Informasjonssikkerhetsstrategi Trondheim Kommune Dato: Versjon: Mål, retningslinjer og tiltak Side 1 av 30

Størrelse: px
Begynne med side:

Download "Informasjonssikkerhetsstrategi Trondheim Kommune Dato: 02.02.2013 Versjon: 2013.2 Mål, retningslinjer og tiltak Side 1 av 30"

Transkript

1 Mål, retningslinjer og tiltak Side 1 av 30 Innhold 1 Innledning Mål Organisering og ansvar Generelt Rådmannen Kommunaldirektørene Enhetslederne Den enkelte Informasjonssikkerhets-funksjoner Informasjonssikkerhetsansvarlig Informasjonssikkerhetsutvalget IT-sjef Systemeier Systemadministrator Aktiviteter og dokumentasjon Organisasjonsbeskrivelse Oversikt over kommunens IKT-system Informasjon om hvert enkelt IKT-system Dokumentasjon av systemer med sensitiv informasjon Klassifisering av systemer med sensitiv informasjon Aksept av risikonivå Sikkerhetsrevisjon Avviks- og forbedringsrapportering Opplæring av ledere og medarbeidere Melding og konsesjonssøknad for behandling av personopplysninger Ledelsens gjennomgang Hensikt Ansvarsforhold Utførelse Status tidligere vedtak Revisjon av styringselementer Sikkerhetsmål Hendelser og avvik Forbedringstiltak Oppfølging Referat Klassifisering/gradering Generelt Personsikkerhet Generelt Kompetansekrav Taushetserklæring Politiattest Klarering/autorisering Fortrolig / Strengt fortrolig Klarering/autorisering Begrenset... 17

2 Mål, retningslinjer og tiltak Side 2 av Klarering/autorisering Konfidensielt Klarering/autorisering Hemmelig /eller høyere Konsekvenser ved sikkerhetsbrudd Fysisk sikring Generelt Soneinndeling Adgangskontroll Alarmsystemer Kameraovervåking Dokumentsikkerhet/lagringsmedia Generelt Skjerming fra innsyn/endring Dokumenter/lagringsmedia unntatt fra offentlighet Dokumenter/lagringsmedia gradert Fortrolig eller Begrenset Dokumenter/lagringsmedia gradert Strengt fortrolig/konfidensielt Hemmelig Bærbare lagringsmedia/lagring i skytjenester E-post/andre åpne elektroniske meldingssystem Autorisasjon/uavviselighet Generelt Autentisering Uavviselighet Risikonivå Sikkerhetsnivå Klassifisering av virksomhetskritiske system Klassifisering av systemer Virksomhetskritiske system, prioritet 1/klasse Virksomhetskritiske system, prioritet 2, 3, og 4 /klasse Ikke virksomhetskritiske system, prioritet 5 / klasse Forebyggende sikkerhet Kontinuitetsplaner/beredskapsplaner Systemteknisk sikkerhet Generelt Nettarkitektur og -soneinndeling Pålogging, autentisering og logging Bærbart utstyr Tilgangsstyring Hendelsesregistrering og oppfølging Konfigurasjonskontroll Endringskontroll... 30

3 Mål, retningslinjer og tiltak Side 3 av 30 Mål, retningslinjer og tiltak 1 Innledning Trondheim kommune er den største tjenesteleverandøren til innbyggerne i Trondheim. For å utføre kommunale tjenester, behandler og lagrer ansatte i Trondheim kommune hver dag store mengder informasjon. Det er en nødvendighet for å være i stand til å gi et best mulig tilbud til kommunens tjenestebrukere. Informasjonssikkerhet i Trondheim kommune handler om å gi et best mulig tjenestetilbud til kommunens innbyggere gjennom å gi rett person tilgang til rett informasjon til rett tid. Noe av den informasjonen som behandles vil være sensitiv informasjon. Dette er informasjon som på en eller annen måte kan være til mer skade enn nytte dersom den blir offentlig kjent. Personopplysningsloven, helseregisterloven, sikkerhetsloven og andre, gir klare føringer for hvordan virksomheter skal organisere behandlingen av sensitiv informasjon. I tillegg til krav omkring selve behandlingen av informasjon, kreves etablering av systemer for ivaretakelse av informasjonssikkerhet via et internkontrollsystem med forbedringsmekanismer. Mål, retningslinjer og tiltak skal defineres. I Trondheim kommune er informasjonssikkerhet et lederansvar på alle nivå. På det overordnede nivå ligger ansvaret hos Rådmannen. Gjennom informasjonssikkerhetsstrategien fastsetter rådmannen mål, retningslinjer, og tiltak for informasjonssikkerhet i Trondheim kommune. Informasjonssikkerhetsstrategien skal benyttes som styringsdokument for all behandling av informasjonssikkerhet i kommunen, og skal tas opp til revisjon årlig ved ledelsens gjennomgang av kommunens informasjonssikkerhet. 2 Mål Det overordnede formålet med Trondheim kommunes behandling av personopplysninger, sensitive personopplysninger og annen sensitiv informasjon, er å tilby innbyggerne i Trondheim et best mulig tjenestetilbud. Kommunen skal tilfredsstille kravene gitt gjennom kommuneloven og andre lover, forskrifter, regler, og pålegg gitt av Stortinget, Regjeringen, og Fylkesmannen. Informasjonssikkerhet skal understøtte og sikre Trondheim kommunes drift, allmenne tillit og omdømme i det offentlige rom, ved å forebygge og begrense konsekvensene av uønskede hendelser. Mål for informasjonsikkerhet beskriver Trondheim Kommunes overordnede mål for beskyttelse av kommunens informasjonsbehandling mot interne og eksterne trusler av tilsiktet og utilsiktet art.

