ANBEFALING TIL GOD IT-SKIKK (NR. 1) IT-DOKUMENTASJON
|
|
- Anne Lorentzen
- 7 år siden
- Visninger:
Transkript
1 ANBEFALING TIL GOD IT-SKIKK (NR. 1) IT-DOKUMENTASJON 1. MARS 2011
2 DENNE ANBEFALING ER UTGITT AV Information Systems Audit and Control Association NORWAY CHAPTER NORWAY CHAPTER 3.UTGAVE ERSTATTER 2. UTGAVE 1. JUNI 1995 DENNE UTGAVEN BEHANDLER IT-DOKUMENTASJON GENERELT OG HAR ET EKSEMPEL MED DE DOKUMENTENE SOM TRENGS FOR Å ETABLERE GOD SYSTEM-, BRUKER- OG DRIFTSDOKUMENTASJON FOR ET IT-SYSTEM. 2. UTGAVE ERSTATTER UTGAVE 6. JANUAR 1992 OSLO, 1. JUNI ANBEFALING TIL GOD IT-SKIKK (NR 1)
3 INNHOLD 1 OM DOKUMENTET Formål Målgruppen for dokumentet 4 2 GENERELLE KRAV IT-dokumentasjon og forvaltning Ansvar for dokumentasjon Aktuell lovgivning Aktuelle standarder 6 3 VEILEDNING I SYSTEM-, BRUKER- OG DRIFTSDOKUMENTASJON Innledning Systemdokumentasjon Brukerdokumentasjon Driftsdokumentasjon 10 IT-dokumentasjon 3
4 1 Om dokumentet 1.1 Formål Formålet med denne anbefalingen er å bidra til å konkretisere krav til IT-dokumentasjon og forvaltning som norske virksomheter bør oppfylle for å imøtekomme kravene i det rettslige begrepet betryggende kontroll samt de krav som stilles til IT-dokumentasjon i lover, forskrifter, allment aksepterte standarder og beste praksis. Generelle krav til IT-dokumentasjon og forvaltning, med blant annet referanse til lov- og regelkrav og standarder beskrives i kapittel 2. I kapittel 3 følger så en oversikt over hvilke elementer som bør inngå i henholdsvis system-, bruker- og driftsdokumentasjon. God IT-dokumentasjon og tilhørende forvaltning med klart definerte oppgaver, ansvar og internkontroll er en forutsetning for å sikre forsvarlig utvikling, bruk, drift og vedlikehold av virksomhetens informasjonssystemer. 1.2 Målgruppen for dokumentet Beslutningstakere med styringsansvar Personer som beslutter investeringene, som definerer krav til virksomheten og de forretningsenhetene som bruker og/eller har eierskap til IT-systemene. Aktører med utføreransvar IT-linjeledere, prosjektledere, prosessledere, utviklere eller driftspersonell som får i oppgave å lage beskrivelser av hvordan et IT-system er bygd opp og hvordan det skal driftes og brukes. Kontrollfunksjon Personer med ansvar for internkontroll og revisjon som krever at IT-dokumentasjon skal finnes. 2 Generelle krav 2.1 IT-dokumentasjon og forvaltning IT-dokumentasjonen skal dekke alle sider av virksomhetens IT-systemer og IT-infrastruktur. Dette gjelder både IT som håndteres i eget hus, og IT som er tjenesteutsatt. Kravene til innhold og omfang vil derimot variere avhengig av om det er en utkontraktert eller egenprodusert tjeneste, et anskaffet eller egenutviklet IT-system eller en blanding av dette. IT-dokumentasjon må dekke krav som er fastsatt i lover og regler som gjelder for den enkelte virksomhet. God dokumentasjon karakteriseres med følgende trekk: dekker målgruppenes behov for veiledning på ulike områder er lett å finne fram i er lesbar og forståelig er korrekt og oppdatert er tilgjengelig på flere medier IT-dokumentasjonen er ofte mangelfull i mange virksomheter. Dette skyldes vanligvis tidspress i utviklingen, mangelfulle krav ved anskaffelse og innføring eller at det ganske enkelt ikke er avsatt nok ressurser til dokumentasjonsoppgavene. Ikke tilstrekkelig dokumentasjon kan føre til feil, økt behov for opplæring og økt personavhengighet. I tillegg vil manglende eller mangelfull dokumentasjon øke vedlikeholdskostnadene og gjøre det vanskeligere å oppgradere og integrere IT-systemene. Ved anskaffelse av nye IT-systemer eller -tjenester er det kjøper som er ansvarlig for å stille krav i kjøps- og vedlikeholdsavtalene til tilstrekkelig system-, bruker og driftsdokumentasjon og til vedlikehold av denne. Utformingen og språket i dokumentasjonen bør være tilpasset målgruppen og dokumenttypen. Kravene til kvaliteten vil variere avhengig av formålet med dokumentet og konsekvensene av feil eller mangler i dokumentet. Leverandørens dokumentasjon kan benyttes som en del av den samlede dokumentasjonen der det er hensiktsmessig. 4 ANBEFALING TIL GOD IT-SKIKK (NR 1)
5 Endringshåndtering Det er viktig at IT-dokumentasjonen forvaltes på lik linje med virksomhetens øvrige dokumentasjon, eksempelvis dokumentasjon av produkter og tjenester til markedet. Dette innebærer produksjon, revisjon, publisering og videreutvikling av dokumentasjonen. Forvaltning av dokumentasjonen bør integreres i endringshåndteringsprosessen og underlegges de samme regler for oppdatering og versjonsstyring som IT-systemer og IT-infrastruktur. Endringer i dokumentasjonen skal være sporbare. Hvis virksomheten har tatt i bruk egne hjelpemidler og verktøy for vedlikehold av dokumentasjon av produkter, tjenester og prosesser, bør disse også anvendes for IT-dokumentasjonen. Foretaket bør definere og bemanne en rolle som har ansvar for å følge opp at det