IKT-sikkerhet og personvern

Størrelse: px
Begynne med side:

Download "IKT-sikkerhet og personvern"

Transkript

1 Forvaltningsrevisjonsprosjekt IKT-sikkerhet og personvern Eidsvoll, Gjerdrum, Hurdal, Nannestad og Ullensaker

2 2 Øvre Romerike Revisjonsdistrikt IKS 2012

3 Forord Forord Denne rapporten er et resultat av forvaltningsrevisjonsprosjekt IKT-sikkerhet og personvern som er gjennomført i kommunene Eidsvoll, Gjerdrum, Hurdal, Nannestad og Ullensaker. Forvaltningsrevisjon er hjemlet i kommuneloven 77 nr. 4. og er definert som systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra kommunestyrets vedtak og forutsetninger. Revisjonen har utarbeidet rapporten etter bestilling fra kontrollutvalget. Det ble gjennomført oppstartsmøter med rådmennene i de enkelte kommunene før prosjektet ble igangsatt. Rapportutkast inkludert fakta, vurderinger, konklusjoner og anbefalinger for den enkelte kommune er sendt på høring til rådmannen. Høringsuttalelsene fremkommer av rapporten i sin helhet som vedlegg. Revisjonen ønsker å takke administrasjonen i kommunene for god bistand og tilrettelegging i prosjektforløpet. Vi vil spesielt rette en takk til rådmenn, IKT-sikkerhetsansvarlige og leder for Til tross for deres nokså travle hverdag har alle med velvillighet stilt opp. Øvre Romerike Revisjonsdistrikt IKS ønsker å takke kontrollutvalget for oppdraget. Øvre Romerike Revisjonsdistrikt IKS

4 4 Øvre Romerike Revisjonsdistrikt IKS 2012

5 Sammendrag Sammendrag Formålet med prosjektet er å vurdere om kommunenes tilnærming til IKT-sikkerhet er systematisk med tanke på om de følger føringer knyttet til internkontroll for IKT-sikkerhet og personvern. Problemstillingen for denne undersøkelsen er følgende: o I hvilken grad har kommunen en systematisk tilnærming til IKT-sikkerhet og personvern? Revisjonskriterier uttrykker de krav og forventninger som kommunene undersøkes mot. Revisjonskriterier for denne undersøkelsen er kort oppsummert slik: Kommunene skal dokumentere en systematisk tilnærming til IKT-sikkerhet og personvern i tiknytning til følgende punkter: o en strategisk IKT-planlegging o IKT-prosesser og relasjoner o kommunikasjon av ledelsens mål og retning o vurdering og styring av IKT-risiko o håndtering av kvalitet og avviksrapportering Revisjonen anser det slik at kommunene ved revisjonens undersøkelse ikke fullt ut har en systematisk tilnærming til IKT-sikkerhet og personvern. ØRU-kommunene har i felleskap utarbeidet en strategi for IKT-sikkerhet og personvern for å sikre at kommunene overholder regelverket. Revisjonen anser dette arbeidet som positivt, men vurderer det slik at kommunene i mindre grad har implementert strategien i egen organisasjon. For Eidsvoll kommune vurderer revisjonen det slik at tiltakene for å bedre IKT-sikkerhet og personvern i større grad bør være basert på dokumenterte risiko- og vesentlighetsvurderinger. Eidsvoll kommune har informert om IKT-sikkerhet på en god måte ved å ta i bruk intranettet. Revisjonen vurderer det slik at for å oppfylle personopplysningsforskriftens krav bør kommunen gjennomføre og dokumentere flere og mer helhetlige risikovurderinger for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd, og gjøre vurderingen opp mot hva som anses som akseptabel risiko. Kommunen har utarbeidet en overordnet konfigurasjonskontroll bestående av oversikt over de personopplysningene blir behandlet slik personopplysningsforskriften 2-4 gir regler om. Når det gjelder avviksrapportering knyttet mot IKT-sikkerhet, har kommunen ikke noe eget dokumentert helhetlig system for dette, men revisjonen vurderer det som positivt at kommunen arbeider med å innføre et helhetlig kvalitetssystem som også vil omfatte avviksrapportering vedrørende IKT-sikkerhet og personvern. For Gjerdrum kommune vurderer revisjonen det slik at tiltakene for å bedre IKT-sikkerhet og personvern i større grad bør være basert på dokumenterte risiko- og vesentlighetsvurderinger. Etter revisjonens vurdering kan kommunen bli bedre på å informere om informasjonssikkerhet for eksempel gjennom intranettet. Det er positivt at kommunen har publisert datavettreglene på intranettet. Revisjonen kan ikke se at Øvre Romerike Revisjonsdistrikt IKS