4 Mål, retningslinjer og tiltak Side 4 av 30 Følgende mål for informasjonssikkerhet er definert: 1. Trondheim kommune skal sikre at informasjon behandles iht krav i relevante lover og forskrifter. 2. Sikkerheten ved Trondheim kommune skal ha forankring hos Rådmannen. 3. Sikkerheten skal ivaretas som en integrert del av hele Trondheim kommunes organisasjon. 4. Trondheim kommune skal ha et system for ivaretakelse av sikkerhet som sikrer kommunens informasjon og databehandling på en tilstrekkelig måte. 5. Trondheim kommune skal sikre at uautoriserte ikke får fysisk adgang til kommunens lokaler eller infrastruktur der beskyttelsesverdig informasjon og/eller sensitive personopplysninger behandles, transporteres, eller lagres. 6. Trondheim kommune skal sikre at uautoriserte ikke får elektronisk adgang til kommunens informasjon som inneholder beskyttelsesverdig informasjon og/eller sensitive personopplysninger. 7. Trondheim kommune skal sikre at databehandlernes tilgang til systemer og informasjon skal begrenses til tjenstlig behov. 8. Trondheim kommune skal sikre at informasjonsbehandling er korrekt i forhold til formål og hjemmel for behandlingen, 9. Trondheim kommune skal sikre at informasjon ikke kan endres uten lovlig tilgang, og at endringer er sporbare. 10. Trondheim kommune skal sikre tilgjengelighet til systemer, tjenester og informasjon til rett tid for de personer som er autorisert. 11. Trondheim kommune skal ha mekanismer og rutiner for å oppdage, spore, forhindre, og håndtere forsøk på uautorisert adgang. 12. Trondheim kommune skal ha systematiske læreprosesser ved uønskede hendelser slik at sannsynlighet for tilsvarende eller gjentatte hendelser reduseres. 13. Trondheim kommune skal forhindre at kommunens personell eller systemer tilsiktet eller utilsiktet er årsak til sikkerhetsmessig uønskede hendelser overfor egen eller andre virksomheter, eller privatpersoner. 14. Trondheim kommune skal sikre at medarbeidere som bruker kommunens informasjonssystemer har tilstrekkelig kompetanse for å ivareta kommunens sikkerhetsbehov/krav.

5 Mål, retningslinjer og tiltak Side 5 av 30 3 Organisering og ansvar 3.1 Generelt Rådmannen er kommunens øverste ansvarlige for informasjonssikkerhet. Samtidig skal alle ansatte bidra til at informasjonssikkerheten i kommunen blir ivaretatt på en god nok måte. Hver enkelt skal aktivt medvirke til at sikkerhetsmålene blir nådd. Ivaretakelse av informasjonssikkerhet er et lederansvar på alle nivå i kommunen. Ledere er ansvarlig for at samtlige medarbeidere har nødvendig kompetanse og rammevilkår for ivaretakelse av informasjonssikkerhet i utøvelse av sin tjenestefunksjon. Alle skal gjennom sin leder ha kjennskap til hvem som er ansvarlig for sikkerheten i det systemet de benytter, hvilke sikkerhetsrutiner som er fastsatt, og hvordan avvik eller forbedringsforslag skal rapporteres. Ansvaret for informasjonssikkerhet kan ikke delegeres, men myndighet til daglig ivaretakelse av dette ansvaret kan delegeres. For eksempel kan en leder i rollen som systemeier delegere myndighet til en systemadministrator for å sørge for at krav i lover og forskrifter etterleves i praksis. Dersom en leder velger å gjøre dette, skal dette i nødvendig omfang bekjentgjøres og dokumenteres. Jfr Norm for informasjonssikkerhet (www.normen.no) Faktaark nr 0, Rådmannen Rådmannen har det overordnede ansvar for sikkerheten i Trondheim kommune. I dette ligger rollene som øverste juridisk ansvarlig, sikkerhetsansvarlig, behandlingsansvarlig, databehandlingsansvarlig, og taushetspliktansvarlig. Rådmannen utøver sitt overordnede ansvar for informasjonssikkerheten i kommunen ved å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Rådmannen godkjenner endringer som påvirker sikkerheten i eksisterende system, og innføring av nye IKT-system. Rådmannen bemyndiger organisasjonsdirektør for ivaretakelse av det overordnede sikkerhetsansvar i det daglige. Rådmannen definerer mandat og utnevner medlemmer i kommunens informasjonssikkerhetsutvalg. Rådmannen er systemeier for kommunens virksomhetsomfattende IKT-systemer. Rådmannen bemyndiger en systemadministrator for ivaretakelse av systemets sikkerhet i det daglige.

6 Mål, retningslinjer og tiltak Side 6 av Kommunaldirektørene Kommunaldirektørene er ansvarlig for informasjonssikkerhet innen sitt forvaltningsområde. Kommunaldirektørene rapporterer til Rådmannen i sikkerhetssaker. Kommunaldirektørene utøver sitt ansvar for informasjonssikkerhet innenfor sitt forvaltningsområde ved å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes. Kommunaldirektørene bemyndiger i nødvendig grad stedfortreder for ivaretakelse av sitt ansvar, og/eller delegerer i nødvendig grad myndighet for ivaretakelse av informasjonssikkerheten til sine enhetsledere. Kommunaldirektørene er systemeier for forvaltningsområdets egne IKT-systemer og fagapplikasjoner, og er ansvarlig for at relevante lover og forskrifter etterleves i praksis. Kommunaldirektørene bemyndiger en systemadministrator for ivaretakelse av systemets sikkerhet i det daglige. 3.4 Enhetslederne Enhetslederne er ansvarlig for informasjonssikkerhet innenfor sin enhet. Enhetsledere rapporterer til sin kommunaldirektør i sikkerhetssaker. Ansvarsområdet skal beskrives i lederavtalen. Enhetslederne utøver sitt ansvar for informasjonssikkerhet innenfor sin enhet ved å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes. Enhetslederne kan bemyndige stedfortreder eller assistent for ivaretakelse av sitt ansvar. Enhetsledere er systemeier for enhetens egne IKT-systemer og fagapplikasjoner, og ansvarlig for at relevante lover og forskrifter etterleves i praksis. Enhetslederen bemyndiger en systemadministrator for ivaretakelse av systemets sikkerhet i det daglige. 3.5 Den enkelte Alle i Trondheim kommune har et selvstendig ansvar for å ivareta informasjonssikkerheten i den daglige tjeneste. Alle rapporterer til sin nærmeste leder i sikkerhetssaker. Hver enkelt skal utøve sitt ansvar for informasjonssikkerhet ved å behandle informasjon etter foreskrevne rutiner, eller beste skjønn, rapportere eventuelle avvik fra de foreskrevne rutinene, og/eller foreslå forbedringer.

