Veiledning i etterlevelse av IKT-forskriften for mindre foretak
|
|
- Mikkel Viken
- 8 år siden
- Visninger:
Transkript
1 Veiledning i etterlevelse av IKT-forskriften for mindre foretak Kredittilsynet v Side 1 av 19
2 INNLEDNING Med bakgrunn i finansforetakenes økte bruk og avhengighet av IKT, utarbeidet Kredittilsynet en forskrift om bruk av informasjons og kommunikasjonsteknologi i finanssektoren (IKT-forskriften). Nyeste versjon av forskriften (forskrift nr. 630) trådde i kraft den 1. august 2003 og gjelder for de fleste virksomheter Kredittilsynet fører tilsyn med. Samtidig som IKT er et viktig verktøy for å understøtte og realisere foretakenes forretningsdrift, kan IKT innebære en risiko for feil og ved bortfall sette forretningsvirksomheten ut av spill. IKT-forskriften bidrar til å sette en standard for IKTvirksomheten i foretaket. Den fokuserer på IKT-prosessene hvor stikkord er rutiner og dokumenterte prosedyrer. Mange små foretak som omfattes av IKT-forskriften har gitt uttrykk for at de synes det er vanskelig å vite hvordan de kan etterleve forskriften fordi foretakene er små og har begrenset IKT-virksomhet og forskriften i utgangspunktet virker omfattende. Dette indikerer at det kan være behov for en veiledning til forskriften som er rettet spesielt mot mindre foretak der IKT-virksomheten er begrenset. Kredittilsynet har nå laget en slik veiledning spesielt ment for foretak med 1-5 ansatte. Denne gangen har vi valgt en noe annen måte å formulere veiledningen på enn vi har gjort i tidligere veiledninger. Vi har tatt utgangspunkt i et fiktivt eiendomsmeglingsforetak og brukt dette som et eksempel på hvordan et lite foretak kan sikre at det etterlever IKT-forskriften. Kredittilsynet v Side 2 av 19
3 EKSEMPEL PÅ HVORDAN ET MINDRE EIENDOMSMEGLINGSFORETAK KAN ETTERLEVE IKT- FORSKRIFTEN Presentasjon av foretaket "Hus på høyden" og deres IKT-virksomhet "Hus på høyden" er et mindre eiendomsmeglingsforetak som ble etablert i januar 2005 i en middels stor norsk by. Selskapet solgte 51 eiendommer i Foretaket har 2,5 stillinger med 3 ansatte; Gerd, Ole og Bent. De ansatte sitter i landskap ved hver sin pult. En av de fulltidsansatte i foretaket, Gerd, er utnevnt til IKT-ansvarlig. Hun har gjennomført sertifisering i bruk av de vanlige kontorstøttesystemene og opparbeidet kompetanse på drift og vedlikehold av arbeidsstasjoner (PC-er). Foretaket har tre stasjonære PC-er og en filserver som er koblet i et lokalt nettverk. Foretaket har en printer og en skanner. Foretaket abonnerer på internettilgang fra en bredbåndsleverandør. Som beskyttelse mellom lokalt nettverk og Internett er det installert en router med brannmurprogramvare. Foretaket har valgt et meglersystem med lokal lagring av dataene. Meglersystemet er installert med serverprogramvare og database på filserveren, og klientprogramvare på hver av arbeidsstasjonene. Foretaket kjøper regnskapstjenester fra et av de store regnskapsførerforetakene. Bankkonto for klientmidlene opereres via Nettbank Bedrift. PC-ene har installert standard kontorstøttesystemer. Foretakets dokumentasjon av hvordan de etterlever IKT-forskriften "Hus på høyden" har vurdert hvilken fremgangsmåte de skal bruke for å sikre at de etterlever IKT-forskriften. "Hus på høyden" har besluttet å lage en håndbok for IKTvirksomheten hvor det under hvert kapittel er referanser til paragrafer i IKT-forskriften. På den måten dokumenterer foretaket at det har gjort en gjennomgang av forskriften samtidig som foretaket kan vise til dokumentasjon for sine vurderinger og/eller rutiner for de ulike områdene av IKT-virksomheten. I håndboken refereres det til aktuelle maler og skjemaer som brukes for å operasjonalisere rutinene. Nedenfor gjengir vi "Håndbok for IKT-virksomheten i Hus på høyden". Maler og skjemaer det refereres til, er i varierende grad inkludert. Dette er med hensikt fordi dette ikke er ment å være en oppskrift, men heller et eksempel som kan gi ideer og innspill til mindre foretak i arbeidet med å sikre og dokumentere IKT-virksomheten og etterleve IKT-forskriften. Kredittilsynet v Side 3 av 19
4 Håndbok for IKT-virksomheten i "Hus på høyden" En eksemplifisert veiledning i etterlevelse av IKT-forskriften for mindre foretak. Kredittilsynet, 16.oktober 2006 Kredittilsynet v Side 4 av 19
5 Innholdsfortegnelse Kapittel 1: IKT-strategi Kapittel 2: Risikoanalyse Kapittel 3: Kvalitet Kapittel 4: Sikkerhet Kapittel 5: Endringshåndtering, anskaffelse og installasjon Kapittel 6: Systemvedlikehold og drift Kapittel 7: Kontinuitet og beredskap Kapittel 8: Dokumentasjon Revisjonshistorikk Versjonsnr. Dato Beskrivelse av endring Signatur Godkjent versjon GGG Lagt til i kap. 4 om antispionprogramvare GGG Årlig gjennomgang av håndboka utført. GGG Kredittilsynet v Side 5 av 19