er samsvar mellom dokumentasjonen og systemene den beskriver. Tilgjengelighet IT-dokumentasjon kan publiseres og gjøres tilgjengelig i virksomheten på flere måter. Elektroniske oppslagssystemer i tilknytning til det enkelte IT-system, for eksempel gjennom bruk av Intranettet, kan være hensiktsmessig. Det bør også være mulig å generere utskrifter når det er behov for det, men bruk av papir bør begrenses. Tilgjengelighet til IT-dokumentasjon bør sikres på lik linje med annen elektronisk informasjon, for eksempel ved hjelp av en oppdatert papirkopi som er sikret mot brann og annen skade og som er lett tilgjengelig i en avbruddssituasjon. Det er viktig at IT-dokumentasjon inngår som element i virksomhetens IT-driftskontinuitets- og katastrofeplan. Virksomheten bør vurdere om tilgangen til kildekoden skal være sikret i kjøpsavtalen. Tilgang til kildekoden kan være viktig i en situasjon der leverandøren avvikler sin virksomhet. Deleted:. 2.2 Ansvar for dokumentasjon Den operative daglige ledelsen har utføreransvaret for å etablere og ivareta et tilfredsstillende nivå på ITdokumentasjonen. I mange virksomheter vil det være IT-sjef, systemeiere og systemansvarlige som deler på ansvaret, men også IT-sikkerhetssjef og IT-driftsleder vil ha ansvar for dokumentasjon innenfor sine områder. Virksomhetens ledelse har ansvaret for at det foreligger retningslinjer for dokumentasjon av IT-systemer og forvaltning av denne. Dette omfatter også oppfyllelse av regulatoriske krav til IT-dokumentasjon. Dersom hele eller deler av IT-virksomheten er utkontraktert, må ledelsen i virksomheten sikre seg tilstrekkelig ITdokumentasjon gjennom leverandøravtalene og sørge for at dokumentasjonen er i tråd med avtalene. 2.3 Aktuell lovgivning Det er viktig å ha oversikt over aktuell lovgivning som gir føringer for IT-dokumentasjonskravene i virksomheten og for forsvarlig implementering av IT-dokumentasjonsforvaltning. IT-dokumentasjon er omtalt i sentrale lover og forskrifter som omhandler elektronisk informasjonsbehandling. De som forvalter regelverket har ofte utarbeidet veiledninger som også dekker krav til nødvendig dokumentasjon. Tabell 1 presenterer noen eksempler på dette. Regelverk Sikkerhetsloven med forskrifter Beskyttelsesinstruksen Personopplysningsloven med forskrift Helseregisterloven med forskrifter Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren IKT-forskriften (Finanstilsynet) Forskrift om beredskap i kraftforsyningen (Norges Tabell 1. Eksempler på regelverk med krav til IT-dokumentasjon Lenker til lover og veiledninger aspx Norm_for_informasjo_296439a.pdf IT-dokumentasjon 5
6 vassdrags- og energidirektorat) Forvaltningsloven eforvaltningsforskriften Reglement for økonomistyring i staten Bokføringsloven html&emne=bokføring*&& 2.4 Aktuelle standarder Standardene ISO/IEC Service Management og ITIL omhandler styring og leveranse av IT-tjenester. Disse krever at det foreligger dokumentasjon av policy og planer tjenestenivåavtaler prosesser og prosedyrer transaksjoner Standardene ISO/IEC 27001/27002 omhandler styring av informasjonssikkerhet og stiller krav til dokumentasjon av all anskaffelse og bruk av IT. De brukes blant annet av Riksrevisjonen i Norge ved revisjon av informasjonssikkerhet i statlige virksomheter og er også referert i kommentarene til Personopplysningsforskriften. Standardene krever at styringssystemet for informasjonssikkerhet er dokumentert og at det foreligger dokumentasjon av transaksjoner som viser at styringssystemet er i bruk. Det er også etablert en offentlig sertifiseringsordning basert på ISO/IEC Både ISO og ISO krever at det etableres et dokumentert system for vedlikehold og forvaltning av dokumentasjonen. ISACA sitt rammeverk COBIT 4.1 stiller krav til dokumentasjon i de aller fleste av de 34 prosessene. I modenhetsmodellen til COBIT fremstår dokumentasjon som en viktig modenhetsindikator. Det foreligger også en rekke standarder for systemutvikling som inneholder krav og anbefalinger om dokumentasjon. 3 Veiledning i system-, bruker- og driftsdokumentasjon 3.1 Innledning I dette kapittelet er det beskrevet hvilke elementer som bør inngå i system-, bruker- og driftsdokumentasjon av et ITsystem. Veiledningen gjelder for alle typer IT-systemer uavhengig av systemenes kompleksitet. Detaljeringsgraden kan vurderes og tilpasses for det enkelte system. Intensjonen om betryggende dokumentasjon av systemene forutsettes imidlertid oppfylt. IT-dokumentasjon skal beskrive: hvordan systemet (det vil si både maskinutstyr og programvare) er konfigurert hvilke grensesnitt/integrasjoner systemet har mot andre systemer hvordan IT-systemet skal brukes på riktig måte for å få optimalt utbytte av det hvordan systemet skal driftes og vedlikeholdes IT-dokumentasjon deles vanligvis i tre kategorier: systemdokumentasjon brukerdokumentasjon driftsdokumentasjon System-, bruker- og driftsdokumentasjonen kan ha felles elementer. Anbefalingen er ikke til hinder for at disse samles. Dokumentasjonen må i alle tilfeller organiseres etter virksomhetens behov. En viktig del av dokumentasjonsarbeidet 6 ANBEFALING TIL GOD IT-SKIKK (NR 1)