6 Sammendrag kommunen kan dokumentere gjennomførte risikovurderinger med tanke på informasjonssikkerhet med kartlagt sannsynlighet, konsekvens og akseptert risiko Revisjonen kan ikke se at kommunen har utarbeidet en overordnet konfigurasjonskontroll bestående av oversikt over behandlingen av personopplysninger i henhold til personopplysningsforskriften 2-4. Det er revisjonens vurdering at kommunen ikke har et godt nok dokumentert system for å oppdage og følge opp avvik vedrørende IKT-sikkerhet og personvern. For Hurdal kommune vurderer revisjonen det slik at tiltakene for å bedre IKT-sikkerhet og personvern i større grad bør være basert på dokumenterte risiko- og vesentlighetsvurderinger. Revisjonen vurderer det slik at kommunen kan bli bedre på å informere om informasjonssikkerhet for eksempel gjennom intranettet. Det er positivt at kommunen har publisert datavettreglene og regler for bruk av e-post og internett på intranettet Revisjonen kan ikke se at kommunen kan dokumentere gjennomførte risikovurderinger med tanke på informasjonssikkerhet med kartlagt sannsynlighet, konsekvens og akseptert risiko. Revisjonen er ikke forelagt en overordnet konfigurasjonskontroll bestående av oversikt over behandlinger av personopplysninger i henhold til personopplysningsforskriften 2-4. Det er revisjonens vurdering at kommunen ikke har et dokumentert system for å oppdage og følge opp avvik vedrørende IKT-sikkerhet. For Nannestad kommune vurderer revisjonen det slik at tiltakene for å bedre IKT-sikkerhet og personvern i større grad bør være basert på dokumenterte risiko- og vesentlighetsvurderinger. Etter revisjonens vurdering har kommunen brukt intranettet som en informasjonskanal med tanke på IKT-sikkerhet og vi oppfordrer kommunen til å utnytte denne informasjonskanalen i enda større grad. Revisjonen vurderer det slik at for å oppfylle personopplysningsforskriftens krav bør kommunen gjennomføre og dokumentere flere og mer helhetlige risikovurderinger for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd, og gjøre vurderingen opp mot hva som anses som akseptabel risiko. Revisjonen vurderer det slik at kommunen jevnlig bør oppdatere konfigurasjonskontrollen bestående av en oversikt over de personopplysningene som blir behandlet slik personopplysningsforskriften 2-4 gi regler om. Det er revisjonens vurdering at kommunen ikke har et godt nok dokumentert system for å oppdage og følge opp avvik vedrørende IKTsikkerhet og personvern. For Ullensaker kommune vurderer revisjonen det slik at tiltakene for å bedre IKT-sikkerhet og personvern i større grad bør være basert på dokumenterte risiko- og vesentlighetsvurderinger. Etter revisjonens vurdering har kommunen brukt intranettet som en informasjonskanal med tanke på IKT-sikkerhet og vi oppfordrer kommunen til å utnytte denne informasjonskanalen i enda større grad. Revisjonen vurderer det slik at for å oppfylle personopplysningsforskriftens krav bør kommunen gjennomføre og dokumentere flere og mer helhetlige risikovurderinger for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd, og gjøre vurderingen opp mot hva som anses som akseptabel risiko. Revisjonen kan ikke se at kommunen ved revisjonens undersøkelse har utarbeidet en oppdatert konfigurasjonskontroll bestående av oversikt over behandlingen av personopplysninger i henhold til det personopplysningsforskriften 2-4 krever. Det er revisjonens vurdering at kommunen ikke har et godt nok dokumentert system for å oppdage og følge opp avvik vedrørende IKT-sikkerhet og personvern. 6 Øvre Romerike Revisjonsdistrikt IKS 2012

7 Innhold Innholdsfortegnelse 1 INNLEDNING FORMÅL BAKGRUNN PROBLEMSTILLING AVGRENSINGER RAPPORTENS INNHOLD METODE VALG AV FRAMGANGSMÅTER DATAENES PÅLITELIGHET OG GYLDIGHET REVISJONSKRITERIER KILDER SYSTEMATISK TILNÆRMING TIL IKT-SIKKERHET KONTROLLMILJØ INFORMASJON OG KOMMUNIKASJON RISIKOVURDERINGER OPPFØLGING OPPSUMMERING AV REVISJONSKRITERIENE FAKTABESKRIVELSE FELLES STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING EIDSVOLL KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING GJERDRUM KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING HURDAL KOMMUNE STRATEGISK IKT-PLANLEGGING IKT- PROSESSER OG RELASJONER KOMMUNIKASJON AV LEDELSENS MÅL OG RETNING Øvre Romerike Revisjonsdistrikt IKS

8 Innhold VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING NANNESTAD KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON AV LEDELSENS MÅL OG RETNING VURDERING STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING ULLENSAKER KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING VURDERINGER EIDSVOLL KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON OG INFORMASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING GJERDRUM KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON OG INFORMASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING HURDAL KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON OG INFORMASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING NANNESTAD KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON OG INFORMASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING ULLENSAKER KOMMUNE STRATEGISK IKT-PLANLEGGING IKT-PROSESSER OG RELASJONER KOMMUNIKASJON OG INFORMASJON AV LEDELSENS MÅL OG RETNING VURDERING OG STYRING AV IKT-RISIKO HÅNDTERING AV KVALITET OG AVVIKSRAPPORTERING Øvre Romerike Revisjonsdistrikt IKS 2012

9 Innhold 6 KONKLUSJON FELLES EIDSVOLL KOMMUNE GJERDRUM KOMMUNE HURDAL KOMMUNE NANNESTAD KOMMUNE ULLENSAKER KOMMUNE ANBEFALINGER EIDSVOLL KOMMUNE GJERDRUM KOMMUNE HURDAL KOMMUNE NANNESTAD KOMMUNE ULLENSAKER KOMMUNE LITTERATURLISTE VEDLEGG 1 - REVISJONENS HØRINGSBREV VEDLEGG 2 HØRINGSUTTALELSE EIDSVOLL KOMMUNE VEDLEGG 3 HØRINGSUTTALELSE GJERDRUM KOMMUNE VEDLEGG 4 HØRINGSUTTALELSE NANNESTAD KOMMUNE VEDLEGG 5 HØRINGSUTTALELSE ULLENSAKER KOMMUNE Øvre Romerike Revisjonsdistrikt IKS