7 Mål, retningslinjer og tiltak Side 7 av Informasjonssikkerhets-funksjoner Informasjonssikkerhetsansvarlig Informasjonssikkerhetsansvarlig i Trondheim kommune er rådmannen. Rådmannen har bemyndiget organisasjonsdirektøren å ivareta det overordnede ansvar for informasjonssikkerheten i det daglige. Dette innebærer organisering, koordinering og styring av sikkerhetsarbeidet, utarbeidelse av retningslinjer, iverksetting av egenkontroll, gjennomføring av forbedringsprosesser, samt oppfølging av at sikkerheten vedlikeholdes i alle ledd. Organisasjonsdirektøren bemyndiger i nødvendig grad medarbeidere for å ivareta ansvaret i det daglige. Informasjonssikkerhetsansvarlig skal kunne dokumentere kommunens informasjonssikkerhet, og kunne presentere dette for eventuelle tilsyn Informasjonssikkerhetsutvalget Informasjonssikkerhetsutvalget i Trondheim kommune er rådmannens utvalg for saker angående informasjonssikkerhet. Rådmannen definerer utvalgets mandat og utnevner deltakere. Utvalget har jevnlige møter, og skal i hovedsak forberede sikkerhetsrelaterte saker som skal til rådmannen for informasjon eller beslutning, og beslutte i saker utvalget er bemyndiget til. I dette ligger blant annet å behandle avviksrapportering innenfor informasjonssikkerhet. Informasjonssikkerhetsutvalget forbereder saker til ledelsens årlige gjennomgang av informasjonssikkerheten i Trondheim kommune IT-sjef IT-sjef Trondheim kommune er enhetsleder under organisasjonsdirektør. IT-sjefen er bemyndiget til i det daglige på vegne av organisasjonsdirektøren å ivareta rådmannens overordnede ansvar for kommunens systemtekniske sikkerhet, herunder å planlegge, organisere, koordinere og styre kommunens systemtekniske sikkerhet, og kommunens datatekniske infrastruktur. IT-sjefen skal fastsette minimumskrav til systemteknisk sikkerhet på samtlige IKTsystemer som benytter kommunens datanett, og kontrollere at systemeiere etterlever dette i praksis. IT-sjefen skal rådgi kommunens systemeiere om systemteknisk sikkerhet, og anbefale løsninger i forhold til systemenes sikkerhetsbehov. IT-sjefen skal ivareta kommunens bestiller-rolle overfor kommunens leverandører av IKT- tjenester, og kontrollere at nødvendig sikkerhet er ivaretatt i forhold til de sikkerhetskrav som rådmannen har fastsatt.

8 Mål, retningslinjer og tiltak Side 8 av 30 Alle formaliteter mellom Trondheim kommune og leverandører skal være dokumentert i formelle kontrakter, og skal inkludere relevante sikkerhetskrav. Trondheim kommune skal alltid ha rett til innsyn og måling av hvorvidt leverandøren etterlever avtalte sikkerhetskrav. IT-sjef skal kunne dokumentere kommunens systemtekniske sikkerhet, og kunne presentere dette for eventuelle tilsyn Systemeier Systemeier er den leder som eier et system eller applikasjon, og som er øverste ansvarlige for informasjonssikkerheten for et spesifikt system eller applikasjon. Systemeier er enten rådmannen, en av kommunaldirektørene, eller en enhetsleder. Systemeier er ansvarlig for at systemet har tilfredstillende informasjonssikkerhet, og skal sørge for at systemet bidrar til oppnåelse av kommunens informasjonssikkerhetsmål. Systemeier skal gjennom risiko- og sårbarhetsanalyser bedømme systemets kritikalitet, og anmode informasjonssikkerhetsansvarlig om plassering i kommunens nettarkitektur, driftsprioritet og systembeskyttelse. Gjennom risiko- og sårbarhetsanalyser skal det avdekkes mulige risikoelementer, og disse skal i nødvendig grad begrenseses gjennom forebyggende og risikoreduserende tiltak. Ved uakseptabel restrisiko skal det gjennomføres beredskaps- og kontinuitetsplanlegging. Vurderingene skal være dokumentert i kvaliteket. Systemeier er ansvarlig for at det utarbeides dokumenterte rutinebeskrivelser for bruk av systemet. Ved avvik fra foreskreven rutine, er systemeier ansvarlig for at avvik rapporteres i kommunens avviksrapporteringssystem. For systemer som behandler personopplysninger, sensitive personopplysninger, eller annen sensitiv informasjon, er systemeier ansvarlig for å etablere en tilfredstillende brukeradministrasjon og tilgangsstyring til informasjon etter tjenestlig behov. Det skal også sikres en tilstrekkelig logging av lovlig bruk, forsøk på ulovlig inntrenging, og rutiner for endring eller sletting av informasjon. Sikkehetskravene skal være i samsvar med det sikkerhetsnivå informasjonen krever. Systemeier skal også sørge for melding eller søknad til Datatilsynet via organisasjonsdirektør. Dersom systemet kommuniserer med andre system, er det systemeier sitt ansvar å ivareta tilstrekkelig sikkerhet i denne kommunikasjonen, og påse at sikkerheten blir ivaretatt i hele kjeden. Systemeier er ansvarlig for å sørge for tilstrekkelig sikkerhet ved endringer i systemet. Endringer og oppgraderinger skal planlegges og gjennomføres slik at bruken av systemet i minst mulig grad blir negativt berørt.

9 Mål, retningslinjer og tiltak Side 9 av Systemadministrator Systemadministrator er systemeierens nærmeste medarbeider i drift og vedlikehold av et spesifikt system eller applikasjon. Systemadministrator skal på vegne av systemeier sørge for at systemet i det daglige har tilfredsstillende informasjonssikkerhet. I de tilfeller systemet behandler personopplysninger/sensitive personopplysninger/ annen sensitiv informasjon tilligger det systemadministrator på vegne av systemeier å sørge for at lover og forskrifter etterleves i praksis. Systemadministrator styrer tilganger og rettigheter etter rammer gitt av systemeier, og rapporterer avvik og forbedringsforslag til systemeier.