7 og felles for alle kategorier, er å forutse hva slags spørsmål og problemer som kan oppstå og dokumentere mulige løsninger. 3.2 Systemdokumentasjon God systemdokumentasjon er en forutsetning for å sikre de verdier som er nedlagt i utviklingen av et IT-system. Videreutvikling og vedlikehold av systemet bygger på denne dokumentasjonen. Systemdokumentasjonen er primært beregnet på systemutviklere, men også til en viss grad på driftspersonell. Systemeiere og systemansvarlige skal kunne finne beskrivelser av kontroller som er innebygd i systemet, i systemdokumentasjonen. IT-systemet skal beskrives tilstrekkelig detaljert til å sikre forsvarlig vedlikehold og videreutvikling. Systemdokumentasjonen skal gjøre det mulig å forstå systemets struktur og virkemåte og beskrive programmerte rutiner og kontroller, herunder databehandling i systemet. Ofte består et IT-system av mange komponenter i en lagdelt arkitektur. Det kan være hensiktsmessig å beslutte en fast katalogstruktur for lagring og enkel gjenfinning av systembeskrivelsen av de ulike komponenttypene IT-systemet består av. Systemdokumentasjonen bør inneholde følgende: 1. Formål, bruksområde og ansvarlige 1.1 Hensikten med IT-systemet. 1.2 Bruksområde for IT-systemet. 1.3 Hvem (funksjon/org. enhet/firma/etc.) som er ansvarlig for ajourhold av systemdokumentasjonen. 1.4 Systemansvarlig. 1.5 Systemeier. 1.6 Ansvarlig for drift og vedlikehold av IT-systemet. 1.7 Hvilke organisasjonsenheter som bruker IT-systemet og eventuelle kontaktpersoner. 1.8 Tilknyttet forretningsprosess og/eller arbeidsprosess 1.9 Ev. utkontrakterte oppgaver og ansvar. 2. Oppstilling over aktuelle eksterne lover, forskrifter og virksomhetens interne policy standarder, regler og retningslinjer som gjelder for det området IT-systemet omfatter 3. Systembeskrivelse 3.1 Systemversjon. 3.2 En beskrivelse av grensesnitt mot andre IT-systemer, manuelle eller maskinelle, som angir type, format og ev. frekvens av import- og eksportdata. 3.3 En beskrivelse av IT-systemets oppbygging med programmer, registre, tabeller, database, inndata og utdata, metadata, samt avhengigheter og dataflyt mellom disse. Dersom det er en database, bør både den fysiske og logiske strukturen beskrives. 3.4 En beskrivelse av IT-systemets funksjoner med angivelse av hensikt/bruksområde, inndata, behandlingsregler, innebygd arbeidsflyt, feilmeldinger og utdata. Beskrivelsen omfatter også oppdatering av registre/tabeller. 3.5 En beskrivelse av datafelt dataformat og betydning. Dette kan være en datamodell med dokumentasjon av objekter, attributter og relasjoner. 3.6 Rapportfunksjonaliteten. 3.7 Programmeringsspråk. 3.8 Systemarkitektur (tynn/tykk klient, Web, etc.). 4. Kontroller i og rundt IT-systemet 4.1 Enkel kritikalitetsvurdering av IT-systemets konfidensialitet, integritet og tilgjengelighet. For kritiske systemer skal foreligge også en mer omfattende risikovurdering. 4.2 Revisjonskrav og andre sikkerhetskrav (regulatoriske og interne). 4.3 En beskrivelse av sikkerhetsmekanismer. IT-dokumentasjon 7
8 4.4 En beskrivelse av autorisasjonssystemet, roller og tilgangskontroll. 4.5 En beskrivelse av loggfunksjonaliteten. 4.6 En beskrivelse av øvrige preventive, oppdagende og korrektive kontroller, automatiske og manuelle, og samspillet mellom disse. 5. Driftsmessige krav og ressurser. 5.1 IT-krav og forutsetninger for drift, herunder krav til underliggende plattform, systemprogramvare og den konfigurasjon som kreves for drift av IT-systemet. 5.2 Maskinvare. 5.3 Arbeidsstasjoner og skrivere. 5.4 Kommunikasjonsløsninger. 5.5 Minstekrav til ytelse og responstid 6. Systembenyttede standarder 6.1 Verktøyavhengige standarder (en beskrivelse av regler for hvordan verktøyene skal brukes) 6.2 Spesifikasjonsstandarder. (En beskrivelse av regler for hvordan funksjoner, programmer, data og dokumenter skal beskrives.) 6.3 Programmeringsstandarder. (En beskrivelse av regler for hvordan programmeringen skal utføres.) 6.4 Brukergrensesnitt. (En beskrivelse av regler for oppbygging av skjermbilde og meny, hva en kommando utfører, standard betydning av tastene på tastaturet, fellestrekk ved dialogene etc.) 6.5 Navnestandarder. (En beskrivelse av hvordan navn er bygget opp. Dette er standarder som skal sikre at navn er entydige og at alle forekomster bare har ett navn. I tillegg er det regler for generering av navn, som skal sikre at navn er logiske.) 6.6 Andre standarder for IT-systemet (for eksempel Grønn IT ) 6.7 Avvik, begrunnelse for avvik fra gjeldende standard(er). 7. Systemforvaltning (vedlikehold og videreutvikling) 7.1 Rutiner for systemforvaltning med tilhørende dokumenter eller henvisning til generell rutine for systemforvaltning. 