10 Innledning 1 Innledning 1.1 Formål Formålet med denne undersøkelsen er å vurdere om kommunenes tilnærming til IKTsikkerhet er systematisk med tanke på om de følger føringer knyttet til internkontroll for IKT-sikkerhet og personvern. 1.2 Bakgrunn Prosjektet gjennomføres med bakgrunn i revidert plan for forvaltningsrevisjon vedtatt av kontrollutvalgene i Eidsvoll, Gjerdrum, Hurdal, Nannestad og Ullensaker. IKTsikkerhet og personvern er av kontrollutvalgene sett på som et prioritert område for felles forvaltningsrevisjonsprosjekt. Prosjektet er derfor gjennomført i alle fem kommunene. Kommunene på Øvre Romerike har vært gjennom store endringer innenfor IKT de senere årene. Kommunene har som målsetning at IKT skal bidra i arbeidet med forbedring av kommunenes produktivitet og kostnadseffektivitet. Det er viktig å sette fokus på datasikkerhet i kommunenes daglige drift. Det er lagret en rekke sensitive opplysninger om kommunens innbyggere og ansatte i IKT-systemene som er av personlig og helsemessig art. Det blir også lagret en del sensitiv informasjon om kommunens drift. Kontrollutvalget ser datasikkerhet som viktig og ønsker derfor å sette fokus på IKT-sikkerhet og personvern. 1.3 Problemstilling Følgende problemstilling er formulert for denne undersøkelsen: o I hvilken grad har kommunen en systematisk tilnærming til IKT-sikkerhet og personvern? 1.4 Avgrensinger Undersøkelsen omhandler kommunens rolle som behandlingsansvarlig av data. DGIs rolle som databehandler er i liten grad berørt. Videre undersøkes IKT-sikkerheten spesielt og ikke informasjonssikkerheten i kommunen generelt. Det vil si at undersøkelsen omhandler den elektroniske informasjonssikkerheten og ikke den fysiske informasjonssikkerheten. Revisjonen har valgt å konsentrere undersøkelsen omkring de overordnede rutiner og strategier i kommunene og har ikke gjennomført kontroller på virksomhetsnivå. 10 Øvre Romerike Revisjonsdistrikt IKS 2012

11 Innledning 1.5 Rapportens innhold I kapittel 2 beskrives de metoder revisjonen har benyttet i undersøkelsen. Kapittel 3 utleder revisjonskriteriene. Revisjonskriteriene uttrykker kravene kommunens praksis vurderes opp mot. Fakta vedrørende kommunenes tilnærming til IKT-sikkerhet og personvern presenteres i kapittel 4. Vurderinger av den enkelte kommunes tilnærming til IKT-sikkerhet og personvern beskrives i kapittel 5. Kapittel 6 redegjør for revisjonens konklusjoner, mens revisjonens anbefalinger blir beskrevet i kapittel 7. Øvre Romerike Revisjonsdistrikt IKS

12 Metode 2 Metode Forvaltningsrevisjonsprosjektet er gjennomført i tråd med RSK Standard for forvaltningsrevisjon, som er fastsatt av styret i Norges Kommunerevisorforbund. Standarden bygger på internasjonalt anerkjente standarder og prinsipper vedtatt av International Organization of Supreme Audit Institutions (INTOSAI) og The Institute of Internal Auditors (IIA). 2.1 Valg av framgangsmåter Revisjonen har gjennomgått sentrale dokumenter vedrørende IKT-sikkerhet og gjort en dokumentanalyse. Denne metoden er godt egnet da det stilles krav til dokumentasjon av sikkerhet i lovverket. For å analysere datamaterialet er det blitt utarbeidet et koblingsskjema basert på COSO-rapporten 1 og CobiT. Begge disse er anerkjente internasjonale standarder for bruk i revisjon av internkontroll og IKT. 2 COSO-rapporten er et rammeverk for å vurdere internkontroll i organisasjoner, mens CobiT er et rammeverk for å hjelpe en organisasjon med å styre og kontrollere sine IT-prosesser. Rapportene fra NorSox-prosjektet 3 er brukt for å sette de to rammeverkene i sammenheng. Det er gjennomført intervjuer med rådmennene i kommunene i forbindelse med oppstartsmøter. Det er også gjennomført intervjuer med IKT-sikkerhetsansvarlige i kommunene og leder for Til intervjuet ble det utarbeidet en intervjuguide med forhåndsdefinerte spørsmål. Det ble skrevet referat fra møtene som siden ble verifisert av intervjuobjektene. 2.2 Dataenes pålitelighet og gyldighet I enhver undersøkelse er det utfordringer med tanke på pålitelighet og gyldighet. Pålitelige data sikres ved å være nøyaktig under datainnsamling og databehandling. Gyldighet betegner dataenes relevans for problemstillingene som er valgt. Undersøkelsens tema er IKTsikkerhet og personvern og det er naturlig å ta utgangspunkt i styringsdokumenter og øvrig dokumentasjon av IKT-sikkerheten. I tillegg er intervjuer utført for å fange opp data knyttet til personers oppfatninger, vurderinger og virksomhet. Denne kvalitative metoden har som siktemål å få en dypere innsikt og forståelse av fenomener uten å tallfeste dem. Ved kvalitativ metode henvender man seg ikke til et stort utvalg, men til noen få individer. Det anses som en styrke ved undersøkelsen at problemstillingene er belyst ved bruk av ulike tilnærminger. Ved å kombinere ulike metoder for å belyse samme fenomen kan forholdene 1 Commitee of Sponsoring Organisation of the Treadway Commision (COSO), oversatt av Norsk Bankrevisorforening i 1996: COSO-rapporten, Intern Kontroll et integrert rammeverk. 2 COSO-rapporten er støttet av Institute of Internal Auditors (IIA) og COBIT er utarbeidet av IT Governance Institute (ITGI) og publisert av Information System and Control Association (ISACA). 3 NorSox er et prosjekt i regi av Norsk Forskningsråd og utført av Standard Norge med mål om å etablere effektive og helhetlige prinsipper for IT-internkontroll i organisasjoner. 12 Øvre Romerike Revisjonsdistrikt IKS 2012