6 Kapittel 1: IKT-strategi Ref. IKT-forskriftens 2 Planlegging og organisering og 12 Utkontraktering 2 Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. Ved utkontraktering av deler eller hele IKT-virksomheten skal foretaket ha egne retningslinjer som skal sikre leveransen. Det skal oppnevnes en ansvarlig i foretaket for de ulike deler av IKT-virksomheten. Med ansvarlig menes en funksjon eller stilling. 12 Utkontraktering Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Kredittilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Kredittilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen. Forretningsstrategi "Hus på høyden" er et lite eiendomsmeglingsforetak som opererer i en nisje av markedet. Vi har spesialisert oss på salg av mindre hus på høyden. Vi har ikke ambisjoner om å bli blant de største i bransjen, men har som målsetning å vokse til det tidobbelte. IKT-ansvarlig Selv om "Hus på høyden" er et lite foretak, vurderer vi det som viktig å formalisere rollen som IKT-ansvarlig for å sikre at ansvar for oppgaver innen IKT-virksomheten er plassert og dokumentert. Det er laget en stillingsinstruks for IKT-ansvarlig som viser hvilke oppgaver som omfattes av denne stillingen. Stillingsinstruksen skal gjennomgås i samband med årlig risikoanalyse av IKT-virksomheten. IKT-ansvarlig skal ha minimum fem dager med kurs hvert år for å holde kompetansen ved like. Nettsted på Internett "Hus på høyden" har etablert et eget nettsted på Internett: Nettstedet blir oppdatert gjennom et samarbeid med leverandøren av Meglersystemet. Nettstedet er vår viktigste kanal for markedsføring og informasjon ut mot kundene, og informasjonen på denne skal alltid være korrekt og oppdatert. skal være definert som startside i nettleseren til alle ansatte, og alle har et ansvar for å regelmessig kontrollere informasjonen på siden. I løpet av 2006 er det et mål å utvide funksjonaliteten på nettstedet med mulighet for elektronisk kommunikasjon med kundene. Kredittilsynet v Side 6 av 19
7 Bruk av meglersystem "Hus på høyden" ønsker å utføre megleroppdragene på en profesjonell måte. Vi vil bruke et elektronisk meglersystem fordi vi mener det er med på å sikre en forutsigbar håndtering av oppdragene. "Hus på høyden" har tre lisenser til Meglersystemet og har inngått avtale med leverandøren av Meglersystemet om bistand til installasjon, brukeropplæring og support. Foretaket er for lite til at det blir tilbudt å delta i brukerforumet som er opprettet i tilknytning til Meglersystemet. Dersom antall lisenser til Meglersystemet øker til mer enn 5, vil vi søke om å få delta i brukerforumet fordi vi ser dette som en mulighet til å øke vår påvirkningskraft i forhold til endringer og videreutvikling av systemet. Vi har valgt et meglersystem som er basert på at data lagres lokalt. Vi er klar over at dette stiller større krav til drift internt i foretaket enn om vi for eksempel hadde valgt et nettbasert produkt hvor data lagres sentralt hos leverandøren. IKT-ansvarlig har ansvar for å holde seg oppdatert om teknologi, funksjonalitet og pris på ulike meglersystem som finnes på markedet. I forbindelse med årlig gjennomgang av IKT-strategien, skal selskapet vurdere endringer i applikasjonsporteføljen. Utvikling "Hus på høyden" utvikler ikke systemer selv. Vi skal bruke standard programvare og applikasjoner. Egen drift kontra utkontraktert drift "Hus på høyden" har besluttet at så lenge salget av eiendommer er begrenset til mindre enn 100 i året og antall ansatte er mindre enn 6, tar vi hånd om IKT-virksomheten selv. Øker salget til over dette, vil vi vurdere å utkontraktere større deler av IKT-virksomheten. Dette skal evalueres årlig og er lagt inn som et punkt i risikoanalysen. "Hus på høyden" er kjent med at både Dataforeningen og Statskonsult har laget veiledninger og eksempler på standardavtaler med IKT-leverandører for forvaltning og drift av IKT-systemene. Før avtale med en IKT-leverandør blir inngått, vil innholdet i avtalen bli vurdert opp mot standardavtalene som ledd i å sikre best mulig kontroll med IKT-virksomheten ved en utkontraktering. Operasjonalisering av rutiner "Hus på høyden" har laget skjemaer i excel for å følge opp IKT-virksomheten. Vi vurderer dette som et tilstrekkelig verktøy for å formalisere og operasjonalisere IKTprosessene, også i forhold til å imøtekomme en økning i aktiviteten. Etterlevelse av lover og regler "Hus på høyden" har konsesjon fra Kredittilsynet og omfattes av IKT-forskriften. For å sikre regelmessig vurdering av om IKT-forskriften etterleves, skal denne håndboka gjennomgå en årlig evaluering. Det skal kvitteres for gjennomført evaluering i tabellen for versjonshåndtering på side 2 i håndboka. Kredittilsynet v Side 7 av 19