7.2 Rutiner for konfigurasjonsstyring av kode. 7.3 Rutiner for melding, registrering og oppfølging av endringsforslag. 7.4 Rutiner for konsekvensvurdering og prioritering av endringsforslag og bestilling av endringer. 7.5 Plan og miljø for testing, testgruppesammensetting, testdata og forventede testresultater. 7.6 Rutine for godkjenning og driftssetting av endringer og oppdatering av system-, bruker- og driftsdokumentasjon. 7.7 Rutine for informering av berørte om implementerte endringer. 7.8 Bibliotekrutiner. 8. Programdokumentasjon 9.1 Det er viktig med flittig bruk av kommentarer i programkoden for å gjøre denne lettere å forstå. Et minimum er å forklare programmets funksjon, variabler, behandlingsregler og avhengighet av/ påvirkning på andre programmer. 9.2 Hvem som har programmert (både opprinnelig og eventuelle endringer), dato og versjon. 9. Kjente feil og mangler 9.1 Oversikt over ofte stilte spørsmål og kjente feil og mangler med beskrivelse av mulige løsninger primært for brukere/brukerstøttefunksjon og driftspersonell. 10. Ordliste 8 ANBEFALING TIL GOD IT-SKIKK (NR 1)
9 3.3 Brukerdokumentasjon Brukerdokumentasjonen skal sikre korrekt, konsistent og effektiv bruk av IT-systemet, og bidra til å redusere antall hendelser som skyldes feil bruk av systemet. Brukerdokumentasjonen vil være et viktig supplement til opplæring og vil redusere behovet for brukerstøtte. I tillegg til å beskrive hvordan systemet skal brukes, bør brukerdokumentasjonen inneholde en overordnet forklaring av systemet som beskriver behandlingsregler og grensesnitt mot andre systemer. Brukerdokumentasjonen er primært beregnet på brukerne av systemet og brukerstøttefunksjonen som bistår brukerne ved spørsmål, feil og andre hendelser. Dokumentasjonen skal på en oversiktlig og lettfattelig måte beskrive systemet med tilhørende manuelle rutiner slik det arter seg for brukeren. Brukerne skal kunne benytte den som oppslagsbok. Brukerdokumentasjonen bør inneholde følgende: 1. Formål, bruksområde og ansvarlige 1.1 Hvem (funksjon/org. enhet/etc.) som er ansvarlig for ajourhold av dokumentasjonen. 1.2 IT-ansvarlig. 1.3 Systemeier. 1.4 Ansvarlig for drift og vedlikehold av IT-systemet. 1.5 Organisasjonsenheter som skal bruke IT-systemet. 1.6 Hvem som kan kontaktes ved spørsmål om bruk av systemet (brukerstøttefunksjon). 2. Oppstilling over aktuelle lover, forskrifter, regler og retningslinjer for området IT-systemet omfatter 3. Generelt 3.1 Hensikten med IT-systemet. 3.2 En overordnet systembeskrivelse. 3.3 En overordnet beskrivelse av brukergrensesnittet. 3.4 En overordnet beskrivelse av skjermbilde-, meny- og rapportstrukturen. 3.5 Påloggings- og utloggingsprosedyrer. 3.6 Særskilte sikkerhetsbestemmelser for systemet, bl.a. passordsikkerhet. 3.7 Brukergrupper og ulike tilgangsnivåer i systemet. 3.8 Henvisning til annen relevant dokumentasjon. 4. Brukerrettet beskrivelse av IT-systemet 4.1 Bruksområde for IT-systemet. 4.2 Grensesnitt til andre IT-systemer (manuelt eller maskinelt). 4.3 Definisjon av registreringsfelter, oversikt over grunnlagsdokumenter og retningslinjer for klargjøring og registrering av dokumenter 4.4 Instrukser og rutiner for registrering. 4.5 Beskrivelse av menyer og kommandoer. 4.6 Beskrivelse av alle funksjoner og maskinelle behandlingsregler. 4.7 Beskrivelse av alle skjermbilder med tilhørende blanketter og forklaring til de enkelte datafelt. 4.8 Regler for utfylling av de enkelte datafelt. 4.9 Regler for retting av feilregistrerte data Kontroller og avstemmingsrutiner. Dette omfatter også kontroller og avstemmingsrutiner av eventuelle grensesnitt mot andre IT-systemer Andre rutiner i tilknytning til IT-systemet Driftsmessige forhold av betydning for bruker. IT-dokumentasjon 9
10 5. Oversikt over rapporter 5.1 Oversikt over rapportene med kopi/beskrivelse av disse inkl. anvendelsesmåter. 5.2 Hvordan rapportene genereres/bestilles. 5.3 Hvor ofte rapportene produseres og om de må bestilles eller kommer automatisk. 5.4 Hvor, hvordan og hvor lenge rapportene skal oppbevares. 6. Rutiner for forvaltning (behandling av feil og endringsønsker) 6.1 Hvor og hvordan endringsønsker sendes. 6.2 Hvor og hvordan feil skal meldes. 6.3 Hvordan endringsønsker og feil blir behandlet, ev. en henvisning til virksomhetens etablerte prosesser for håndtering av feil og endringer. 6.4 Prosedyre for melding, registrering, eskalering og oppfølging av avvik. 7. Informasjonssikkerhet Brukerdokumentasjonen bør inneholde en henvisning til virksomhetens internkontrollsystem for informasjonssikkerhet. 