10 Mål, retningslinjer og tiltak Side 10 av 30 4 Aktiviteter og dokumentasjon 4.1 Organisasjonsbeskrivelse Organiseringen av informasjonssikkerhetsansvar og -roller skal til enhver tid fremgå av egen beskrivelse under styrende dokumenter i Kvaliteket, der ansvar, roller og oppgaver er nærmere beskrevet. Ansvarlig for dette er organisasjonsdirektør. 4.2 Oversikt over kommunens IKT-system Det skal til enhver tid finnes en samlet oversikt over alle IKT-system som benyttes i Trondheim kommune. I dette skal framgå systemets eier og administrator, formål, type og omfang av informasjon som behandles, systemets klassifisering og prioritet, samt antall brukere. Oversikten skal ligge tilgjengelig under styrende dokumenter i Kvaliteket. Ansvarlig for dette er organisasjonsdirektør. 4.3 Informasjon om hvert enkelt IKT-system Det skal til enhver tid finnes en mer detaljert dokumentasjon for alle IKT-system som benyttes i Trondheim kommune. I dette skal framgå systemets arkitektur/ klassifisering, type og omfang informasjon som er lagret, antall brukere med tilgangsrettigheter, rutiner for adgangskontroll, logging av lovlig bruk, logging av forsøk på inntrenging, vedlikeholdsrutiner, tekniske sikkerhetsforanstaltninger, og sletterutiner. Dokumentasjonen skal ligge tilgjengelig under respektive systemeieres område i Kvaliteket. Ansvarlig for dette er systemeier. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr Dokumentasjon av systemer med sensitiv informasjon Systemer som behandler sensitiv informasjon har strengere krav til dokumentasjon. Rutiner for registrering, behandling, lagring, overføring og sletting av sensitiv informasjon skal utarbeides av systemeier og lagres i Kvaliteket. Behandlingsprosedyrer skal dokumenteres sammen med nødvendige risiko- og sårbarhetsanalyser. Dokumentene skal være kjent for saksbehandler. I tillegg skal behandlingens formål og grunnlag dokumenteres og bekjentgjøres overfor behandler. Der det innhentes personopplysninger/ sensitive personopplysninger skal det etableres rutiner for innhenting og dokumentasjon av lovhjemmel eller informert samtykke til behandling av disse opplysningene. Samtykkeerklæringene skal lagres inntil opplysningene slettes. Ansvarlig for dette er systemeier. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr Klassifisering av systemer med sensitiv informasjon Alle IKT-systemer som inneholder behandlinger av/ tilganger til personopplysninger eller annen sensitiv informasjons skal listes og klassifiseres i henhold til kritikalitet i forhold til behov for tilgjengelighet. Oversikten lagres under styrende dokumenter i Kvaliteket.

11 Mål, retningslinjer og tiltak Side 11 av 30 Ansvarlig for dette er organisasjonsdirektør. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr Aksept av risikonivå For alle system skal det fastsettes nivå for akseptabel risiko for systemets tilgjengelighet, konfidensialitet, integritet, og kvalitet. Det skal gjennomføres risiko-og sårbarhetsanalyser (ROS-analyser) for relevante sikkerhetshendelser. Nødvendige tiltak gjennomføres, ved behov utarbeides berdskapsplaner. Analyse/tiltak skal dokumenteres i Kvaliteket. Ansvarlig for dette er systemeier. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr 5 og Sikkerhetsrevisjon Rådmannen er ansvarlig for å gjennomføre årlige sikkerhetsrevisjoner av samtlige systemer som behandler sensitiv informasjon. Systemeier er ansvarlig for årlig egenrevisjon for alle sine systemer som behandler sensitiv informasjon. Rapport etter systemeiers egenrevisjon sendes informasjonssikkerhetsutvalget. Utvalget går gjennom egenrevisjonsrapportene ifm forberedelsene for ledelsens årlige gjennomgang. Plan for revisjon skal dokumenteres i virksomhetsplan. Databehandler har selvstendig ansvar for egen revisjon. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr 6 og 6b. 4.8 Avviks- og forbedringsrapportering Avvik og forbedringsforslag skal rapporteres og behandles i avviksmodulen i Kvaliteket. All behandling av avvik og forbedringsforslag skal dokumenteres. Alvorlige hendelser av sikkerhetsmessig betydning skal alltid rapporteres til sikkerhetsansvarlig. Rådmann har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser ved brudd på konfidensialitet eller integritet samt enkeltpersoners brudd på sikkerhetsreglene. Hvis personopplysninger er kommet på aveie, eller det er mistanke om det samme, skal Datatilsynet orienteres. IT-sjef har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser relatert til tilgjengelighet på systemer og tjenester. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr Opplæring av ledere og medarbeidere Opplæring i informasjonssikkerhet er en forutsetning for å nå sikkerhetsmålene. Opplæringen skal skje ved ansettelse, og som en kontinuerlig aktivitet. Rådmannen skal legge tilrette for relevant opplæring gjennom kommunens kurstilbud. Systemeiere skal legge til rette for grunnleggende brukeropplæring og vedlikehold av kompetansen for samtlige systembrukere. Sikkerhetskompetanse skal dokumenteres i personalmappen, og være et tema i den årlige sikkerhetssamtalen. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr. 9.

12 Mål, retningslinjer og tiltak Side 12 av Melding og konsesjonssøknad for behandling av personopplysninger Alle IKT-systemer som inneholder behandlinger av/ tilganger til personopplysninger skal meldes eller søkes om konsesjon til Datatilsynet før behandlingen starter, og deretter minst hvert tredje år. Systemeier er ansvarlig for å fylle ut melding/søknad, og fremme denne for informasjonssikkerhetsutvalget for godkjenning. Etter godkjenning oversendes melding/søknad til rådmannen som på kommunens vegne sender melding/søknad til Datatilsynet. Organisasjonsdirektør holder oversikt over meldte og omsøkte behandlinger, og følger opp at systemeiere omsøker minst hvert tredje år.