13 Metode beskrives fra flere vinkler, og dersom mønsteret eller bildet vi finner er lignende ut fra bruk flere metoder, styrkes kvaliteten på undersøkelsen. Øvre Romerike Revisjonsdistrikt IKS

14 Revisjonskriterier 3 Revisjonskriterier Revisjonskriterier uttrykker kravene kommunens praksis vurderes opp mot. Revisjonskriteriene danner grunnlaget som revisjonen trenger for å vurdere om det foreligger avvik eller svakheter på det området som er gjenstand for forvaltningsrevisjon. 3.1 Kilder Følgende kilder danner grunnlag for revisjonskriteriene: o Lov om behandling av personopplysninger, nr. 31 av (personopplysningsloven). o Lov om kommuner og fylkeskommuner, nr. 107 av (kommuneloven). o Forskrift om behandling av personopplysninger, nr av (personopplysningsforskriften). o En veiledning om internkontroll og informasjonssikkerhet. Datatilsynet o Veiledning til informasjonssikkerhet for kommuner og fylker. Datatilsynet, o Helhetlig Risikostyring et integrert rammeverk, Sammendrag Rammeverk, The Committee of Sponsoring Organizations of the Treadway Commision (COSO), oversatt av Norges Interne Revisorers Forening, o Internkontroll et integrert rammeverk, COSO-Rapporten. Cappelen Akademisk forlag, Systematisk tilnærming til IKT-sikkerhet I henhold til kommuneloven 23, annet ledd, annet punktum, er det administrasjonssjefens, altså rådmannens, ansvar å sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordende instrukser, og at den er gjenstand for betryggende kontroll. Ansvaret innebærer å føre kontroll med administrasjonens virksomhet, og herunder etablere tilfredsstillende rutiner for internkontroll. 5 Personopplysningsloven 13, oppstiller krav om at den behandlingsansvarlige og databehandleren gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, jf. første ledd. Her regnes rådmannen som den behandlingsansvarlige med øverste dataansvar, jf. Datatilsynet, 2005, side 8, mens databehandleren er den eller de selskapene som leverer tjenester til kommunen, jf. Datatilsynet, 2009, side 7. Rådmannens ansvar innebærer å sørge for at informasjonssikkerheten blir tilstrekkelig ivaretatt. Noe inngående kjennskap til informasjonssikkerheten kreves derimot ikke, jf. Datatilsynet 2009, side 7. 4 Omtales senere i kapittelet som COSOs nye rammeverk for helhetlig risikostyring. 5 Jf. Kommentarutgaven til kommuneloven, side Øvre Romerike Revisjonsdistrikt IKS 2012

15 Revisjonskriterier I lovverket er informasjonssikkerhet nærmere beskrevet som konfidensialitet, integritet og tilgjengelighet i databehandlingen i personopplysningsloven 13. Datatilsynet definerer konfidensialitet som at uvedkommende ikke får tilgang til dataene. Integritet innebærer at ingen uautoriserte personer kan endre på opplysninger eller at informasjon utilsiktet blir endret. Med tilgjengelighet menes det at opplysningene må være tilgjengelige for personer som har behov for disse, jf. Datatilsynet 2009, side 22. Rådmannens ansvar som behandlingsansvarlig strekker seg videre til å sørge for å etablere og holde vedlike planlagte systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven, herunder å sikre personopplysningenes kvalitet. jf. personopplysningsloven 14, første ledd. De tiltakene som gjøres, skal i henhold til personopplysningsloven 14, annet ledd dokumenteres og gjøres tilgjengelig for medarbeidere, for databehandlere, for Datatilsynet og for Personvernnemnda. Det følger videre et dokumentasjonskrav knyttet til informasjonssystemet og sikkerhetstiltak som gjøres i tilknytning til det. I henhold til personopplysningsloven 13 er det rådmannen og databehandleren som skal dokumentere dette. Dokumentasjonen skal videre være tilgjengelig for medarbeidere hos rådmannen og databehandleren, jf. personopplysningsloven Kontrollmiljø I rammeverket for integreringen av internkontroll, COSO-rapporten, omtales kontrollmiljø som viktig når det gjelder å påvirke ansattes holdning til kontroll og styring. Kontrollmiljøet danner grunnlaget for hvordan de øvrige komponentene i en internkontroll utformes og fungerer til daglig. Foruten virksomhetens hovedoppgaver og mål, består disse miljøkomponentene av særskilte forhold ved virksomheten slik som organisering, fordeling av ansvar og myndighet samt kompetansen hos virksomhetens medarbeidere Strategisk IKT-planlegging I henhold til 2-3 i personopplysningsforskriften, skal kommunen utforme mål for sikkerheten i behandlingen av personopplysninger. Disse målene skal gjennomgås jevnlig for å oppnå en tilfredsstillende sikkerhetsstrategi, jf. 2-3, tredje ledd. Med utgangspunkt i målene skal det lages en sikkerhetsstrategi/plan som skal beskrive de valg og prioriteringer som er foretatt. Dette skal være et styrende dokument som ligger som grunnlag for kommunens informasjonssikkerhetsarbeid. Jf. Datatilsynets veiledning i informasjonssikkerhet for kommuner og fylker 2005, skal enn slik strategi være dokumentert og den skal jevnlig gjennomgås for å vurdere om den er hensiktsmessig og gir en tilfredsstillende informasjonssikkerhet. Øvre Romerike Revisjonsdistrikt IKS

