Risikovurdering av Public 360
|
|
- Kjell Lennart Rønningen
- 7 år siden
- Visninger:
Transkript
1 Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015
2 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet er muliggjøreren for å ta i bruk ny teknologi Personopplysninger Pasientopplysninger Banktransaksjoner Forskningsdata og annen konfidensiell informasjon
3 Hva er risikovurdering? Når vi foretar en risikovurdering vil man: Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet Vurdere risikoen sannsynlighet kombinert med konsekvens for hver uønskede hendelse Evaluere og håndtere risikoen ved å foreslå beskyttelses- eller kontrolltiltak som begrenser risikoen
4 Hvorfor skal vi gjennomføre risikovurdering? Opprettholde tillit til et system eller en tjeneste Overholdelse av rettslige plikter Beskytte ansatte, studenter, innbyggere o.a. Opprettholde kvalitet Vedlikeholde oversikt over informasjonseiendeler Læring og spredning av kompetanse blant deltakerne i en ROS
5
6 ROS-workshop En ROS gjennomføres vanligvis som en workshop som kan ta noen timer eller opptil en dag Det bør være maksimum åtte deltakere Man bør ha en fasilitator som leder workshopen og en person som noterer ned det man kommer frem til Deltakerne bør ha kjennskap til tjenesten/systemet eller tilhørende infrastruktur, arbeidsprosesser osv. Gruppen kan være satt sammen av risikoeier, tjenesteeier, systemansvarlig, "superbruker" og tilsvarende roller. Man kan også ha med personer med generell kjennskap til for eksempel arkiv, økonomi, personal, IT, informasjonssikkerhet, eiendomsdrift eller studieadministrasjon
7 Sentrale ROSer av felles systemer i UH-sektoren Universiteter og høyskoler er pålagt gjøre risiko- og sårbarhetsvurderinger av sine systemer/tjenester Mange av systemene er felles systemer for flere institusjoner, med sentral konfigurasjon og drift, og lokal konfigurasjon og opplegg for bruk Det er laget en veileder som inneholder Sekretariat for informasjonssikkerhets anbefaling for risikovurdering av felles systemer Utfordringen er å sørge for at de behandlingsansvarlige er tilstrekkelig involvert, og at risikovurderingen er tilstrekkelig forankret i sektoren, uten at hver institusjon skal måtte gjøre sin egen risikovurdering av det sentrale systemet fra grunnen av
8 Ansvarsforhold Den enkelte institusjon har, som behandlingsansvarlig, det fulle ansvaret for at det gjøres en risikovurdering av det felles systemet institusjonen benytter. Institusjonen står ansvarlig overfor Datatilsynet, Riksrevisjonen og eieren KD. UNINETT har et ansvar for å forvalte de felles systemene på en slik måte at institusjonene kan oppfylle sine forpliktelser, og bidra til at sikkerheten blir ivaretatt.
9 Deltakere i felles ROS UNINETT inviterer, i samråd med prioriteringsråd et for systemet, til deltagelse i et behandlingsansvarlig-utvalg for en ROS Det oppgis hvilke roller/funksjoner som bør være representert i et utvalg for systemet. Institusjonene foreslår medlemmer UNINETT setter sammen utvalget Det bør være en viss bredde av institusjoner representert. Det må være en god sammensetning med hensyn på roller i forhold til systemet Utvalget forelegges prioriteringsrådet til uttalelse Utvalget opptrer som de behandlingsansvarliges representanter under ROS
10 ROS-workshop og -rapport UNINETT fasiliterer ROS-prosessen med bistand fra Sekretariat for informasjonssikkerhet i UH-sektoren UNINETT utarbeider ROS-rapport i samråd med utvalget I rapporten skilles det mellom funn ved det sentrale systemet som krever sentrale tiltak, og faktorer som har med lokal konfigurasjon og bruk å gjøre, som hver institusjon må ta inn i sin internkontroll. UNINETT forelegger ROS-rapporten for prioriteringsrådet og arbeidsutvalget
11 Tiltakshåndtering Prioriteringsrådet gjør en vurdering av funn og tiltak fra ROS-en. De vedtar hvordan ROS-en skal følges opp UNINETT oversender ROS-rapporten til institusjonene, med prioriteringsrådets vurderinger og vedtak vedlagt UNINETT og systemets arbeidsgruppe er ansvarlige for å gjennomføre de vedtatte tiltakene som gjelder det sentrale systemet Hver enkelt institusjon følger opp funn og tiltak fra ROS-en som angår lokal konfigurasjon og bruk