8. Ordliste 3.4 Driftsdokumentasjon Korrekt og oppdatert driftsdokumentasjon er avgjørende for å sikre kontinuitet i driften. Driftsdokumentasjonen er primært beregnet på personer som drifter IT-infrastrukturen og IT-systemene. Driftsdokumentasjonen representerer et verktøy som er i daglig bruk og som skal redusere avhengighet av enkeltpersoner. Ofte vil driftsdokumentasjon være formet som arbeidsmanualer og sjekklister. Dersom driften helt eller delvis opereres av en ekstern leverandør, må driftsdokumentasjonen tilpasses ansvarsområde til den enkelte aktør. Overordnet beskrivelse av infrastruktur og IT-løsninger er likevel naturlig å dele mellom alle involverte parter. Ofte defineres driftsoppgavene og kvalitetskrav til disse i en avtale om tjenestenivå (såkalt SLA 1 -avtale). SLA-avtalen kan være mellom foretaket og en ekstern driftsleverandør eller mellom foretakets administrasjon og foretakets egen IT-avdeling. Det kan være nyttig å vurdere om rett til innsyn i driftsdokumentasjonen skal være en del av SLA-avtalen. Det bør være et krav til nye IT-løsninger som skal settes i produksjon, at disse overleveres til driften med tilstrekkelig dokumentasjon til at driftsrutiner kan beskrives i samsvar med den strukturen foretaket har bestemt. Driftsdokumentasjonen bør inneholde : - en overordnet beskrivelse av IT-infrastrukturen og IT-løsningene - driftsrutiner og annen dokumentasjon i tilknytning til IT-infrastrukturen - driftsrutiner i tilknytning til den enkelte IT-løsning Deleted: Service Level Agreement (SLA)-avtale Driftsrutiner tilknyttet IT-infrastruktur Driftsrutiner for IT-infrastrukturen gjelder for alle systemer og kan omfatte: 1. Datarom, tilførsler og fysisk sikring 2. PC-klienter 3. Servere, operativsystemer og virtualisering 4. Lagringsløsning 5. Brukeradministrasjon 6. Brukerstøtte 7. E-post 8. Nettverk internt 9. Datakommunikasjon 10. Multifunksjonsenheter 11. Kontorstøtte 1 Service Level Agreement 10 ANBEFALING TIL GOD IT-SKIKK (NR 1)
11 12. Sikkerhetskopiering og gjenoppretting 13. System for håndtering av skadevare 14. Database 15. Intranett 16. Mobile løsninger 17. Fjerndrift 18. Kontinuitet og katastrofehåndtering Følgende beskrivelser kan være aktuelt for de fleste av de overnevnte områdene: a. Drifts-personell forutsetninger/nødvendig kompetanse for å utføre oppgavene b. Versjon og tillegg av maskinutstyr eller programvare som er lagt til grunn for rutinen c. Hvem er ansvarlig internt, hvem er stedfortreder? d. Hva foreligger av nettsteder og dokumentasjon fra leverandør e. Hvor er programvare og data lagret? f. Hvordan spore utførelse av driftsoppgavene? g. Hvordan få ut status? h. Hvordan er programvare og data sikret, f.eks. mot tap eller uautorisert tilgang? i. Ev. hvilke ISO punkter er relevante for driftsdokumentasjonen og hvordan er de oppfylt? j. Driftsoppgaver i. Starte, stoppe, restarte ii. Sjekke status iii. Anbefalte eller pålagte aktiviteter hvilke er disse og hvordan utføre? Eks: Legge inn virtuell maskin iv. Hvordan legge inn og sette i drift ny versjon/revisjon? v. Hvordan distribuere til brukere? vi. Hvordan finne feil? vii. Hvordan rette feil, oppdatere? viii. Hvordan tune? ix. Hvordan melde feil? x. Hvordan logge, varsle og følge opp avvik eller hendelser? xi. Hvordan endre konfigurasjon? Dokumentasjon av interne driftsrutiner henviser til leverandørens dokumentasjon der det er hensiktsmessig. Driftsrutinene suppleres med tegninger og lister av utstyr og programvare, konfigurasjoner og lignende ved behov. Driftsrutiner tilknyttet det enkelte IT-system Dokumentasjonen av det enkelte IT-system er en beskrivelse av systemets oppbygging og driftsmønster for å sikre korrekt drift, driftsmessig vedlikehold og stabilitet. Driftsdokumentasjonen bør inneholde følgende: 1. Formål, bruksområde og ansvarlige 1.1 Hvem (funksjon/org. enhet/etc.) som er ansvarlig for ajourhold av driftsdokumentasjonen. 1.2 IT-ansvarlig. 1.3 Systemeier. 1.4 Ansvarlig for drift og vedlikehold av IT-systemet. 1.5 Hensikten med IT-systemet. 1.6 Kort systembeskrivelse. 1.7 Minstekrav til ytelse og responstid. 1.8 Krav til driftskontinuitet 2. Ressurser 2.1 Maskinvare. 2.2 Programvare både systemprogramvare og annen programvare som benyttes av IT-systemet. 2.3 Arbeidsstasjoner og skrivere. 2.4 Kommunikasjonsløsninger. 3. Driftsrettet beskrivelse av IT-systemet IT-dokumentasjon 11
12 3.1 Avhengighet til andre IT-systemer. 3.2 Oversikt over oppdrag med tilhørende rapporter. 3.3 Avhengigheter mellom oppdrag. 3.4 En beskrivelse av oppdrag og rapporter, ev. med tilhørende parametre. 3.5 Hvordan oppdrag og rapporter bestilles inkl. bestillingsskjema/skjermbilde. 3.6 En beskrivelse av maskinelt driftsplanleggingssystem om dette benyttes. 4. Driftsrutiner 4.1 Kjøreplan/kjørefrekvens og ev. forberedelser, herunder oppstartsrutiner. 4.2 Prioritet ved driftsforstyrrelser. 4.3 Ressursforbruk (CPU, utstyr og kjøretid). 4.4 En beskrivelse av manuelle kontroller som skal utføres av driftspersonell. 4.5 En beskrivelse av ordinære konsollmeldinger og hvordan de behandles. 4.6 Oversikt over driftsfeilmeldinger. 4.7 Rutiner i forbindelse med feilmeldinger og oversikt over kontaktpersoner, herunder også hvem som skal informeres ved feil (brukere, overordnet etc.). 