8 Kapittel 2: Risikoanalyse Ref. IKT-forskriftens 3 Risikoanalyse 3 Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres. Innen utgangen av juni hvert år skal det gjennomføres en risikoanalyse av IKTvirksomheten. Risikoen som avdekkes gjennom analysen sammen med tiltakene som spesifiseres, skal til sammen gi en situasjon der det totale risikobildet på IKT-området er innenfor akseptable grenser. Risikoanalysen skal være datert og signert, og denne signaturen er en bekreftelse på at risikoen er vurdert som akseptabel "Hus på høyden" har laget en enkel mal i excel for risikoanalysen. Se inneværende års risikoanalyse her: Kredittilsynet v Side 8 av 19
9 Kapittel 3: Kvalitet Ref. IKT-forskriftens 4 Kvalitet og 9 Avviks- og endringshåndtering 4 Kvalitet Foretaket skal fastsette kvalitetsmål for de enkelte deler av IKT-virksomheten knyttet opp mot foretakets øvrige mål. Foretaket skal ha dokumenterte prosedyrer for oppfølging av fastsatte kvalitetsmål. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. For "Hus på høyden" betyr kvalitet tilgjengelighet og riktige data. "Hus på høyden" har definert følgende krav til kvalitet i IKT-virksomheten: Data om kunder, eiendommer, bud og salg skal være korrekte. Nødvendige funksjoner som meglersystem og nettbank skal være tilgjengelige i arbeidstiden fra kl til "Hus på høyden" bruker avviksrapporten som verktøy for å måle kvaliteten. Feil på maskin- eller programvare eller avvik i driftsrutinene skal registreres.. Ved månedsslutt skal IKT-ansvarlig gjøre en totalvurdering av kvaliteten på IKT-virksomheten. Kvaliteten skal graderes etter følgende skala: God Tilfredstillende Mindre tilfredstillende Ikke tilfredstillende Samlet resultat året sett under ett, skal vurderes i forbindelse med årlig risikoanalyse. "Hus på høyden" har laget en enkel mal i excel for avviksrapporten. Se utsnitt fra inneværende års avviksrapport på neste side. Kredittilsynet v Side 9 av 19
10 Avviksrapport Kredittilsynet v Side 10 av 19
11 Kapittel 4: Sikkerhet Ref. IKT-forskriftens 5 Sikkerhet 5 Sikkerhet Foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, jf. 1, mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKTsystemene. Kravene til IKT-sikkerhet skal så langt det er praktisk mulig være målbare. Oppfyllelse av kravene til informasjonssikkerhet for personopplysninger etter forskrift av nr 1265 til personopplysningsloven skal anses som oppfyllelse av kravene i paragrafen her. "Hus på høyden" har bestemt disse tiltakene for å ivareta sikkerheten: IKT-ansvarlig skal defineres som administrator på alle arbeidsstasjoner. Andre ansatte skal defineres som lokal bruker på sin maskin. Arbeidsstasjonene skal konfigureres til å låses etter femten minutter når maskinene ikke brukes. Arbeidsstasjonene skal konfigureres slik at bruker må bytte passord på PC-ene minimum hver 3. måned. Meglersystemet skal konfigureres slik at bruker må bytte passord for tilgang hver 3. måned. Når en ansatt slutter, skal IKT-ansvarlig fjerne tilgangen til Nettbank Bedrift og slette brukernavn og passord til Meglersystemet for den som slutter. Det skal installeres antivirus-programvare på alle PC-er. Arbeidsstasjonene og filserveren skal være konfigurert slik at oppdateringer av antivirus-programvare skjer automatisk. Det skal installeres antispion-programvare på alle maskiner. Det er satt opp en router med brannmurprogramvare som beskyttelse mellom det lokale nettverket og Internett. Arbeidsstasjonene skal være konfigurert slik at oppdatering og annet vedlikehold av operativsystemet skjer automatisk. Det er installert tyverialarm i lokalene. Der ikke annet er nevnt, er det IKT-ansvarlig som er ansvarlig for at tiltakene blir gjennomført. Kredittilsynet v Side 11 av 19
12 Kapittel 5: Endringshåndtering, anskaffelse og installasjon Ref. IKT-forskriftens 6 Utvikling og anskaffelse og 9 Avviks- og Endringshåndtering 6 Utvikling og anskaffelse Foretaket skal ha skriftlige prosedyrer for anskaffelse, utvikling, videreutvikling og testing av IKT-systemer. IKTsystemene skal ikke settes i ordinær drift før ansvarlig har godkjent dette. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. Endringshåndtering "Hus på høyden" definerer endringer og endringshåndtering i IKT-virksomheten som a) å ta i bruk ny maskinvare eller lisensiert programvare b) håndtere nye versjoner eller feilrettinger av maskinvare eller lisensiert programvare. Ønsker om endringer i funksjonalitet i Meglersystemet kan IKT-ansvarlig melde til foretakets kontaktperson hos leverandøren. Foretaket er for lite til å delta i brukerforumet som er opprettett i tilknytning til Meglersystemet. Dersom antall lisenser til Meglersystemet øker til mer enn 5, vil foretaket søke om å få delta i brukerforumet. Anskaffelse "Hus på høyden" har laget en inventarliste som inneholder informasjon om alt utstyr knyttet til IKT-virksomheten. Lista er delt i tre med en del for maskinvare, en del for programvare og en del for lisenser. For hvert registrert objekt skal det angis status for om maskin- eller programvaren er i bruk eller er utrangert. Det inngår i IKT-ansvarlig sin arbeidsinstruks å holde inventarlista oppdatert. Installasjon og godkjenning Før foretaket tar i bruk ny maskin eller programvare eller nye versjoner av eksisterende maskin eller programvare, skal IKT-ansvarlig teste systemet. Ved større endringer som for eksempel introduksjon av ny funksjonalitet, skal det opprettes et eget dokument som viser resultatet av testen. Både ny maskin-/programvare og nye versjoner av eksisterende systemer skal registreres i inventarlista. Etter gjennomført og godkjent test, skal IKT-ansvarlig kvittere ut i Kredittilsynet v Side 12 av 19