12 ROS-prosessen ROS-prosessen kan deles opp i følgende aktiviteter: 1. Kartlegging av informasjonsaktiva med verdivurdering 2. Identifisering av uønskede hendelser (risikoelementer) 3. Identifisering av eksisterende tiltak 4. Vurdering av risikonivå (konsekvens og sannsynlighet) 5. Tiltak i forhold til risikoelementer 6. Kategorisering og prioritering av tiltak 7. Godkjenning av tiltak 8. Iverksetting og oppfølging av tiltak Aktivitet 2 til 5 gjøres i en ROS-workshop
13 19. desember
14 Risikoområder Virksomhetens eierskap til IKT Overordnet informasjonssikkerhetspolicy og retningslinjer Organisering av informasjonssikkerhet Ressurser Kompetanse og ferdigheter Medarbeidersikkerhet Arkitektur Arbeidsprosesser Etablering og vedlikehold av portefølje Innovasjon Beslutningsprosesser ved IKT-investeringer Anskaffelse, utvikling og vedlikehold av IKT-systemer/tjenester Leverandørrelasjoner Håndtering av informasjonsverdier Tilgang- og adgangsstyring Drift og forvaltning Infrastruktur Programvare Datakommunikasjonssikkerhet Kryptografi Malware og logiske angrep Sosial manipulering Tyveri eller ødeleggelse Utro tjenere Fysiske og miljørelaterte områder Geopolitiske forhold Håndtering av informasjonssikkerhetshendelser Kontinuitetsplaner Etterlevelse av lover, regler og avtaler Kommunikasjon
15 ROS for Public360 Holdt på Gardermoen 17. og 18. februar 2015 Deltakerne hadde forskjellig kompetanse innen Public360, IT-drift og informasjonssikkerhet ROSen ble fasilitert av UH-sektorens sekretariat for informasjonssikkerhet Første dag hadde fokus på teknologi samt drift og forvaltning av Public360 hos UNINETT, Software Innovation og Basefarm samt deres kommunikasjon mot institusjonene Dag to hadde fokus på risikoelementer ved bruk av Public360 hos institusjonene 19. desember
16 Deltakere fra HiOA - Høgskolen i Oslo og Akershus UiA Universitet i Agder HBV Høgskolen i Buskerud og Vestfold FHI - Folkehelseinstituttet HiT Høgskolen i Telemark HiOf Høgskolen i Østfold Software Innovation Basefarm UNINETT AS 19. desember
17 Risikonivå Det ble i ROSen identifisert 36 risikoelementer. Fordelingen mellom risikonivåene er vist i tabellen under. Risikonivå Høy Medium Lav Dag Dag Total desember
18 19. desember
19 Konfidensialitet, integritet og tilgjengelighet Risikoelementenes konsekvenser ble også vurdert i forhold til de tre hovedparameterne i for informasjonssikkerhet; Konfidensialitet: uvedkommende får tilgang til konfidensiell eller sensitiv informasjon, Integritet: uønsket endring, sletting eller manipulering av informasjon og Tilgjengelighet: brukere får ikke tilgang til informasjon når de har behov for det. 19. desember
20 Konfidensialitet, integritet og tilgjengelighet Informasjonssikkerhets parameter Konfidensialitet Integritet Tilgjengelighet Dag Dag Total desember
21 Risikoområder Risikoelementene som ble identifisert i ROSen berørte følgende risikoområder (i prioritert rekkefølge etter antall treff): Arbeidsprosesser Drift og forvaltning Kompetanse, ferdigheter og sikkerhetskultur Tilgang og adgangsstyring Håndtering av informasjonsverdier Ressurser Leverandørrelasjoner Malware og logiske angrep Overordnet sikkerhetspolicy og retningslinjer Kommunikasjon Kryptografi Etterlevelse av lover, regler og avtaler 19. desember
22 19. desember
23 19. desember
24 19. desember
25 19. desember
26 19. desember
27 19. desember
28 19. desember
29 19. desember
30 19. desember
31 19. desember
32 Hovedfunn Det er identifisert mangler i beskrivelse av, og opplæring i arbeidsprosesser for drift, forvaltning og bruk av Public360. Dette gjelder for leverandørene (UNINETT, Software Innovation og Basefarm) forhold knyttet til blant annet kommunikasjon til institusjonene, testing, oppdateringer og feilretting. Når det gjelder bruk av Public360 hos institusjonene gjelder dette i hovedsak forvaltning av informasjon og rolle- og autorisasjonsstyring. Prioriteringsrådet bør se på behovet for sektorvide retningslinjer for blant annet dokumentfangst, skjerming av informasjon og metadata i Public360. Det anbefales at hovedtiltakene settes inn på disse områdene. 19. desember
33 Andre funn Det er i tillegg bekymringer i forhold til manglende duplisering av kritisk kjernekompetanse i forhold til oppstart, konvertering og brukerimport hos UNINETT. Det anbefales at UNINETTs prosjektledelse for Public360 innføringen sammen med prioriteringsrådet bestemmer hvem som skal ha ansvar for å følge opp gjennomføringen av tiltakene som berører de sentrale partene UNINETT, Software Innovation og Basefarm 19. desember
Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015
Risikovurderinger Øivind Høiem CISA, CRISK, ISO 27001 Lead implementer Sekretariat for informasjonssikkerhet, UNINETT SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi
DetaljerVeileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren
Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Delområde av styringssystem for informasjonssikkerhet i UH -sektoren Versjon 1.0 1 Innholdsfortegnelse Forord...
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerSUHS-2014 Med UNINETT i en digital fremtid. Petter Kongshaug, Adm. Dir.
SUHS-2014 Med UNINETT i en digital fremtid Petter Kongshaug, Adm. Dir. UNINETTs rolle i sektoren Vi er sektorens verktøy med spisskompetanse på å få til samarbeid om fellesløsninger gjennom; - Prioriteringsråd/Styringsgrupper
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerInformasjonssikkerhet
Informasjonssikkerhet med spesielt blikk på administrative funksjoner Ingvild Stock-Jørgensen Juridisk seniorrådgiver UiT Norges arktiske universitet Innledning Om meg Tema for dagen Hva er informasjonssikkerhet
DetaljerInformasjonssikkerhet i UH-sektoren
Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet
DetaljerForvaltning av løsning/ avtaler,
Forvaltning av løsning/ avtaler, Erfaringssamling digital eksamen 29.03.2017 Magnus Strømdal Forvaltning Status på avtalene Endringsønsker Samarbeid/erfaringsdeling (SLACK) Flere erfaringssamlinger? 2
DetaljerDokumentasjonsforvaltning
Dokumentasjonsforvaltning Status for tjenesten 4. November 2015 Leif Kristiansen, UNINETT AS Overgang fra prosjekt til forvaltning UNINETT har i løpet av 2015 organisert aktiviteten annerledes: NSA utrulling
DetaljerKunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning
DET KONGELIGE KUNNSKAPSDEPARTEMENT Forsknings- og høyere utdanningsministeren Ifølge liste Deres ref Vår ref Dato 17/1224-7. januar 2019 Kunnskapsdepartementets styringsmodell for informasjonssikkerhet
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerUNINETT-konferansen 2017
UNINETT-konferansen 2017 Erfaringer fra Sekretariatet for informasjonssikkerhet: landet rundt med ledelsessystem Rolf Sture Normann, leder Sekretariat for informasjonssikkerhet i UH -sektoren Startet i
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerOppfølging av informasjonssikkerheten i UH-sektoren
Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerInformasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019
Informasjonssikkerhet - Innføring velferdsteknologi Agder KiNS-konferanse Stavanger 4. 5. juni 2019 Nasjonalt mål: Velferdsteknologi er integrert i helse- og omsorgstjenesten i alle landets kommuner innen
DetaljerStatlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering
Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Gustav Birkeland, seniorrådgiver IRT: Nettverkssamling for hendelsesresponsteam i UH-sektoren, UNINETT fagsamling
DetaljerGDPR-status fra en kommune
GDPR-status fra en kommune «Hvordan har vi det med etterlevelsen i dag?» NKRF fagkonferanse Hamar, 13.06.2019 Knut J. Eggen, Personvernombud Sarpsborg kommune Hvor gyldig er mitt «værvarsel»? Kort om Sarpsborg
DetaljerVeileder: Risikovurdering av informasjonssikkerhet
Veileder: Risikovurdering av informasjonssikkerhet Informasjonssikkerhet og risikovurderinger Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd
DetaljerPolicy for informasjonssikkerhet ved HSN
Policy for informasjonssikkerhet ved HSN Side 1 av 15 Versjonskontroll Versjon Dato Endringsbeskrivelse HSN 1.0 16.09 2016 Policy for informasjonssikkerhet for HSN basert på Uninett/HiT-dokumenter bearbeidet
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerKvalitetssikring av arkivene
Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerStrategi for informasjonssikkerhet
Strategi for informasjonssikkerhet 2019 2021 UiT Norges arktiske universitet Foto: 2018 Gartner. All rights reserved. Versjon: v 1.1 Innholdsfortegnelse 1. INNLEDNING... 3 2. MÅLBILDE... 4 3. MÅLBILDETS
DetaljerSUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)
SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerSikkerhetsforum i UH sektoren
Sikkerhetsforum i UH sektoren Rolf Sture Normann CSO, UNINETT 13.-14. juni 2012 Om UNINETT Det norske forskningsnettet Eid av Kunnskapsdepartementet Ca 100 ansatte, 200 mill omsetning Gir nett og tjenester
DetaljerVeileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?
Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To
DetaljerStatlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering
Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Reidulf Fonn, seniorrådgiver Incident Response Team (IRT) heldagskurs, UNINETT fagdager 2017, 2. mai Departementets
DetaljerNytt fra sekretariatet
Nytt fra sekretariatet Sikkerhetsforum 2013 Øivind Høiem, CISA CRISC Seniorrådgiver Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerIKT-strategi for UH-sektoren
IKT-strategi for UH-sektoren Gustav Birkeland, seniorrådgiver, universitets- og høyskoleavdelingen Økonomidirektørsamling ved UiT 26. april 2017 Bakgrunn Arbeidsgruppe opprettet høsten 2015 som oppfølging
DetaljerInformasjonssikkerhet. Øyvind Rekdal, 17. mars 2015
Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere
DetaljerPersonvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit
Personvern og studieadministrasjon Sadia Zaka Juridisk seniorrådgiver Unit Hva er personvern? Retten til privatliv - Familie, hjem og korrespondanse Retten til å bestemme over egne personopplysninger Vern
DetaljerInformasjonssikkerhetsprinsipper
Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer
DetaljerDigital eksamen: prosjekt og arbeid
Digital eksamen: prosjekt og arbeid Erfaringsseminar ved HiB 26. januar 2016 UNINETT og fellesarbeid Prosjektet: Digital eksamen (2014-2015) Nye fagspesifikasjoner: logging, integrasjoner Felles risikovurdering
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerStatus personvern Hedmark og Oppland fylkeskommuner
Status personvern Hedmark og Oppland fylkeskommuner Kontrollutvalget Tone Hoddø Bakås, personvernombud 21.5.2019 Personvernlovgivningen Personopplysningslov fra 2000 Ny personopplysningslov fra juli 2018
DetaljerNy organisering av Biblioteksystemkonsortiets virksomhet. Rådgivende gruppe BIBSYS-konferansen 2017
Ny organisering av Biblioteksystemkonsortiets virksomhet Rådgivende gruppe BIBSYS-konferansen 2017 Rådgivende gruppe for biblioteksystemkonsortiet Fra retningslinjer for Biblioteksystemkonsortiet Biblioteksystemkonsortiet
DetaljerSikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013
Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerPersonvernerklæring for Flyt Høgskolen i Molde
Personvernerklæring for Flyt Høgskolen i Molde Sist endret: 24.07.2019 Innhold: 1) Kort om Flyt 2) Om denne personvernerklæringen 3) Hva er personopplysninger? 4) Formålet med og rettslig grunnlag for
DetaljerUNIVERSITETS- OG HØGSKOLERÅDET ADMINISTRASJONSUTVALGET
UNIVERSITETS- OG HØGSKOLERÅDET ADMINISTRASJONSUTVALGET Referat fra møte i UHRs administrasjonsutvalg 20. april 2007 Tid: 20.04.07 fra kl. 10.00-14.00 Sted: Universitets- og høgskolerådets lokaler, Pilestredet
DetaljerDIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING
DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING Fagutvalg for informasjonssikkerhet Møte 5 2019-05-15 Agenda SAK 1 HANDLINGSPLAN FOR DIGITALISERING: VEIEN VIDERE Handlingsplan
DetaljerInnherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.
Innherred samkommune 1www.innherred-samkommune.no Levanger kommunes tiltak til kravene i Personopplysningsloven Orientering ved Personvernombudet Personopplysningsloven med forskrift 2www.innherred-samkommune.no
DetaljerOm UNINETT FAS F e l l e s A d m i n i s t r a t i v e S y s t e m e r f o r u n i v e r s i t e t e r o g h ø g s k o l e r 1
Om UNINETT FAS F e l l e s A d m i n i s t r a t i v e S y s t e m e r f o r u n i v e r s i t e t e r o g h ø g s k o l e r 1 Vår oppgave UNINETT FAS sitt samfunnsoppdrag er å bidra til bedre og mer effektiv
DetaljerGDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet
GDPR ny personvernforordning Styring via godt arbeid med informasjonssikkerhet Trender og Det Store Kappløpet GDPR og NYPE??? GDPR i nye Asker Arbeid med informasjonssikkerhet Det store kappløpet Brannmur
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerInnføring av ny personvernforordning (GDPR) på universitetet
Innføring av ny personvernforordning (GDPR) på universitetet Styringsdokument Styringsgruppemøte 21. juni 2018 Innhold Side Agendapunkter 3 Sak 1: Godkjenning av referat 4-6 Sak 2: Leveransene i prosjektet
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerStyringssystem for informasjonssikkerhet ved Høgskulen i Volda
Styringssystem for informasjonssikkerhet ved Høgskulen i Volda Basert på ISO/IEC 270001/02: 2013 Styringssystem for informasjonssikkerhet HVO versjon 2.1 13.11.2015 1 Innhold Innledning... 2 2 Risikostyring...
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerEvalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0
Evalueringsskjema Foretakets nettbankvirksomhet Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema
DetaljerRisiko- og sårbarhetsvurdering av Office365 skyløsning
RAPPORT Risiko- og sårbarhetsvurdering av Office365 skyløsning Dato for gjennomføring: 24.05.2016 08.03.2017. Til: Institusjoner i UH sektoren Fra: Rolf Sture Normann Forfatter: Rolf Sture Normann Kopi:
Detaljer«ÅRETS ARKIV 2017» Grenlandssamarbeidet
«ÅRETS ARKIV 2017» Grenlandssamarbeidet Prosjekt: Nytt sak og arkivsystem Et tilbakeblikk: Samarbeidet i Grenland startet i 2008 nytt sak og arkivsystem. Prosjekt etablert og anskaffelsesprosess igangsatt
DetaljerStyresak 69-2015 Orienteringssak - Informasjonssikkerhet
Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I
DetaljerAngrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening
Angrepet mot Helse Sør-Øst Norsk sykehus- og helsetjenesteforening 2019-06-06 Om Helse Sør-Øst Helse Sør-Øst består av elleve helseforetak, hvorav ni leverer pasientbehandling Helseregionen leverer spesialisthelsetjenester
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
Detaljer1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2
Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område
DetaljerDeres/Your ref.: UU022/14FB Vår/Our ref.: Freddy Barstad Trondheim, 29/12014
Studieavdelingen v/studiesjef Deres/Your ref.: UU022/14FB Vår/Our ref.: Freddy Barstad Trondheim, 29/12014 INVITASJON TIL DELTAKELSE FRA UNIVERSITET OG HØGSKOLENE I NASJONALT PROSJEKT FOR DIGITAL EKSAMEN,
DetaljerBransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde
Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde UNINETT-konferansen 2017 24.10.17 Jan Gunnar Broch Direktoratet for e-helse, sekretariatet for Normen Side 1 Myndighet Sørge for
DetaljerNettskyen, kontroll med data og ledelsens ansvar
Nettskyen, kontroll med data og ledelsens ansvar SUHS-konferansen 2011 Per Arne Enstad, CISA,CISM 2 Hva kjennetegner en nettsky? Behovsbasert selvbetjening Høy konnektivitet Deling av ressurser Kapasitet
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerProsjektstyring UH. Samarbeid for god praksis. Status og nytt fra økonomisystemene. Elin Kristine Olsen, UNINETT Oktober 2015
Prosjektstyring UH Samarbeid for god praksis Status og nytt fra økonomisystemene Elin Kristine Olsen, UNINETT Oktober 2015 Agenda Status og nytt fra økonomitjenestene Prosjektstyring 2 Status og nytt Ny
DetaljerPersonvernerklæring for Søknadsweb
Personvernerklæring for Søknadsweb Sist endret: 06.07.2018 Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved VID vitenskapelige høgskole. Søknadsweb er knyttet til
DetaljerOrganisering av IKT i UH sektoren. IT-konferansen UIO
Organisering av IKT i UH sektoren IT-konferansen UIO 27.04.2017 Tor Holmen, UNINETT AS Konsentrasjon for kvalitet (mars 2015) Mål: Økt kvalitet i utdanning og forskning Fikk fart på strukturendringer!
DetaljerInformasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet
Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerFrist for innspill: 1. november Mottaker etter liste
Mottaker etter liste Innspill til ny versjon av Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, versjon 6.0 Vedlagt er utkast til versjon 6.0 av Norm for informasjonssikkerhet
DetaljerØkonomisjefsamling 2010 Trondheim 12. november 2010 Jan Aasen, Høgskolen i Lillehammer. Informasjon fra UHRs Økonomiutvalg
Økonomisjefsamling 2010 Trondheim 12. november 2010 Jan Aasen, Høgskolen i Lillehammer Informasjon fra UHRs Økonomiutvalg Saker UHRs Økonomiutvalg jobber med og/ eller er involvert i Ny kontoplan Prioriteringsråd
DetaljerDepartementenes oppfølging av informasjonssikkerheten i underliggende virksomheter
Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet,
DetaljerNorm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen
Norm for Informasjonssikkerhet i Helsesektoren Tor Ottersen Dilemma Konfidensialitet Ivareta pasientens integritet ved å beskytte alle opplysninger. Tilgjengelighet Pasienten skal sikres forsvarlig (best
DetaljerDatabehandleravtaler. Tommy Tranvik Unit
Databehandleravtaler Tommy Tranvik Unit Spørsmål Hva er databehandlere? Når er det lovlig å bruke databehandlere? Hva må til for at fortsatt bruk skal være lovlig? Databehandlere i GDPR Leverandører av
DetaljerNormens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018
Normens krav og anbefalinger fra kravspek til innføringsprosjekt 31. oktober 2018 Agenda Anskaffelse Innføring Forvaltning og drift Krav til systemer (FA 38) og selvdeklareringsdokumenter Krav til medisinsk
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerArkivsystemer med skyløsninger
Arkivsystemer med skyløsninger Erfaringer fra Ruter Svein Winje og Svend Wandaas, Brukerforum Stavanger Tema 1. Behovet for ny sak og arkivløsning 2. Juridiske utgangspunkt. 3. Krav i konkurransen og besvarelse
DetaljerRETNINGSLINJE for klassifisering av informasjon
RETNINGSLINJE for klassifisering av informasjon Fastsatt av: Universitetsstyret Dato: 5.4.19 Ansvarlig enhet: Avdeling for IT Id: UiT.ITA.infosec.ret01 Sist endret av: -- Dato: 5.4.19 Erstatter: Kap. 3
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerTilbakemelding på forslag til finansieringsmodell
Unit Deres referanse Vår referanse Vår dato 19/72-2 13.03.2019 Tilbakemelding på forslag til finansieringsmodell Bakgrunn Digitaliseringsstyret for forskning og høyere utdanning behandlet i sitt møte 30.
DetaljerSUHS-konferansen 2013 workshop MVA onsdag 30. oktober
SUHS-konferansen 2013 workshop MVA onsdag 30. oktober Ellen H. Netland Avdeling for økonomi- og virksomhetsstyring Universitetet i Stavanger uis.no 18.11.2013 Workshop MVA - agenda Agenda Kl 13:30-14:00
DetaljerINFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober
INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerFelles arkitekturprinsipper for helse- og velferdsområdet
Felles arkitekturprinsipper for helse- og velferdsområdet SSP Brukerforum Oslo 24.03.2011 www.kith.no Foredragsholder Hans-Olav Warholm Seniorrådgiver / fagansvarlig arkitektur og sikkerhet, KITH Hvorfor
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerByrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK
Byrådssak 1191 /15 Klassifisering av informasjonssystemer i Bergen kommune LIBR ESARK-1727-201512221-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en rapport som
Detaljer