4.8 Loggføring, manuell og maskinell, samt behandling av logger. 4.9 Rutiner for sikkerhetskopiering Restart- og recoveryrutiner Avbruddsrutiner Katastrofeplaner. 5. Rapporter 5.1 Oversikt over rapporter med eventuelle behandlingsregler. 5.2 Distribusjon av rapporter. 6. Overvåking og driftsvedlikehold av IT-systemet 6.1 Rutiner for kontroll og overvåking av IT-systemet, f.eks. CPU-forbruk, lagringsplass etc. 6.2 Rutiner for vedlikehold av IT-systemet, f.eks. reorganisering, vedlikehold av databaserelasjoner etc. 7. Rutiner for forvaltning (behandling av reklamasjoner og endringsønsker) 7.1 Hvor og hvordan endringsønsker sendes. 7.2 Hvor og hvordan reklamasjoner skal meldes. 7.3 Hvordan endringsønsker og reklamasjoner blir behandlet og fulgt opp. 7.4 Bibliotekrutiner. 8. Definisjon av begreper 9. Informasjonssikkerhet 10. Ordliste 12 ANBEFALING TIL GOD IT-SKIKK (NR 1)
13 IT-dokumentasjon 13
14 14 ANBEFALING TIL GOD IT-SKIKK (NR 1)
Retningslinjer for akseptansetest
Bilag 5 Kundens godkjenningsprøve Retningslinjer for akseptansetest 1 Akseptansetest i DGI Akseptansetest (AT) er kundens egen test for å verifisere at leveransen er i henhold til bestillingen. Ifølge
DetaljerRetningslinjer for akseptansetest
Retningslinjer for akseptansetest 1 Akseptansetest i DGI Akseptansetest (AT) er kundens egen test for å verifisere at leveransen er i henhold til bestillingen. Ifølge V-modellen som knytter testnivå til
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerEgenevalueringsskjema
Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no
DetaljerEvalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0
Evalueringsskjema Foretakets nettbankvirksomhet Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerForetakets navn : Dato: Underskrift :
Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerSØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON
SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
Detaljer1. Innføring av system
Greta Hjertø 02.04.2004 Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er utviklet for faget LO314D Prosjektrettet systemarbeid 1. Resymé: : I denne leksjonen skal vi ta for oss den siste av fasene
DetaljerKONKURRANSEGRUNNLAG. Bilag 1 Kravspesifikasjon
KONKURRANSEGRUNNLAG Bilag 1 Kravspesifikasjon for kjøp av tjenester knyttet til drift av IT-løsninger som maskinvare, infrastruktur og programvare (herunder brukerstøtte) for levering til Statens jernbanetilsyn
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerBeskrivelse av informasjonssystemet
Beskrivelse av informasjonssystemet Side 1 av 5 Beskrivelse av informasjonssystemet NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerNTNU Retningslinje for operativ sikkerhet
Retningslinje for operativ sikkerhet Type dokument Retningslinje Forvaltes av Leder av IT-avdelingen Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020
Detaljerautentiseringsdata 1.3 Forhold til andre retningslinjer og policyer ved NTNU
NTNU Norges teknisk-naturvitenskapelige Universitet 1 Innledning Dokumentet inneholder retningslinjer for behandling av brukernavn/passord og andre som benyttes ved NTNUs dataanlegg. Retningslinjene spesifiserer
DetaljerStatens standardavtaler Avtaler og veiledninger om IT-anskaffelser
BILAG 1 Statens standardavtaler Avtaler og veiledninger om IT-anskaffelser Driftsavtalen - MIL.NO Avtale om kjøp av driftstjenester knyttet til maskinvare, infrastruktur og programvare Bilag 1 Forsvarets
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerBilag 6 Vedlegg 3 Definisjoner
Bilag 6 Vedlegg 3 Definisjoner Saksnummer 13/00203 1 / 7 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 0.1 16.05.2013 Difi Dokument distribuert til tilbydere 02. 01.11.2013 Difi Ny definisjon
DetaljerRevisjon av IT-sikkerhetshåndboka
Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
Detaljer3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon
Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon 1 Innhold 1 INNLEDNING... 3 1.1 BESKRIVELSE BILAG 1... 3 2 AVTALENS OMFANG... 4 2.1 KUNDENS FORMÅL MED AVTALEN... 4 3 KRAV TIL DRIFT AV TILBUDT
DetaljerEgenevalueringsskjema
Egenevalueringsskjema for foretakets IT-virksomhet basert på 34 COBIT prosesser Dato: 10.07.2012 Versjon 5.1 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no Rangering av prosess Evalueringsskjema
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerSSA-V Bilag 1. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon
SS-V Bilag Vedlikeholdsavtalen (SS-V) Bilag : Kundens kravspesifikasjon SS-V Bilag Dokumenthistorikk Versjon Dato Beskrivelse av endring Forfatter(e) 0.8 08.2 20 Dokumentet som ble sendt ut på innspillsrunden
DetaljerKrav til utkontraktering av drift 1 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon
1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon Driftsleverandør bekrefter at regnskapsopplysninger knyttet til regnskapsførervirksomhetens kunder, og som oppbevares for regnskapsførervirksomheten
DetaljerPartene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler
mal versjon 1.0 19.01.2018 Eksemplar nr: /2 Kontrakt nr:
Detaljer2B - SSA-V Bilag 1 Kundens kravspesifikasjon. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon
Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon 1 Innhold 1 INNLEDNING... 3 1.1 BESKRIVELSE BILAG 1... 3 1.2 KRAVTABELL... 3 2 AVTALENS OMFANG... 4 2.1 KUNDENS FORMÅL MED AVTALEN... 4 3
DetaljerHØRINGSUTKAST. Minimumskriterier for tilknytning til helsenettet
HØRINGSUTKAST Minimumskriterier for tilknytning til helsenettet Dato 28. 04. 2011 Innholdsfortegnelse Innholdsfortegnelse...2 Om dokumentet...3 Forvaltning...3 Bakgrunn...3 Juridisk bindende ved avtale...3
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerEvaluering av It-systemer i et forvaltningsperspektiv. Drift, vedlikehold og videreutvikling av IT-systemet
Evaluering av It-systemer i et forvaltningsperspektiv Drift, vedlikehold og videreutvikling av IT-systemet Bakgrunnen IT-systemer har ofte lenger levetid enn forventet er ofte forretningskritiske utvikler
DetaljerOrden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.
Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019 Orden i eget hus + styring og kontroll Hva er informasjonssikkerhet?
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerKravspesifikasjon for
for ANSKAFFELSE AV Utarbeide WEB løsning samt maler for dokumenter og publikasjoner Luftambulansetjenesten ANS 21. juni 2012 INNHOLDSFORTEGNELSE: 1. FORORD... 3 2. KRAVSPESIFIKASJONENS OMFANG... 3 2.1
DetaljerVeileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?
Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
Detaljer25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)
25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerNorsox. Dokumentets to deler
Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerIntern arbeidsfordeling i helse vest IKT. ITIL beste praksis i IKT forvaltning John Kåre Knudsen, gruppeleder kliniske systemer
Intern arbeidsfordeling i helse vest IKT ITIL beste praksis i IKT forvaltning John Kåre Knudsen, gruppeleder kliniske systemer Mål med presentasjonen Forsøke å gi et innblikk i hvordan verden ser ut for
DetaljerPublic 360 Online Datasikkerhet
Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom
DetaljerNettverk for virksomhetsstyring. Møte 6. juni 2014
Nettverk for virksomhetsstyring Møte 6. juni 2014 16.06.2014 Direktoratet for økonomistyring Side 1 Program 09.00-09.15: Innledning ved DFØ 09.15-10.15: Formål og innhold i instrukser, både i instruks
DetaljerStilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen
Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført
DetaljerRegnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.
1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon 2. Bransjekompetanse Driftsleverandør bekrefter at regnskapsopplysninger knyttet til regnskapsførervirksomhetens kunder, og som oppbevares
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
DetaljerGrunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder
HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen
DetaljerAvtale for kjøp av Elektronisk vedlikeholdssystem for drift renovasjon
Avtale for kjøp av Elektronisk vedlikeholdssystem for drift renovasjon Kundens kravspesifikasjon Bilag til Kjøpsavtalen K Bilag Kundens kravspesifikasjon Innholdsfortegnelse Innledning... 3 2 Kundens bakgrunn
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerSikkert nok - Informasjonssikkerhet som strategi
Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007
DetaljerLøsning for utgående EHFfaktura
Løsning for utgående EHFfaktura og fakturahotell Bilag Kundens kravspesifikasjon Anskaffelse av konsulenttjenester DocuLive referanse nr 202036-38 Side av 7 Innledning... 3 2 Forklaring til kravspesifikasjonen...
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
Detaljer2.13 Sikkerhet ved anskaffelse
2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette
DetaljerKvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern
Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern Versjon 1.0-25.02.2018 Det er krav om innebygget personvern i tråd med personopplysningsloven. Innebygd personvern
DetaljerIT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no
IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerUtarbeidelse av kravspesifikasjon for anskaffelse av NOARK system
Utarbeidelse av kravspesifikasjon for anskaffelse av NOARK system Mars 2013 Astrid Øksenvåg Om EKOR Konsulenthus spesialisert på informasjonsforvaltning Bistår kunder med: Behovskartlegging Kravspesifisering
DetaljerSeksjon for informasjonssikkerhet
Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.