13 inventarlista at systemet etableres i produksjon. I de tilfellene det er laget et eget testdokument, skal det legges inn en lenke til dette fra inventarlista. Hvis nye versjoner av Meglersystemet medfører endringer i konfigurasjonen av systemet, skal dokumentasjonen av installasjonsparametrene oppdateres og lagres i bankboks som del av katastrofeløsningen. IKT-ansvarlig skal legge til rette for at de andre ansatte får den nødvendige opplæringen i forbindelse med endringer i maskin eller programvare. Se eksempel på inventarliste på neste side. Kredittilsynet v Side 13 av 19
14 Inventarlista Kredittilsynet v Side 14 av 19
15 Kapittel 6: Systemvedlikehold og drift Ref. IKT-forskriftens 7 Systemvedlikehold, 8 Drift og 9 Avviks- og endringshåndtering 7 Systemvedlikehold Foretaket skal sikre at IKT-systemene vedlikeholdes og forvaltes på en måte som gir en stabil, planlagt og forutsigbar drift. Det skal foreligge dokumenterte prosedyrer for systemvedlikeholdet. 8 Drift Driften av IKT-virksomheten skal være basert på dokumenterte prosedyrer, som sikrer fullstendig, rettidig og korrekt dataproduksjon, behandling og oppbevaring av produksjonsdata samt tilgjengelighet av IKT-systemene. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. IKT-ansvarlig har ansvar for daglig backup av data til DVD som lagres i brannsikkert skap og ukentlig backup av data til DVD som lagres i bankboks. Det vises til oppsatt plan med detaljert liste over filer og programvare som omfattes av daglige og ukentlige backup- rutiner. IKT-ansvarlig har ansvar for daglig kontroll av virusdeteksjon. Alle driftsrutiner skal daglig kvitteres ut i driftsrapporten med signaturen til den som har utført jobben. I IKT-ansvarligs fravær er det den IKT-ansvarlig har utpekt som stedfortreder, som skal utføre kontrollen. Eventuelle avvik i driftsrutinene overføres til Avviksrapporten. Se utsnitt fra inneværende års driftsrapport på neste side. Kredittilsynet v Side 15 av 19
16 Driftsrapport Kredittilsynet v Side 16 av 19
17 Kapittel 7: Kontinuitet og beredskap Ref. IKT-forskriftens 10 Krav til kontinuitet og 11 Driftsavbrudd og katastrofeberedskap 10 Krav til kontinuitet Foretaket skal ha en oppdatert kontinuitetsplan. Foretaket skal etablere en prosedyre for kontinuitet hvor roller, ansvarsoppgaver og risiko defineres. Foretaket skal med bakgrunn i risikoanalyse, jf. 3, definere IKT-systemer av betydning for foretakets virksomhet som skal dekkes av kontinuitetsplanen. Kontinuitetsplanen skal blant annet inneholde -identifisering og vurdering av enkeltelementer som kan svikte og iverksette tiltak -klare kriterier for oppstart av reserveløsningen -gjenopprettingsprosedyrer -informasjon til ledelse, ansatte, eventuelt kunder og leverandører. Det skal gjennomføres opplæring, øvelse og testing av reserveløsningene i et omfang som gir trygghet for at reserveløsningene fungerer tilfredstillende. Testene skal dokumenteres slik at gjennomføring og resultat kan vurderes i ettertid. 11 Driftsavbrudd og katastrofeberedskap Foretaket skal ha en dokumentert katastrofeplan som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av en katastrofe. Med katastrofe menes hendelser som forårsaker driftsavbrudd slik at foretakets IKT-drift ikke kan fortsette med normalt tilgjengelige ressurser. Katastrofeplanen skal minst omfatte -oversikt over IKT-systemer som inngår i katastrofeplanen -beskrivelse av katastrofeløsningen -klare kriterier for oppstart av katastrofeløsningen -akseptabel lengde på et driftsavbrudd før katastrofeløsningen iverksettes -prosedyrer som inneholder de nødvendige aktiviteter for å gjenopprette IKT-driften -oversikt over ansvarsforhold og prosedyrer ved oppstart av katastrofeløsningen -informasjon til berørte ansatte, leverandører, kunder, offentlige myndigheter og media. Det skal minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. Resultatet av testen skal dokumenteres slik at det er mulig å kontrollere. "Hus på høyden" har veldefinerte prosedyrer for IKT-virksomheten, inkludert et sett med sikkerhetsregler, og vurderer dette som ledd i å sikre kontinuitet i IKT-virksomheten. Vi skriver rutinemessig ut alle prospekt, bud og salg på papir ved dagens slutt. Dette oppbevares i brannsikkert skap sammen med daglig backup av data på DVD. Dette reduserer konsekvensene ved midlertidig brudd på tilgjengeligheten til datasystemet. "Hus på høyden" vurderer bortfall av IKT-støtten i et tidsrom på mer enn tre arbeidsdager til å være kritisk. IKT-ansvarlig har ansvar for at dokumentasjon av konfigurasjon/installasjonsparametere for Meglersystemet oppbevares i bankboks sammen med ukentlig backup av data på DVD. Avtalen med leverandøren av Meglersystemet innbefatter support til installasjon av systemet basert på dette materialet, på en innleid arbeidsstasjon. "Hus på høyden" har Kredittilsynet v Side 17 av 19