16 Revisjonskriterier Datatilsynet beskriver nærmere hva dette skal innebære: o en overordnet nivåbeskrivelse av ansvars- og myndighetsforhold o forholdet til partnere og leverandører o organisatoriske og tekniske sikkerhetstiltak Det er også viktig at virksomheten skaffer seg oversikt over de personopplysningene som behandles og hvordan disse brukes. Etter Datatilsynets mening, kan denne inngå i kommunens styringsdokument for internkontroll, jf. Datatilsynet 2009, side IKT-prosesser organisering og relasjoner Personopplysningsforskriften angir krav om etablering av klare ansvars- og myndighetsforhold for bruk av informasjonssystemet i 2-7, første ledd. Arbeidet skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarlige daglige leder, og det skal knyttes fastlagte rutiner til bruk av informasjonssystemet, jf. personopplysningsforskriften 2-7, annet og tredje ledd. For å oppfylle kravet i forskriften anbefaler Datatilsynet at det nedsettes en sikkerhetsorganisasjon og at denne skal dokumenteres, jf. Datatilsynet 2009, side 25. Datatilsynet gir retningslinjer på hvordan en sikkerhetsorganisasjon skal dokumenteres; gjennom rollebeskrivelser, myndighet, ansvarsområder, samt plikter og ansvar knyttet til ulike posisjoner, jf. Datatilsynet 2009, side 25. Som nevnt er rådmannen i henhold til kommuneloven 23, annet ledd, ansvarlig for at kommunene har en betryggende kontroll, også når det gjelder informasjonssikkerhet. Det blir da viktig at den del av organisasjonen som har ansvar for informasjonssikkerheten regelmessig informerer rådmannen om aktiviteter, utfordringer og risiko. Rådmannen skal i henhold til personopplysningsforskriften 2-15, fjerde og femte ledd, etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører, jf. personopplysningsforskriften 2-15, fjerde ledd. Rådmannen skal videre ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet, jf. femte ledd. Ifølge Datatilsynets veiledning fra 2009, står kommunen fritt til å la en ekstern aktør, en databehandler, levere datatjenester som brukes i tjenesteytingen. Men rådmannen har fortsatt det øverste ansvar som behandlingsansvarlig og skal stille en rekke krav til disse leverandørene. Datatilsynet mener det bør gjennomføres en kontraktsregulering av forholdet, der ansvar når det gjelder informasjonssikkerhet kommer klart fram. Videre mener tilsynet det bør kreves at leverandørens personell underskriver en taushetserklæring og at dette organiseres slik at det utgjør en del av kommunens årlige sikkerhetskontroll. 16 Øvre Romerike Revisjonsdistrikt IKS 2012

17 Revisjonskriterier Informasjon og kommunikasjon I henhold til COSO-rapporten må viktig informasjon identifiseres, fanges opp og formidles til de ansatte slik at de settes i stand til å gjøre sine oppgaver. Det er med andre ord tale om å oppnå en effektiv kommunikasjon. COSO-rapporten viser til ulike kommunikasjonskanaler som i vid forstand må innbefatte alle involverte parter, jf. rapporten side 5. COSO-rapporten viser til at det gjennom et godt informasjonssystem blir mulig å både innhente og kommunisere viktig informasjon om drift, økonomi og overholdelse av lover og regler. Sammen muliggjør denne informasjonen en målrettet drift og styring av kommunen Kommunikasjon av ledelsens mål og retning Det er viktig å stadig være på vakt for forbedringer av internkontrollen. Det er ifølge COSOs nye rammeverk for helhetlig styring 6 et ledelsesansvar å sørge for målrettet og detaljert kommunikasjon om forventinger til adferd og de ansettes ansvar. Datatilsynet tilråder faste møter hvor styringssystemet der informasjonssikkerhet er tema, inklusiv gjennomgang av avvik og forslag til forbedringer. 7 I de fleste tilfeller vil de normale rapporteringslinjene være tilstrekkelige også ved kommunikasjon av ledelsens mål og retninger når det gjelder internkontroll. I COSOs nye rammeverk for helhetlig risikostyring vises det imidlertid til at det i noen tilfeller vil være viktig med en separat kommunikasjonskanal for å sikre en effektiv og helhetlig risikostyring. 8 De ansatte skal i henhold til det nye rammeverket vite hvordan aktivitetene deres henger sammen sett i lys av IKT-arbeidet. På den måten kan alle ansatte settes i stand til å oppdage et problem og til å identifisere problemet og raskt sette i verk tiltak. Det må være lederen som har ansvaret for at arbeidet med å tilrettelegge for at kommunikasjon skjer. 9 I personopplysningsforskriften 2-8, annet ledd heter det at: Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Bestemmelsen pålegger rådmannen å sørge for at kommunens medarbeidere har tilstrekkelig kompetanse til å bruke informasjonssystemet, samt å legge til rette for nødvendig vedlikehold Risikovurderinger COSO-rapporten definerer risikovurdering som å identifisere og analysere risikoer som kan oppstå og true virksomhetens målsettinger. 10 Risiko påvirker alle virksomheters evne til å overleve og til å utvikle seg. Det å finne tydelige mål blir derfor en viktig del av risikovurderingen. 6 COSOs nye rammeverk for helhetlig risikostyring, side Se eksempler på rutiner for læring og prosessforbedring, side COSOs nye rammeverk for helhetlig risikostyring, side Se drøftingen av dette i COSOs nye rammeverk for helhetlig risikostyring, side Se COSO-rapporten side 43. Øvre Romerike Revisjonsdistrikt IKS