13 Mål, retningslinjer og tiltak Side 13 av 30 5 Ledelsens gjennomgang 5.1 Hensikt Hensikten med ledelsens gjennomgang er årlig å vurdere og eventuelt forbedre de mål som er satt for informasjonssikkerhet i Trondheim kommune. I dette ligger å iverksette og følge opp korrigerende tiltak, påse at internkontroll og styringssystem for informasjonssikkerhet er hensiktsmessig, tilstrekkelig og effektivt, og at det tilfredsstiller relevante krav i lover og forskrifter. 5.2 Ansvarsforhold Rådmannen er ansvarlig for årlig å gjennomføre ledelsens gjennomgang av informasjonssikkerheten ved Trondheim kommune. Ledelsens gjennomgang utføres av ledergruppen i Trondheim kommune. I tillegg deltar leder for Informasjonssikkerhetsutvalget, referent, og eventuelt andre som er relevante for de saker som skal behandles. Aktuelle saker skal forberedes og legges fram for ledelsens gjennomgang av Informasjonssikkerhetsutvalget. Ledergruppen går gjennom de aktuelle sakene, og fatter vedtak. 5.3 Utførelse Ledelsens gjennomgang gjøres normalt en gang per år innen utgangen av februar. Informasjonssikkerhetsutvalget skal i god tid ha gått gjennom aktuelle saker, og forberedt de saker som skal behandles. Saksdokumentene skal være bekjentgjort for ledergruppen minst en uke før gjennomgangen. Møtet gjennomføres med agendapunktene status tidligere vedtak, revisjon, sikkerhetsmål, hendelser og avvik, forbedringstiltak, og oppfølging Status tidligere vedtak Tidligere vedtak gjennomgås. Fullførte vedtak lukkes. Vedtak som ikke er fullført følges opp, eventuelt med nytt vedtak Revisjon av styringselementer Revisjonen innebærer gjennomgang av de elementer som er styrende for informasjonssikkerhet og internkontroll, herunder: Vurdere endringer i omfang og oppbygging av eksisterende internkontrollsystem. Vurdere eventuelle forslag til endring i informasjonssikkerhetsmål og -strategi, der endring vil gi betydelige økonomiske eller virksomhetsmessige konsekvens. Vurdere endringer i kommunens rutine for risiko- og sårbarhetsanalyse som medfører vesentlige investeringer eller endringer i eksisterende sikkerhetskonsept. Vurdere endringer i hvilken informasjon eller hvilke systemer som er virksomhetskritisk for Trondheim kommune, og deres prioritet. Vurdere om tilstrekkelige ressurser er tilgjengelige for å ivareta internkontroll og informasjonssikkerhet.

14 Mål, retningslinjer og tiltak Side 14 av Sikkerhetsmål I kapittel 2 er det listet definerte sikkerhetsmål for Trondheim kommune. Hvert av de eksisterende målene skal årlig vurderes for om de fortsatt er relevante. Det skal også vurderes om det er behov for nye sikkerhetsmål. Behovet for nye sikkerhetsmål vurderes ut fra: Resultater og hovedkonklusjoner fra risikoanalyser og egenkontroll. Endringer i offentlige sikkerhetskrav som kan medføre vesentlig endringer for Trondheim kommune Hendelser og avvik Ledelsen skal gå gjennom de alvorligste hendelsene og avvikene som har vært rapportert gjennom året. De mindre alvorlige kan behandles på en enklere måte. Gjennomgangen bør omfatte årsaker til hendelser og avvik i vid forstand, og hvordan hendelser og avvik er håndtert Forbedringstiltak Forbedringstiltak utarbeides etter en samlet vurdering av kommunens sikkerhetsmål, rapporterte hendelser, avvik, forbedringsforslag og egenkontroller. Anbefalte forbedringstiltak presenteres i prioritert rekkefølge innenfor hvert av områdene: Sikkerhetsorganisasjon Personsikkerhet Fysisk sikkerhet Dokumentsikkerhet Systemteknisk sikkerhet Driftssikkerhet/-beredskap Ledelsen fatter vedtak om de anbefalte forbedringstiltak Oppfølging Evaluering av om sikkerhetsmål nås og om forbedringstiltak og korrigerende tiltak virker, gjøres gjennom en nærmere vurdering av rapporterte hendelser, avvik, forbedringsforslag, og enhetenes egenkontroll. Ledelsen fatter vedtak i form av oppfølgingspunkter. Disse punktene skal legges vekt på i enhetenes egenkontroll fram til neste ledelsens gjennomgang. Ledelsen vedtar plan for egenkontroll. 5.4 Referat Rådmann er ansvarlig for at det skrives referat fra ledelsens gjennomgang, og at dette distribueres til deltagerne. I referatet skal tydelig fremgå de endringer og aksjoner som er vedtatt med begrunnelse, ansvar, og frister. Referatet skal lagres i kommunens dokumentbase for internkontroll, og være tilgjengelig for samtlige saksbehandlere i kommunen, og de tilsynsmyndigheter som måtte ønske det.