18 vurdert dette til å være tilstrekkelig sikring i tilfelle det oppstår en katastrofesituasjon som gjør lokaler og maskinpark utilgjengelig. IKT-forskriften stiller krav til at det skal gjøres en årlig test av at katastrofeløsningen virker som forutsatt. I samarbeid med leverandøren av Meglersystemet ble det gjort test av installering av systemet basert på installasjonsdokumentasjonen og data på DVD: Dato Installasjonsresultat Kommentar Signatur OK GGG Kredittilsynet v Side 18 av 19
19 Kapittel 8: Dokumentasjon Ref. IKT-forskriftens 13 Dokumentasjon 13 Dokumentasjon Det skal foreligge en samlet oppdatert oversikt over organisasjon, utstyr, IKT-systemer og vesentlige forhold i IKTvirksomheten. Det skal foreligge oppdatert dokumentasjon av det enkelte IKT-system som er av betydning for foretakets virksomhet og som dokumenterer at forskriftens krav er oppfylt til enhver tid. "Hus på høyden" har dokumentert IKT-virksomheten gjennom følgende dokumentasjon og planverk: o Håndbok for IKT-virksomheten i "Hus på høyden" (dette dokumentet) o Stillingsinstruks for IKT-ansvarlig o Risikoanalyse o Inventarliste o Avviksrapport o Driftsrapport o Plan for backup o Sjekkliste for konfigurasjon av arbeidsstasjoner o Installasjonsparametere Meglersystemet o Oversikt over brukertilganger Kredittilsynet v Side 19 av 19
Veiledning i etterlevelse av IKT-forskriften for eiendomsmeglingsforetak
Veiledning i etterlevelse av IKT-forskriften for eiendomsmeglingsforetak DATO: 15.04.2016 MOTTAKERE: EIENDOMSMEGLINGSFORETAK Innhold 1 INNLEDNING 3 2 VEILEDNING TIL PARAGRAFENE I IKT- FORSKRIFTEN 3 2.1
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerVEILEDNING I ETTERLEVELSE AV IKT-FORSKRIFTEN FOR MINDRE SPAREBANKER
VEILEDNING I ETTERLEVELSE AV IKT-FORSKRIFTEN FOR MINDRE SPAREBANKER Kredittilsynet Side 1 av 35 INNLEDNING Høsten 2006 laget Kredittilsynet en veiledning i etterlevelse av IKT-forskriften spesielt rettet
DetaljerEvalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0
Evalueringsskjema Foretakets nettbankvirksomhet Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema
DetaljerHar du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn
Har du kontroll med din databehandler? En utro elsker Annikken Seip Seniorrådgiver IT-tilsyn DIFI 1.9 2011 Det jeg skal snakke om Tilsyn etter 5, 3 og 12/ regelverk Vi har regelverk som påpeker kontroll
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
Detaljerwww.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011
www.pwc.no Utfordringer innen IKTområdet 20. september 2011 Innhold 1. Risiko i betalingsformidling 2. Kontinuitetsplaner 3. Bankenes ansvar ved utkontraktering 4. Oppsummering 2 Risiko i betalingsformidling
DetaljerRisiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)
Risiko- og sårbarhetsanalyse (ROS) 2003 knyttet til finansforetakenes bruk av Informasjons- og Kommunikasjonsteknologi (IKT) Kredittilsynet, 20. november 2003 Side 2 Risiko- og sårbarhetsanalyse (ROS)
DetaljerEgenevalueringsskjema
Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no
DetaljerSøknadsskjema etter finansforetaksforskriften 3-2
Søknadsskjema etter finansforetaksforskriften 3-2 Skjemaet gjelder for: Betalingsforetak, e-pengeforetak og opplysningsfullmektiger 29.03.2019 1 Om skjemaet 1.1 Hvem skjemaet gjelder for Skjemaet gjelder
DetaljerRevisjon av IKT-området i en mindre bank
Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens
DetaljerForslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)
Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og Høringsnotat og forskriftsforslag DATO: 16.06.2015 1. Innledning Etter finanstilsynsloven er det
DetaljerRegnskap- og oppdragssystemer
IKT-sikkerhet Bakgrunn Finanstilsynet gjennomførte i oktober og november 2015 et tematilsyn vedrørende IKT-sikkerhet i regnskapsførerbransjen Tilsynet var rettet mot regnskapsførerselskaper Selskapene
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerForetakets navn : Dato: Underskrift :
Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi
DetaljerSØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON
SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.