18 Revisjonskriterier Vurdering og styring av IKT-risiko Personopplysningsforskriften 2-4 gir regler om at det skal føres oversikt over hva slags personopplysninger som behandles. I tillegg skal virksomheten selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, jf. forskriften 2-4, første ledd. Videre skal rådmannen gjennomføre: risikovurdering for å klargjøre sannsynligheten for og konsekvenser av sikkerhetsbrudd, jf. forskriften 2-4, annet ledd. Resultatet som kommer ut av risikovurderingen skal i henhold til forskriften 2-4, tredje ledd, sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Det er også knyttet dokumentasjonskrav til vurderingene, jf. forskriften 2-4, siste ledd Oppfølging For å til en hver tid vite hvor effektivt internkontrollsystemet fungerer, er det av vesentlig betydning å ha god oppfølging. 11 Skal interne kontrollsystemer fungere, er det nødvendig med en prosess som vurderer hvor effektivt systemet er over tid. COSO-rapporten peker på viktigheten av at denne oppfølgingen skjer i en dynamisk prosess, og at prosessen er en integrert del av den ordinære driften, jf. rapporten side 6. Oppfølgingen er slik det blir beskrevet i COSOs nye rammeverk for helhetlig risikostyring et ledelsesansvar, og utføres gjennom løpende aktiviteter, frittstående evalueringer eller begge deler, jf. side 6. Avdekkes det mangler, poengterer COSO-rapporten at det bør rapporters oppover til relevant organ Håndtering av kvalitet og avviksrapportering For å på en systematisk måte drive frem en oppfølgingsprosess, er det nødvendig med jevnlige sikkerhetsrevisjoner. I personopplysningsforskriften heter det at: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig, jf. 2-5, første ledd. I forskriften heter det at sikkerhetsrevisjonen skal omfatte: vurderinger av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører, jf. 2-5, annet ledd. Dersom det oppdages at informasjonssystemet ikke brukes som det er forutsatt, skal dette reguleres som et avvik etter forskriften 2-6. I henhold til Datatilsynets veiledning fra 2009, er det viktig at kritiske prosesser og aktiviteter blir dokumentert og at dokumentasjonen blir vedlikeholdt, se side 37. Det kan fra tid til annen oppstå avvik ved bruken av informasjonssystemene. Avvik som strider med fastlagte rutiner og/eller regnes som sikkerhetsbrudd, skal i henhold til personopplysningsforskriften 2-6, første ledd behandles som avvik. Formålet med å 11 I COSO-rapporten (1996) blir betegrepet overvåkning brukt. I dag er det imidlertid mer vanlig å bruke begrepet oppfølging, jf. COSOs nye rammeverk for helhetlig risikostyring, oversatt av Norges Interne Revisorers Forening, Se COSO-rapporten side Øvre Romerike Revisjonsdistrikt IKS 2012

19 Revisjonskriterier behandle avvik etter regulerte former, er å opprette normal tilstand, samt å fjerne årsaken til avviket og hindre gjentagelse, jf. forskriften 2-6, annet ledd. I henhold til forskriften 2-5, siste ledd om sikkerhetsrevisjon og 2-6, siste ledd om avvik, skal begge forholdene dokumenteres. I følge Datatilsynet er det normalt sett de medarbeiderne som oppdaget avviket som dokumenterer avviket skriftlig i en rapport Oppsummering av revisjonskriteriene Vi vil til slutt oppsummere revisjonskriteriene på følgende måte: Kommunen skal dokumentere en systematisk tilnærming til IKT-sikkerhet og personvern i tiknytning til følgende punkter: o en strategisk IKT-planlegging o IKT-prosesser og relasjoner o kommunikasjon av ledelsens mål og retning o vurdering og styring av IKT-risiko o håndtering av kvalitet og avviksrapportering 13 Se Datatilsynet 2009 side 35. Øvre Romerike Revisjonsdistrikt IKS

20 Faktabeskrivelse 4 Faktabeskrivelse Vi vil nå beskrive fakta om kommunenes tilnærming til IKT-sikkerhet og personvern. Vi presenterer fakta som gjelder alle kommunene i ett felles kapittel for deretter å presentere fakta særskilt for den enkelte kommune. 4.1 Felles Kommunene har i likhet med mye av sin IKT-virksomhet også organisert arbeid med IKTsikkerhet gjennom et felles samarbeid med de andre ØRU-kommunene. Fakta som er lik for alle kommunene presenteres derfor i ett eget kapittel. Kapittelet er delt inn etter de fem punktene som revisjonene har oppsummert revisjonskriteriene i (se side 19) Strategisk IKT-planlegging Kommunene i ØRU 14 har utarbeidet en felles IKT-strategi. 15 Informasjonssikkerhet generelt er nevnt i denne og strategien slår fast at innen sine institusjoner og systemer er den enkelte kommune ansvarlig for informasjonssikkerheten. Videre står det at ivaretakelse av sikkerheten er et kontinuerlig arbeid, og krever at man hele tiden er à jour med den tekniske utvikling og foretar jevnlig kontroll med prosesser, rutiner og systemer og ansattes kompetanse slik at en til en hver tid opererer i henhold til gjeldende lovverk. Strategien er at ØRU-kommunene vil etablere rutiner som sikrer at informasjonssikkerheten hele tiden er godt ivaretatt. Informasjonssikkerhet er også nevnt som et innsatsområde under esamhandling i helse- og omsorgstjenesten. Når det gjelder teknologiske løsninger tilknyttet IKT-sikkerhet står det i strategien at det må påses at teknologien sikrer den enkelte innbygger og samfunnet tilgjengelighet til data samtidig som kravene til konfidensialitet og integritet opprettholdes. I følge IKT-strategien skal IKT-sikkerhet, med hensyn til informasjonssikkerhet og driftssikkerhet, til enhver tid ha høy prioritet. Utover dette er ikke IKT-sikkerhet særskilt nevnt i strategien IKT-sikkerhetsutvalg Kommunene på Øvre Romerike har etablert et felles IKT-sikkerhetsutvalg med formål å sikre felles standarder, dokumentasjon og rutiner for ivaretakelsen av IKT-sikkerheten i de samarbeidende kommunene. IKT-sikkerhetsutvalget består av IKT-sikkerhetsansvarlig fra hver kommune. Disse er i strategien for IKT-sikkerhet og personvern i ØRU-kommunene tiltenkt å ivareta en rekke oppgaver knyttet til IKT-sikkerhet på vegne av rådmannen. Ansvaret omfatter blant annet kontroll av databehandlinger og at disse gjøres i henhold til lov- og regelverk, gjennomføre 14 Øvre Romerike Utvikling (ØRU) består av kommunene Eidsvoll, Gjerdrum, Hurdal, Nannestad, Nes og Ullensaker 15 Felles IKT-strategi for kommunene på Øvre Romerike (ØRU) fram mot 2020, denne er vedtatt av samtlige kommunestyrer innenfor ØRU. 20 Øvre Romerike Revisjonsdistrikt IKS 2012