15 Mål, retningslinjer og tiltak Side 15 av 30 6 Klassifisering/gradering 6.1 Generelt For å forenkle behandling og utveksling av informasjon med beskyttelsesbehov, skal gradering og klassifisering av informasjon i Trondheim kommune gjennomføres ved å benytte de samme begrep og regler som offentlig forvaltning for øvrig. I kommunens sak-, arkiv, og journalsystem skal det være adgang til å skjerme informasjon for alminnelig innsyn. I tillegg skal det være anledning å unnta informasjon eller dokument helt eller delvis fra innsyn ved å definere dette som Unntatt fra offentlighet, eller gradere helt eller delvis. Hjemmel for dette skal oppgis. Hjemmel hentes fra unntakene i Offentlighetsloven, og/eller eventuelle særlover. For personopplysninger hentes hjemmelsgrunnlaget for å skjerme og klassifisere informasjon og dokumenter hovedsakelig fra unntakene i Offentlighetsloven og Personopplysningsloven. Ved taushetsplikt oppgies henvisning til aktuell særlov. For saksopplysninger hentes hjemmelsgrunnlaget for å skjerme og gradere informasjon og dokumenter hovedsakelig fra unntakene i Offentlighetsloven, og fra Sikkerhetsloven og Sikkerhetsinstruksen. Graderingsnivå Begrenset, Konfidensielt eller Hemmelig skal benyttes. Fysisk sikring av lokaler, systemer og dokumenter og elektroniske lagringsmedia skal være tilpasset beskyttelsesbehovet. Soneinndeling med åpen, intern og sikker sone skal benyttes for lokaler. Systemer og lokasjoner skal klassifiseres og gis prioritet i forhold til kritikalitet og beskyttelsesbehov. Alt personell skal underskrive taushetserklæring. Personell med tjenstlig behov for tilgang til beskyttelsesverdig informasjon skal ha nødvendig klarering og autorisasjon for å kunne behandle informasjon på minst det nivå de forventes å måtte behandle ut fra tjenstlig behov. Personell som kan forventes å få mulighet til innsyn i beskyttelsesverdig informasjon under utføring av service- eller renholdsoppgaver, skal klareres for nødvendig nivå av bestillende enhet og enhetsleder der de utfører sine tjenester. 6.2 Personsikkerhet Generelt Alle ansatte i Trondheim kommune skal ha nødvendig kompetanse og godkjenning for lovlig å behandle all informasjon de har tjenstlig behov for å behandle eller kan få kjennskap til. Det samme gjelder for eksterne leverandører og databehandlere. Alle skal ha underskrevet taushetserklæring, og det skal foreligge politiattest uten merknader der det vurderes som nødvendig. De som behandler sensitiv informasjon skal være sikkerhetsklarert og autorisert for det graderingsnivå de har tjenstlig behov for. Det er nærmeste leders ansvar å sørge

16 Mål, retningslinjer og tiltak Side 16 av 30 for at de ansatte har nødvendig klarering/autorisasjon. Det er kommunens bestiller/avtaleansvarlig som gjennom avtaleinngåelse er ansvarlig for å sørge for at leverandørens representanter har nødvendig klarering/autorisasjon Kompetansekrav Ansatte i Trondheim kommune skal gjennom opplæring og rutiner oppnå tilstrekkelig kunnskap og kompetanse til å forvalte informasjon og systemer på en sikker måte etter fastsatte sikkerhetskrav og gjeldende lover og forskrifter. Det er et lederansvar å sørge for at de ansatte har nødvendig kompetanse. Alle har samtidig et ansvar å melde til sin leder dersom de oppfatter at de selv eller andre har manglende sikkerhetskompetanse. Dette skal avklares i de årlige sikkerhetssamtalene. Endringer i konfigurasjon av systemer og nettverk skal bare utføres av kvalifisert og kompetent personell, og etter godkjenning Taushetserklæring Alle ansatte i Trondheim kommune skal ved ansettelse signere kommunens generelle taushetserklæring. For eksterne leverandørers ansatte gjelder tilsvarende krav til taushetserklæring. Dette skal sikres ved avtaleinngåelsen, og kommunen skal kunne kontrollere dette Politiattest Alle ansatte i Trondheim kommune som kan forventes å komme i kontakt med sensitiv informasjon, skal ha nødvendig forhåndsgodkjenning på at de er personlig skikket. Der det vurderes som nødvendig, skal det stilles krav til politiattest. Det skal foreligge politattest uten merknader før tilsetning. Aktuell kommunaldirektør gjør vurderinger om hvilke stillinger dette skal gjelde for, og er ansvarlig for å fastsette rutiner for sitt virksomhetsområde Klarering/autorisering Fortrolig / Strengt fortrolig Alle som skal behandle eller kan komme i befatning med beskyttelsesverdige personopplysninger/ sensitive personopplysninger som er gradert Fortrolig eller Strengt fortrolig iht. Beskyttelsesinstruksen, skal klareres og autoriseres for dette. Klarerings- og autorisasjonsansvarlig er den foresatte kommunaldirektør. Klarering skjer etter krav fastsatt av kommunaldirektøren, og skal normalt gjelde for 5 år. Klarering skal dokumenteres, og lagres ved den enkeltes personalmappe. Autorisasjon skal skje gjennom årlige sikkerhetssamtaler med nærmeste foresatte. Gjennomført sikkerhetssamtale skal dokumenteres, signeres av den enkelte og nærmeste foresatte, og lagres ved den enkeltes personalmappe.

17 Mål, retningslinjer og tiltak Side 17 av Klarering/autorisering Begrenset Alle som skal behandle eller kan komme i befatning med beskyttelsesverdig informasjon på nivå Begrenset iht Sikkerhetsloven, skal klareres og autoriseres for dette. Autorisasjonsansvarlig er foresatt kommunaldirektør. Klarering skjer etter krav fastsatt av kommunaldirektør, og skal normalt gjelde for 5 år. Klarering skal dokumenteres, og lagres ved den enkeltes personalmappe. Autorisasjon skal skje gjennom årlige sikkerhetssamtaler, som skal dokumenteres og lagres ved den enkeltes personalmappe Klarering/autorisering Konfidensielt Alle som skal behandle eller kan komme i befatning med beskyttelsesverdig informasjon på nivå Konfidensielt / NATO Confidential iht. Sikkerhetsloven, skal klareres og autoriseres for dette. Autorisasjonsansvarlig er rådmannen i Trondheim kommune. Rådmannen henter inn samtykke og personopplysninger av den det gjelder iht. fastsatte rutiner fra Nasjonal sikkerhetsmyndighet, og anmoder Nasjonal sikkerhetsmyndighet om personkontroll og sikkerhetsklarering for nivå Konfidensielt. Ved mottatt sikkerhetsklarering gjennomføres autorisasjon av den enkelte ved årlig sikkerhetssamtale. All dokumentasjon skal ligge ved den enkeltes personalmappe Klarering/autorisering Hemmelig /eller høyere Alle som skal behandle eller kan komme i befatning med beskyttelsesverdig informasjon på nivå Hemmelig / NATO Secret eller høyere, skal klareres og autoriseres for dette. Rådmannen fastsetter i hvert enkel tilfelle autorisasjonsansvarlig og klarerings-/autorisasjonsrutine i samråd med Fylkesmannen i Sør-Trøndelag og Nasjonal sikkerhetsmyndighet Konsekvenser ved sikkerhetsbrudd Brudd på sikkerhetsreglene beskrevet i sikkerhetsinstrukser, taushetserklæring, eller lignende, skal vurderes i henhold til gjeldende lover og forskrifter, og kan få følger for ansettelsesforholdet/leveranseavtale. 6.3 Fysisk sikring Generelt I Trondheim kommune skal bygningsmessige forhold tilpasses det sikkerhetsnivå som kreves for sikker nok behandling av den informasjon som behandles. Soneinndeling og adgangskontroll skal benyttes og tilpasses slik at all behandling av sensitiv informasjon kan skje innen soner med tilstrekkelig fysisk sikring.

