerbehov Utfordringer Verdigrunnlag Digitaliseringsstrategien Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt
DetaljerKommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet
Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet Bjørn Erik Thon direktør 23.09.2010 Side 1 Dagens tekst - Kort om Datatilsynet - Kommentarer til undersøkelsen - Supplering: Hva vi
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerVedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02
Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerPACS 2005. IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig
IT-sikkerhet i foretakene - ansvar og roller Helge Gundersen IKT-rådgiver / IT-sikkerhetsansvarlig Historisk: PACS 2005 Regionalt samarbeid innefor IT Formalisert samarbeid mellom 3 fylkeskommuner Felles
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerInternkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi
Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerSikkerhetsmål og -strategi
Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerOppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken
DetaljerVedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016
Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
DetaljerHøringssvar - Forslag til ny pasientjournallov og ny helseregisterlov
Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerRapport informasjonssikkerhet Helgelandssykehuset 2015
Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser
DetaljerNotat. Innhold. Utvikling og innføring av Visma Flyt Skole (VFS) Til: Kopi: Fra: Dato: 7. desember 2015. Sak: Fylkeskommunene
Notat Prosjekt: Til: Kopi: Fra: Utvikling og innføring av Visma Flyt Skole (VFS) Fylkeskommunene Prosjektledere Visma Flyt Skole Vigo IKS v/brynjulf Bøen, daglig leder Dato: 7. desember 2015 Sak: Status
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerVedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet
Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen
DetaljerKOMMUNIKASJONSSTRATEGI. for KARMØY KOMMUNE 2008 2011
KOMMUNIKASJONSSTRATEGI for KARMØY KOMMUNE 2008 2011 0. Bakgrunn og innledning Kommuneloven 4 fastslår at: "Kommuner og fylkeskommuner skal drive aktiv informasjon om sin virksomhet. Forholdene skal legges
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerEtiske retningslinjer i Standard Norge
Etiske retningslinjer i Standard Norge Etiske retningslinjer i Standard Norge 1 Generelt 3 2 Hvem omfattes av de etiske retningslinjene 3 3 Etiske prinsipper 4 4 Forventet atferd 4 Tillit og respekt 4
DetaljerAnskaffelsesstrategi for Stavanger kommune
Referanse: 13/5309 Anskaffelsesstrategi for Stavanger kommune «VERDISKAPENDE, INNOVATIVE OG BÆREKRAFTIGE ANSKAFFELSER» Målgruppen for dette dokument er politikere, ledere og personer som jobber med anskaffelser
DetaljerUtredning av standarder for styring av informasjonssikkerhet
Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling
DetaljerDet vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.
Til ordfører, administrasjonssjef og daglig leder Nærmere informasjon om www.styrevervregisteret.no KS sendte den 5. januar 2007 brev til kommuner, fylkeskommuner og kommunalt eide selskaper der Styrevervregisteret
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerKort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen
Kort introduksjon til Normen Jan Henriksen Sekretariatet for Normen 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 2 Trusler mot personvernet
DetaljerTjenester i skyen hva må vi tenke på?
Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet
DetaljerSamlet risikobilde av pasientreiseområdet 2014 Sannsynlighet
Konsekvens Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet 1 2 3 4 5 5 4 3 1. Sikkerhet 2. Bruk av og kunnskap om 3. Eksterne avtaleparter 4. Økonomiske misligheter 5. Annet 2 1 Risiko Risikopunkt
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
Detaljer