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

estab IKT strategi- og bestillerenhet for kommunene på Øvre Romerike Eidsvoll - Nes - Gjerdrum - Nannestad Hurdal - Ullensaker Budsjett 2015

estab IKT strategi- og bestillerenhet for kommunene på Øvre Romerike Eidsvoll - Nes - Gjerdrum - Nannestad Hurdal - Ullensaker Budsjett 2015 estab IKT strategi- og bestillerenhet for kommunene på Øvre Romerike Eidsvoll - Nes - Gjerdrum - Nannestad Hurdal - Ullensaker Budsjett 2015 Vedtak sak 41/14: 1. Forslag til budsjett tatt til orientering

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Plan for forvaltningsrevisjon 2008-2012. Stokke kommune

Plan for forvaltningsrevisjon 2008-2012. Stokke kommune Plan for forvaltningsrevisjon 2008-2012 Stokke kommune 1 Innhold 1 INNLEDNING... 3 1.0 INNLEDNING... 3 1.1 PLAN FOR FORVALTNINGSREVISJON... 3 1.3 OVERORDNET RISIKO- OG VESENTLIGHETSVURDERING... 4 1.4 METODE

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Plan for forvaltningsrevisjon 2013-2016. Eidsvoll kommune

Plan for forvaltningsrevisjon 2013-2016. Eidsvoll kommune Plan for forvaltningsrevisjon 2013-2016 Eidsvoll kommune Utarbeidet av: INNHOLD 1 Bakgrunn... 3 2 Formål... 3 3 Grunnlaget for planen den overordnede analysen... 4 4 Gjennomføring... 4 5 Plan for forvaltningsrevisjon

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Forvaltningsrevisjonsplan 2014-2015

Forvaltningsrevisjonsplan 2014-2015 Forvaltningsrevisjonsplan 2014-2015 Hvaler kommune Østfold kontrollutvalgssekretariat Innhold: 1. Innledning... 2 2. Om den overordnede analysen... 3 2.1 Kravene i forskriften ( 10)... 3 2.2 Informasjonsgrunnlag

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

NY STYRINGSMODELL ØRU/DGI

NY STYRINGSMODELL ØRU/DGI NY STYRINGSMODELL ØRU/DGI Hvorfor og status Halvor Hoel, leder estab Terje Tomter, direktør DGI Kort om estab og DGI estab Antall innbyggere: IKT strategi- og bestillerenhet for kommunene på Øvre Romerike

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Trondheim byarkiv v/elin E. Harder. Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv

Trondheim byarkiv v/elin E. Harder. Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv Trondheim byarkiv v/elin E. Harder Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv Foto: Foto: Carl-Erik Geir Hageskal Eriksson Norsk arkivråd, Trondheim 23.03.2010

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt. 64 2325 Hamar tlf. 62 54 47 21 Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt INNHOLDSFORTEGNELSE

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgivelsesdato: 07.06.2010 1 Bakgrunn...2 2 Hensikt...2 3 Omfang...2 4 Sentrale krav...2 5 Generelt om målstyring...4

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

INNKALLING TIL MØTE I KONTROLLUTVALGET

INNKALLING TIL MØTE I KONTROLLUTVALGET Postboks 54, 8138 Inndyr 21.03.2012 12/158 416 5.1 Medlemmer i Meløy kommunes kontrollutvalg INNKALLING TIL MØTE I KONTROLLUTVALGET Onsdag 28. mars 2012 kl. 09.00 Møtested: Møterom Bolga, 2. etg, rådhuset,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Digitaliseringsstrategi 2014-2029

Digitaliseringsstrategi 2014-2029 Digitaliseringsstrategi 2014-2029 Stavanger kommune Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet.

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Instruks. Informasjon- og datasikkerhet Instruks for faggruppe ikt. Gjelder for: Alle ansatte. Vedtatt av: Rådmannen

Instruks. Informasjon- og datasikkerhet Instruks for faggruppe ikt. Gjelder for: Alle ansatte. Vedtatt av: Rådmannen Instruks Informasjon- og datasikkerhet Instruks for faggruppe ikt Gjelder for: Alle ansatte Vedtatt av: Rådmannen Dato: 22.09.2014 Vedtaksnr. 14/23964 JpID: 14/25494 Dokumentansvarlig (Enhet): Interne

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Kommuneforlagets ledelsesprodukter Bedrekommune.no - KF BedreStyring- KF Kvalitetsstyring Program Sesjon 1 [10.00 10.55] Målstyring, tjenestekvalitet og internkontroll

Detaljer

"Iverksettingog oppfølgingav politiskevedtak" Risørkommune

Iverksettingog oppfølgingav politiskevedtak Risørkommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-Gjerstad-Grimstad-Lillesand-Risør-Tvedestrand-Vegarshei-Åmli "Iverksettingog oppfølgingav politiskevedtak" Risørkommune Forvaltningsrevisjonjanuar

Detaljer

1. SAMMENDRAG 2 2. INNLEDNING 3 3. FORMÅL 3 4. FAKTADEL 3 5. REVISORS VURDERING 5 6. REVISORS KONKLUSJONER 7 7. REVISORS ANBEFALINGER 8 8.

1. SAMMENDRAG 2 2. INNLEDNING 3 3. FORMÅL 3 4. FAKTADEL 3 5. REVISORS VURDERING 5 6. REVISORS KONKLUSJONER 7 7. REVISORS ANBEFALINGER 8 8. Innholdsfortegnelse side 1. SAMMENDRAG 2 1.1 MÅLSETTING FOR PROSJEKTET 2 1.2 REVISORS VURDERINGER OG KONKLUSJONER 2 1.3 REVISORS ANBEFALINGER 2 2. INNLEDNING 3 2.1 BAKGRUNN FOR PROSJEKTET 3 2.2 HJEMMEL

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE. Kommunestyret Møtedato: 25.03.2010 Saksbehandler: Eva Bekkavik

FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE. Kommunestyret Møtedato: 25.03.2010 Saksbehandler: Eva Bekkavik FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE Kommunestyret Møtedato: 25.03.2010 Saksbehandler: Eva Bekkavik Utvalgssaksnr. Utvalg Møtedato 12/10 Kommunestyret 25.03.2010 3/10 Kontrollutvalget

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Referat fra styremøte i ØRU 03. desember 2010

Referat fra styremøte i ØRU 03. desember 2010 ØRU-styrets medlemmer: Ordfører/rådmann i Eidsvoll Gjerdrum Hurdal Nannestad Nes Ullensaker Fylkesordfører/fylkesrådmann i Akershus Sør-Gardermoen 3. desember 2010 Referat fra styremøte i ØRU 03. desember

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? For Kontrollutvalg 30.11.15 v/rådmann Thor Smith Stickler OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? Definisjon av internkontroll - PwC Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Møtedato: 14.-15.12.10 Møtested: Mo i Rana I oppdragsdokumentet 2010 heter det i pkt 8.1.2 Risikostyring og intern kontroll, at styret skal

Detaljer

Forvaltningsrevisjonsplan i perioden 2014-2015

Forvaltningsrevisjonsplan i perioden 2014-2015 Forvaltningsrevisjonsplan i perioden 2014-2015 Rygge kommune Østfold kontrollutvalgssekretariat Innhold: 1. Innledning... 2 2. Om den overordnede analysen... 3 2.1 Kravene i forskriften ( 10)... 3 2.2

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

OVERORDNET SELSKAPSKONTROLL Av kommunens deleide aksjeselskap

OVERORDNET SELSKAPSKONTROLL Av kommunens deleide aksjeselskap Selskapskontroll 2015 Utarbeidet av Hedmark Revisjon IKS på vegne av kontrollutvalget i Kongsvinger kommune. OVERORDNET SELSKAPSKONTROLL Av kommunens deleide aksjeselskap Postadresse: Postboks 84, 2341

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Ledelse og personvern Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn Fellesrapport Tilsyn med regnskapsførerselskaper som utfører regnskapstjenester for foretak av allmenn interesse Tematilsyn 2014 DATO: 15. juni 2015 NUMMER: 14/8978 m.fl. Seksjon/avdeling: Revisjon og

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgitt første gang: 07.06.2010. Oppdatert: 02.05.2012 1 Bakgrunn... 2 2 Hensikt... 2 3 Omfang... 2 4 Sentrale

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Intern kontroll i finansiell rapportering

Intern kontroll i finansiell rapportering Intern kontroll i finansiell rapportering EBL Spesialistseminar i økonomi 22. oktober 2008 Margrete Guthus, Deloitte Temaer Regelsett som omhandler intern kontroll Styrets ansvar for intern kontroll med

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

Informasjon om forvaltningsrevisjon

Informasjon om forvaltningsrevisjon Informasjon om forvaltningsrevisjon Hvem er vi? (RRI) ble opprettet i 2014 og er en sammenslutning av de tre tidligere revisjonsdistriktene på Romerike, Øvre-, Østre- og Nedre Romerike distriktsrevisjon.

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Kommunal egenkontroll. Kontrollaktørenes roller, ansvar og oppgaver. Fellessamling Mosjøen 12.01.2015. 2014 Deloitte AS

Kommunal egenkontroll. Kontrollaktørenes roller, ansvar og oppgaver. Fellessamling Mosjøen 12.01.2015. 2014 Deloitte AS Kommunal egenkontroll Kontrollaktørenes roller, ansvar og oppgaver Fellessamling Mosjøen 12.01.2015 Om Deloitte Deloitte er en virksomhet med 1200 ansatte som arbeider i hovedsak med revisjon, evaluering

Detaljer

Kommunetilknytninger til helsenett. Leif-Petter Strømme

Kommunetilknytninger til helsenett. Leif-Petter Strømme Kommunetilknytninger til helsenett Leif-Petter Strømme Hvem er DGI? I 2004 ble prosjektet Digitale Gardermoregionen gjennomført for å forberede dannelsen av selskapet med følgende viktige milepæler: Et

Detaljer

VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM"

VEILEDER OM KRAVET TIL SKOLEEIERS FORSVARLIGE SYSTEM VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM" I HENHOLD TIL OPPLÆRINGSLOVEN 13-10 ANDRE LEDD OG PRIVATSKOLELOVEN 5-2 TREDJE LEDD Innhold 1. Forord...2 2. Innledning...3 3. Elementer i et forsvarlig

Detaljer