18 Mål, retningslinjer og tiltak Side 18 av 30 Infrastruktur og hjelpemidler som adgangskontrollsystemer, alarmer, strømforsyning, arkiv, arbeidsstasjoner, kabling, skrivere, osv. skal plasseres og tilpasses i forhold til soneinndelingen. Fysisk sikring, tiltak og planer skal dokumenteres gjennom ROS-analyser. Ansvaret påligger den enhetsleder som er ansvarlig for behandling av informasjon. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr Soneinndeling Åpen (grønn) sone betegner de arealer hvor det behandles åpen og ugradert informasjon. Intern (gul) sone betegner de arealer som har nødvendig sikkerhet til å behandle informasjon unntatt offentlighet, generelle personopplysninger, eller gradert informasjon på nivå Fortrolig og Begrenset. Sikker (rød) sone betegner de arealer som har nødvendig sikkerhet til å behandle sensitive personopplysninger, eller gradert informasjon på nivå Strengt fortrolig og Konfidensielt. Hemmelig (sort) sone betegner de arealer som har nødvendig sikkerhet til å behandle gradert informasjon på nivå Hemmelig. Sonene skal merkes med skilting som tilkjennegir sonenivå. Lokalenes soneinndeling skal fremgå av tegninger tilsvarende rømningsveiplaner. Disse skal være kjent for samtlige med tjenstlig behov. Ansvarlig for dette er enhetsleder Adgangskontroll Adgang til Trondheim kommunes lokaler skal godkjennes av aktuell enhetsleder, og begrenses til lokaler som vedkommende har tjenstlig behov for. Adgangskontroll skal generelt foregå med bruk av elektronisk adgangskontroll ved adgangskort og personlig PIN-kode. Personlig kode skal kreves for adgang utenfor arbeidstid, eller der enhetsleder ønsker det. Nøkkeladgang skal søkes utfaset som hovedløsning. Arkiv, serverrom og rom med annet sentralt IT-utstyr skal sikres og plasseres slik at det er mulig å begrense adgangen til området. Dør til slike områder skal alltid være låst. Dette gjelder også rom med sensitive personopplysninger og opplysninger gradert etter sikkerhetsloven. Ytterdører skal være låst etter arbeidstidens slutt. Når kontor forlates skal kontordør låses. Reserve besøkskort, adgangskort, nøkler og passord skal lagres i safe eller på annen sikker måte. Adgang til Åpen / grønn sone skal normalt være åpen for publikum i kontortiden når ansatte er til stede. Utenom disse tider skal ytterdører være låst. Adgangskort skal bæres synlig.

19 Mål, retningslinjer og tiltak Side 19 av 30 Adgang til Intern / gul sone skal normalt være gjennom dør som holdes låst, og som kun kan åpnes ved adgangskort i kontortiden. Utenom arbeidstid skal det i tillegg kreves personlig PIN-kode. Adgangskort skal bæres synlig. Besøkende skal følges av den som er ansvarlig for besøket. Adgang til Sikker / rød sone skal normalt bare kunne skje fra Intern eller gul sone. Regler for adgangskort og besøkende gjelder som for intern sone, men med tillegg at besøk loggføres. For adgang til Hemmelig eller sort sone skal det etableres adgangskontroll på en slik måte at kun personell med tilstrekkelig klarering og autorisasjon får adgang. Besøk loggføres, og besøkende skal følges av ansvarlig person til enhver tid. Forsøk på eller faktisk uautorisert adgang til Trondheim kommunes lokaler skal behandles som sikkerhetsavvik. Rapport skal sendes til ansvarlig enhetsleder, som skal vurdere tiltak. Avviket skal registreres og behandles i kommunens avviksrapporteringssystem Alarmsystemer Trondheim kommunes adgangskontrollsystem skal ved forsøk på uautorisert adgang gi alarmmelding iht kommunens rutiner for adgangskontroll. Innbruddsovervåking skal gi automatisk alarmmelding til døgnbemannet vaktselskap. Forsøk på, eller faktisk uautorisert adgang, skal behandles som sikkerhetsavvik. Rapport skal sendes til ansvarlig enhetsleder, som skal vurdere tiltak. Avviket skal registreres og behandles i kommunens avviksrapporteringssystem Kameraovervåking Trondheim kommune kan benytte kameraovervåking der det er tjenstlig behov. Skjult overvåking er forbudt, eventuell overvåking skal merkes tydelig. Det er ikke lov til å levere ut eller vise opptak til utenforstående uten at de som er med på opptaket samtykker. Opptakene skal oppbevares på et sted som er utilgjengelig for uvedkommende, og slettes når det ikke lenger er saklig grunn for å oppbevare dem, senest sju dager etter opptak. Overvåking er generelt meldingspliktig til Datatilsynet. Ved ønsket kameraovervåking skal enhetsleder melde sitt ønske til organisasjonsdirektør.