DetaljerPC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte
Revidert 05.02.09 PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Til foresatte og elever som har fått vedtak om pc som hjelpemiddel Når dere nå skal velge en pc
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerLovgivningens krav til sikkerhet ved outsourcing - offshoring
Lovgivningens krav til sikkerhet ved outsourcing - offshoring Advokat Arve Føyen FØYEN Advokatfirma DA Introduksjon Et konglomerat av lovgivning stiller rammer for outsourcing og offshoring av IKT tjenester
DetaljerKONKURRANSEGRUNNLAG. Bilag 1 Kravspesifikasjon
KONKURRANSEGRUNNLAG Bilag 1 Kravspesifikasjon for kjøp av tjenester knyttet til drift av IT-løsninger som maskinvare, infrastruktur og programvare (herunder brukerstøtte) for levering til Statens jernbanetilsyn
DetaljerSkytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør
Skytjenester regler, sårbarheter, tiltak i finanssektoren v/ Atle Dingsør Skytjenester regler, risiko, tiltak Skytjenester regler, risiko, tiltak Atle Dingsør, Tilsynsrådgiver, seksjon for tilsyn med IT
DetaljerBilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter
Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi
DetaljerHelgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet
Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert
Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:
DetaljerEgenevalueringsskjema
Egenevalueringsskjema Katastrofeberedskap Dato: 12.02.2009 Versjon 1.1 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Rangering av prosess Evalueringsskjema for foretakets
DetaljerArkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no
Arkiv og lagring i skyen Rettslige skranker Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no Hvorfor arkiv / lagring i skyen? Gammel teknologi - dyr å vedlikeholde/drifte Brukergrensesnitt Vanskelig
DetaljerBilag 6 Vedlegg 3 Definisjoner
Bilag 6 Vedlegg 3 Definisjoner Saksnummer 13/00203 1 / 7 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 0.1 16.05.2013 Difi Dokument distribuert til tilbydere 02. 01.11.2013 Difi Ny definisjon
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette
DetaljerAvviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerSikkerhetsinstruks bruker
Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke
DetaljerInstallasjonsveiledning Visma Avendo, versjon 5.2
Installasjonsveiledning Visma Avendo, versjon 5.2 April 2011 Innhold Innledning... 1 Administrator... 1 Sikkerhetskopi... 1 Testfirmaet... 1 Før du starter installasjonen/oppgraderingen... 2 Nedlasting...
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerBeredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet
Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt. 2.8.5 IT-sikkerhet Versjonsnummer: #.# Oppdatert dato: ##.##.#### Ansvarlig for Navn: vedlikehold av Telefon: planen:
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
Detaljer25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)
25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen
DetaljerIKT-Risiko i regnskapsførerselskaper
Fellesrapport IKT-Risiko i regnskapsførerselskaper Tematilsyn 2015 DATO: 15. april 2016 NUMMER: 15/5273 SEKSJON/AVDELING: REVISJON OG REGNSKAPSFØRING, MARKEDSTILSYN 2 Finanstilsynet Innhold 1 Bakgrunn,
Detaljeri lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo
Rundskriv Økte krav til bankene i lys av driftsproblemene i påsken 2011 RUNDSKRIV: 20/2011 DATO: 15.06.2011 RUNDSKRIVET GJELDER FOR: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo 1 Innledning Finanstilsynet
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerStatens standardavtaler Avtaler og veiledninger om IT-anskaffelser
BILAG 1 Statens standardavtaler Avtaler og veiledninger om IT-anskaffelser Driftsavtalen - MIL.NO Avtale om kjøp av driftstjenester knyttet til maskinvare, infrastruktur og programvare Bilag 1 Forsvarets
DetaljerKrav til utkontraktering av drift 1 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon
1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon Driftsleverandør bekrefter at regnskapsopplysninger knyttet til regnskapsførervirksomhetens kunder, og som oppbevares for regnskapsførervirksomheten
DetaljerEn filserver på Internett tilgjengelig når som helst, hvor som helst. Enkelt, trygt og rimelig
En filserver på Internett tilgjengelig når som helst, hvor som helst Enkelt, trygt og rimelig Endelig en filserver på Internett Tornado File Server er en filserver som er tilgjengelig over Internett, slik
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerSikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO
Sikkerhet ved outsourcing Espen Grøndahl IT-sikkerhetssjef UiO Agenda Sikkerhet - hva er det egentlig? Uønskede hendelser Hva må en huske på? Tør vi dette da? Sikkerhet "Sikkerhet kan defineres som en
DetaljerDATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn
Fellesrapport Tilsyn med regnskapsførerselskaper som utfører regnskapstjenester for foretak av allmenn interesse Tematilsyn 2014 DATO: 15. juni 2015 NUMMER: 14/8978 m.fl. Seksjon/avdeling: Revisjon og
DetaljerInstallasjonsdokument
Installasjonsdokument EuroMek Versjon 2 INNHOLDSFORTEGNELSE 1. OM DOKUMENTET 2. BESKRIVELSE AV SYSTEMET 3. INSTALLASJON AV EUROMEK 4. INSTALLASJON AV KLIENTPROGRAMVARE 1. Om dokumentet 1.1. Formål Dokumentets
Detaljer4.2 Sikkerhetsinstruks bruker
4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til
DetaljerOpus Dental 7.1 Oppdateringsveiledning
Opus Dental 7.1 Oppdateringsveiledning Innhold Innledning... 1 Før installasjon... 2 Installasjon... 3 Last ned installasjonsfilen for Opus Dental... 3 Start installasjonen... 4 Oppdatering av databasen....
DetaljerOpus Dental 7.1 Oppdateingsveiledning
Opus Dental 7.1 Oppdateingsveiledning Innhold Innledning... 1 Før installasjon... 2 Installasjon... 3 Last ned installasjonsfilen for Opus Dental... 3 Start installasjonen... 4 Oppdatering av databasen....
DetaljerHandlingsplan - IKT-strategi for Rogaland fylkeskommune 2011 2014
1 Innovasjon 1 Innovasjonsforum Etablere et internt innovasjonsforum som skal arbeide for å skape verdier for RFK ved å ta i bruk ny IKT-teknologi/nye IKT-systemer og nye metoder for å gjennomføre endringer
DetaljerIT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde
IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerSTYRESAK. Styremedlemmer Helse Fonna HF GÅR TIL: FØRETAK: DATO:
STYRESAK GÅR TIL: FØRETAK: Styremedlemmer Helse Fonna HF DATO: 12.12.17 FRÅ: Olav Klausen SAKSHANDSAMAR: Kenneth V. Førland, Ingebjørg Kismul SAKA GJELD: Leiinga sin gjennomgang av informasjonstryggleik
DetaljerBestemmelser tilknyttet elektronisk samarbeid med Vinmonopolet
Bestemmelser tilknyttet elektronisk samarbeid med Vinmonopolet Versjon 1.1 Innhold 1 Innledning... 3 2 Parter... 3 3 Vinmonopolets Leverandørportal... 3 Omfang og formål... 3 Modulene i Leverandørportalen...
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune. Revidert
Digitaliseringsstrategi for Buskerud fylkeskommune Revidert 2018-2020 Buskerud fylkeskommune Stab og kvalitetsavdelingen oktober 2017 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerPressebriefing 11. april 2013
Pressebriefing 11. april 2013 Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi Seksjonssjef Frank Robert Berg ROS-analysen 2012: Kap. 1) Innledning
DetaljerRapporteringsskjema for kryptoinstallasjon
Rapporteringsskjema for kryptoinstallasjon Opplysningene i denne rapporten inngår i grunnlaget for NSMs godkjenning av bruk av kryptoutstyr og kryptosystemer, og kryptosikkerheten i den enkelte virksomhet
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerBilag til kjøpsavtalen for Antivirusløsning K Bilag 1 - Kundens kravspesifikasjon
Helse Vest Innkjøps saksnummer: 2015/22 Helse Vest IKTs avtalenummer: 901502 Bilag til kjøpsavtalen for Antivirusløsning K Bilag 1 - Kundens kravspesifikasjon ist oppdatert: 06.01.2016
Detaljer2.4 Bruk av datautstyr, databehandling
2.4 Bruk av datautstyr, databehandling Formål Denne prosedyren skal beskrive generelle krav til informasjonssikkerhet ved bruk av datautstyr i Midt-Telemarkkommunene. Den skal leses av alle medarbeidere,
Detaljer«Plattformprosjekt skole» - pedagogisk nett
-Ein tydeleg medspelar «Plattformprosjekt skole» - pedagogisk nett IT-seksjonen Agenda Hensikten med plattformprosjektet Drift av løsningen Teknologiske valg Framdriftsplan Opplæring Hva betyr plattformprosjektet
DetaljerInstallasjonsveiledning
Installasjonsveiledning Visma Avendo, versjon 5.2 April 2011 Innhold Innledning... 1 Administrator... 1 Sikkerhetskopi... 1 Testfirmaet... 1 Før du starter installasjonen/oppgraderingen... 2 Installasjon/oppgradering...
Detaljer2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014
CIM-seminar for kommunale beredskapsmedarbeidarar 2014 One Voice AS 27 ansatte 100% norskeid selskap etablert i 2006 Ansatte er sikkerhetsklarert på nivå hemmelig Eget beredskapsplanverk og beredskapsorganisasjon
DetaljerInstallasjonsveiledning
Installasjonsveiledning Visma Avendo, versjon 5.2 April 2011 Innhold Innledning... 1 Administrator... 1 Sikkerhetskopi... 1 Testfirmaet... 1 Før du starter installasjonen/oppgraderingen... 2 Nedlasting...
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerADDSECURES BEHANDLING AV PERSONOPPLYSNINGER
Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerRisiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering
Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre
DetaljerInstallasjonsveiledning
Installasjonsveiledning Visma Avendo, versjon 4.2 Oktober 2008 Innledning Denne installasjonsveiledningen gjelder for programmene Visma Avendo Økonomi 40, Visma Avendo Økonomi 60 og Visma Avendo Fakturering.
DetaljerAnsvar og organisering
Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant
DetaljerVeiledning til IKT- forskriftens 5 "Sikkerhet" August 2013
Veiledning til IKTforskriftens 5 "Sikkerhet" August 2013 2 Finanstilsynet Innhold 1 Innledning 4 2 Forskriftsmessige krav til sikkerhet i IKT-systemene 5 3 Berørte områder av IKT-virksomheten 5 4 Etterlevelse
DetaljerMamut Enterprise Travel CRM
Mamut Enterprise Travel CRM Tilleggsproduktet Mamut Enterprise Travel CRM gir deg muligheten til å ta med deg arbeidet på en bærbar datamaskin ut av kontoret. Du arbeider da på en kopi av den sentrale
DetaljerProgramområde for IKT-servicefag - Læreplan i felles programfag Vg2
Programområde for IKT-servicefag - Læreplan i felles programfag Fastsatt som forskrift av Utdanningsdirektoratet 5. desember 2006 etter delegasjon i brev av 26. september 2005 fra Utdannings- og forskningsdepartementet
DetaljerRegional IKT-beredskapsplan
Regional IKT-beredskapsplan Dette dokumentet erstatter etter at det er godkjent nåværende vedlegg 4 i Regional beredskapsplan for Helse Sør-Øst, og inngår således som en delplan til den regionale beredskapsplanen
DetaljerPartene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler
mal versjon 1.0 19.01.2018 Eksemplar nr: /2 Kontrakt nr:
Detaljer«Vi vil sikre dine opplysninger og gi deg full åpenhet om og kontroll over opplysningene»
Norsk Wavin AS Adresse Karihaugveien 89 1086 Oslo Norge Telephone +47(0)22 30 92 00 Internet www.wasdfdfavin.no E-mail wavin.no@wavin.com WAVINS PERSONVERN- OG INFORMASJONSKAPSELERKLÆRING «Vi vil sikre
DetaljerTypegodkjenning av. radioterminaler
Typegodkjenning av radioterminaler Prosedyrer og regelverk Versjon 4, 16.10.2015 Side 1 av 7 Innholdsfortegnelse 1. Typegodkjenningens hensikt... 3 2. Gjennomføring av typegodkjenning... 3 2.1. Sikkerhetsmessige
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerIT-reglement Aurskog-Høland kommune for ansatte og politikere
IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger
DetaljerEnkel installasjonsveiledning
// Mamut Business Software Enkel installasjonsveiledning 1 Introduksjon Dette heftet er laget for å veilede deg gjennom installasjon og førstegangs oppstart av Mamut Business Software, slik at denne blir
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerKVALITETSSTYRINGSSYSTEMET VED IMB MASKINER
KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER Innholdsfortegnelse 1 Innledning... 3 1.1 Generelt om kvalitetsstyringssystemet ved IMB Maskiner...3 1.2 Om IMB Maskiner...3 1.3 Definisjoner av sentrale begrep
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerStilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen
Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført
DetaljerIKT-reglement for Norges musikkhøgskole
IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerEGA Svar på spørsmål, oppdatert pr
EGA-12132 Svar på spørsmål, oppdatert pr 17.10.12 Spørsmål 1: Dere har i Bilag 3 skrevet at dere har bl.a et EVA disksubsystem. Er det riktig å forstå at dere har 7TB data på EVAen i dag som skal tas backup
DetaljerLeverandørtilganger. Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014. Sykehuspartner
Leverandørtilganger Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014 Sykehuspartner Agenda Hvem og hva er Sykehuspartner Leverandørtilgang Leverandørtilgang i praksis Hvem og hva er Sykehuspartner?
Detaljer2.13 Sikkerhet ved anskaffelse
2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag
DetaljerSIKKERHETSINSTRUKS - Informasjonssikkerhet
SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en
DetaljerMamut Business Software
Mamut Business Software Enkel installasjonsveiledning Innhold Før installasjon 3 Om programmet 3 Om installasjon 4 Under installasjon 5 Betingelser for installasjon 5 Slik installerer du: Enbruker 6 Etter
DetaljerVEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN
VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerSikkerhet. Brukerhåndbok
Sikkerhet Brukerhåndbok Copyright 2006 Hewlett-Packard Development Company, L.P. Microsoft og Windows er registrerte varemerker for Microsoft Corporation i USA. Informasjonen i dette dokumentet kan endres
DetaljerNettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.
SØR-TRØNDELAG FYLKESKOMMUNE RETNINGSLINJE FOR INFORMASJONSSIKKERHET Nettvett i STFK Retningslinjer og etiske regler for bruk av datanett i STFK Erstatter: - Utarbeidet ved: IKT-tjenesten Vedtatt/godkjent
Detaljer