DetaljerØkonomistyring i virksomheten
Økonomistyring i virksomheten Web-basert dokumentasjon Deloitte AS Juni 2008 Før huset bygges må det foreligge en arkitekt tegning fokus på helhet og ikke enkeltfaktorer for å bygge styringsmodell Strategiske
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang
DetaljerTechnical Integration Architecture Teknisk integrasjonsarkitektur
Kap. 6 Technical Integration Architecture Studentpresentasjon av Cato Haukeland Oversikt Introduksjon -spesifikasjon Krav Beskrivelse Servicenivå Sikkerhet Plan Best practices Introduksjon Masterdokument
DetaljerSENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE
SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE John Bothner & Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE 1
DetaljerBilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON. Administrativt system for skole og SFO
Bilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON Administrativt system for skole og SFO SAK NR.: 15/05314 1 Kravmatrise Spesifikasjon av krav Skal (S) Bør (B) Kravet MÅ tilfredsstilles.
DetaljerSSA-D Bilag 1. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon
Driftsavtalen (SSA-D) Bilag : Kundens kravspesifikasjon Innhold INNLEDNING.... BESKRIVELSE BILAG.... KRAVTABELL... AVTALENS OMFANG... 4. KUNDENS FORMÅL MED AVTALEN... 4 KRAV TIL DRIFT AV TILBUDT LØSNING...
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerStyring og intern kontroll.
Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerIT Service Management
IT Service Management Forelesning uke 9 Innhold Configuration Management I keep six honest serving men (They taught me all I knew); Their names are What and Why and When and Where and How and Who -- Rudyard
DetaljerBilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter
Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
Detaljer3. Beskrivelse. Oppgave Arbeidsbeskrivelse Ansvar Fremskaffe og utarbeide dokumentasjon
Instruks Godkjent av: Christiansen, Knut Darre Side: 1 av 7 1. Hensikt og omfang Bane NOR har 5 hovedtyper dokumentasjon som samlet sett utgjør det Bane NOR definerer som Forvaltning-, Drift- og Vedlikeholdsdokumentasjon
DetaljerINTERN. DSBs arkitekturprinsipper
INTERN DSBs arkitekturprinsipper Direktoratet for samfunnssikkerhet og beredskap Side 2 av 15 Innholdsfortegnelse Arktitekturprinsipper formål og bakgrunn... 4 Tjenesteorientering... 5 Interoperabilitet...
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerAnsvar og organisering
Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerBergen kommunes strategi for informasjonssikkerhet 2011-2014
Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.
DetaljerRisikoanalyse i arkivarbeidet Ta sjansen?
Risikoanalyse i arkivarbeidet Ta sjansen? Jorunn Bødtker, 23. mars 2010 1 Risikoanalyse - NA 23.3.2010 - Jorunn Bødtker Begreper Norsk standard 5814:2005 og ISO 27002 Risiko: Muligheten for å lide tap
DetaljerSaksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen
DetaljerPERSONVERNERKLÆRING FOR LEXIT GROUP AS
PERSONVERNERKLÆRING FOR LEXIT GROUP AS 1. Behandlingens formål og grunnlag 2. Opplysningene vi behandler 3. Deling av informasjon 4. Deling av informasjon på sosiale medier 5. Sikkerhet 6. Lagring og sletting
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerKundens tekniske plattform
Kundens tekniske plattform Statens vegvesen IKT-avdelingen Versjon: 1.1 27.02 2015 Status: Godkjent Side 1 av 5 Innhold 1 Innledning 2 Teknisk plattform 2.1 Interne miljøer 2.1.1 Systemtest (UTV) 2.1.2
DetaljerInformasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet
Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en
DetaljerNormens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018
Normens krav og anbefalinger fra kravspek til innføringsprosjekt 31. oktober 2018 Agenda Anskaffelse Innføring Forvaltning og drift Krav til systemer (FA 38) og selvdeklareringsdokumenter Krav til medisinsk
DetaljerSSA V, Den store vedlikeholdsavtalen
SS V, Den store vedlikeholdsavtalen ilag 1: Kundens kravspesifikasjon Løsning for ny portal Rana kommune Innhold 1.1. Oppbygging av dokumentet 1.2. Mål og omfang 1.3. Juridiske rammebetingelser 1.4. Sikkerhet
DetaljerProgramområde for IKT-servicefag - Læreplan i felles programfag Vg2
Programområde for IKT-servicefag - Læreplan i felles programfag Fastsatt som forskrift av Utdanningsdirektoratet 5. desember 2006 etter delegasjon i brev av 26. september 2005 fra Utdannings- og forskningsdepartementet
DetaljerElektroniske tjenester og ITIL
Elektroniske tjenester og ITIL Etablert 01.01.2008 Statsråd Rigmor Åserud: Digitalt førstevalg! Difi Forvaltningsutvikling Ledelse og medarbeiderskap Offentlige anskaffelser DIFI: Fremskaffer kunnskap
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune. Revidert
Digitaliseringsstrategi for Buskerud fylkeskommune Revidert 2018-2020 Buskerud fylkeskommune Stab og kvalitetsavdelingen oktober 2017 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
Detaljer