20 Mål, retningslinjer og tiltak Side 20 av Dokumentsikkerhet/lagringsmedia Generelt Det skal ikke oppbevares eller spres mer informasjon enn tjenstlig behov. Den enkelte er ansvarlig for at papirdokumenter og elektroniske lagringsmedia oppbevares på god og sikker nok måte. Arbeidsplassen skal holdes ryddig. Den som registrerer informasjon er ansvarlig for å vurdere behovet for beskyttelse. Informasjon som inneholder personopplysninger eller andre sensitiv informasjon, skal skjules for innsyn fra uvedkommende. Informasjonen skal om nødvendig tilgangskjermes, unntas offentlighet, eller graderes iht beskyttelsesbehovet. Alle dokumenter eller lagringsmedia som inneholder sensitiv informasjon, skal oppbevares, forsendes og destrueres på en slik måte at det ikke kan komme uvedkommende i hende. Utskrift og lagring av dokumenter skal begrenses til tjenstlig behov. Skrivere skal i nødvendig grad være tilgjengelige nær arbeidsplassen. Det skal etterstrebes at utskrifter hentes fra skriveren straks utskrift har funnet sted, eller at utskrift initieres fra skriveren. Ved utskrift fra skriver skal det etterstrebes utskrift skjermet ved PINkode. Ved hver arbeidsplass som behandler sensitiv informasjon, skal det være en rutine for makulering av papirdokumenter med sensitivt innhold. Jf. Norm for informasjonssikkerhet (www.normen.no) Faktaark nr. 18, Skjerming fra innsyn/endring Det er den som registrerer informasjon som er ansvarlig for å skjerme fra innsyn, og sette endringsrettigheter. Dokumenter eller lagringsmedia som inneholder skjermingsverdig informasjon skal produseres og oppbevares på intern / gul eller høyere gradert fysisk sone. Skjerming fra innsyn kan bestå i sladding av navn, fødsels- eller personnummer, adresse, eller annen sensitiv informasjon. Skjerming kan også innebære og unnta deler eller hele dokument fra offentlighet, og/eller gradering. Skjerming kan også gjøres ved tilgangsstyring, slik at innsyn kun er mulig for de som har tjenstlig behov. Valg av system og lagring i mapper eller filstrukturer med begrenset adgang, er også virkemidler i skjermingen Dokumenter/lagringsmedia unntatt fra offentlighet Informasjon som utsteder ønsker å unnta fra offentligheten, må unntas med henvisning til aktuell lovhjemmel. Disse hjemlene finnes enten i unntakene nevnt i offentlighetsloven, eller så er unntaksretten hjemlet i bestemmelser i særlov. For å unnta fra offentlighet må utsteder fastsette riktig hjemmel. Dette må framgå på det fysiske mediet, papirdokument eller fysisk digital lagringmedium.

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret. 2.6 Fysisk sikring Formål Prosedyren skal sikre uautorisert adgang til objekter og utstyr benyttet til behandling av informasjon, særlig behandling av sensitive personopplysninger, eller at de ikke er

Detaljer

Policy. for. informasjonssikkerhet. ved NMBU

Policy. for. informasjonssikkerhet. ved NMBU Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING... 1 1.1 Bakgrunn...

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

Retningslinje for elektroniske saker gjeldende barn i barnehager

Retningslinje for elektroniske saker gjeldende barn i barnehager Retningslinje for elektroniske saker gjeldende barn i barnehager Innledning Arkiv er en viktig del av kommunal forvaltning. Arkivene skal dokumentere kommunens saksbehandling, og således være etterprøvbare

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Rapportering av sikkerhetstruende hendelser til NSM

Rapportering av sikkerhetstruende hendelser til NSM (NSM) Rundskriv 1/11 Rapportering av sikkerhetstruende hendelser til NSM 1 Bakgrunn og hensikt Dette rundskrivet omhandler sikkerhetstruende hendelser som virksomheter underlagt sikkerhetsloven plikter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Hver dag jobber vi for å holde HiOA

Hver dag jobber vi for å holde HiOA Hver dag jobber vi for å holde HiOA Sikkerhet er å beskytte verdier vit hva du skal gjøre når noe skjer Page 1 of 16 Mennesker omfatter alle som er tilknyttet HiOA eller oppholder seg på HiOAs område Informasjon

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Informasjonssikkerhet i Nordre Land kommune

Informasjonssikkerhet i Nordre Land kommune Informasjonssikkerhet i Nordre Land kommune Informasjon ansatte i Nordre Land 2007 Informasjonssikkerhet i Nordre Land kommune Rådmannens forord Det er knapt en arbeidsplass i Nordre Land kommune som i

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Styringsdokument internkontroll

Styringsdokument internkontroll Styringsdokument internkontroll Side 1 av 2 Styringsdokument internkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt. 64 2325 Hamar tlf. 62 54 47 21 Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt INNHOLDSFORTEGNELSE

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2010-12-16 Veiledning for sikkerhetsgraderte anskaffelser Fastsatt av Nasjonal sikkerhetsmyndighet med hjemmel i lov av 20. mars 1998 om forebyggende

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Rapporteringsskjema for kryptoinstallasjon

Rapporteringsskjema for kryptoinstallasjon Rapporteringsskjema for kryptoinstallasjon Opplysningene i denne rapporten inngår i grunnlaget for NSMs godkjenning av bruk av kryptoutstyr og kryptosystemer, og kryptosikkerheten i den enkelte virksomhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Taushetsplikt og konfidensialitet

Taushetsplikt og konfidensialitet Taushetsplikt og konfidensialitet 1. TAUSHETSPLIKT Taushetsplikt er forbud mot å gi ut opplysninger. Konfidensialitet er å sikre at informasjon bare er tilgjengelig for de som skal ha tilgang. Ansatte

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Brukermanual for Blancco Data Cleaner+ 4.5

Brukermanual for Blancco Data Cleaner+ 4.5 Brukermanual for Blancco Data Cleaner+ 4.5 11.12.2006 Dokument versjon: 1.2 B U Y S E C A S D Y R M Y R G T 47, 3611 KONGSBER G S I D E 1 Dokumentlogg Dato Type Versjon Endring Gjennomgang/Godkjenning

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Prosedyre for håndtering av avvik, uønska hendelser, kritikkverdige forhold, korrigerende og forebyggende tiltak

Prosedyre for håndtering av avvik, uønska hendelser, kritikkverdige forhold, korrigerende og forebyggende tiltak Prosedyre for håndtering av avvik, uønska hendelser, kritikkverdige forhold, Prosedyre Side 2 av 1 13.1.21/Roger Beggerud 27.1.21/R.B / 9.1.214 Arne Hansen/Trine Innhold Innhold... 2 1. Innledning... 3

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2010-07-01 Sikkerhetsadministrasjon Veiledning til bestemmelser om sikkerhetsstyring i sikkerhetsloven med forskrifter. Dette dokumentet veileder

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer