Veiledning i etterlevelse av IKT-forskriften for mindre foretak

Størrelse: px
Begynne med side:

Download "Veiledning i etterlevelse av IKT-forskriften for mindre foretak"

Transkript

1 Veiledning i etterlevelse av IKT-forskriften for mindre foretak Kredittilsynet v Side 1 av 19

2 INNLEDNING Med bakgrunn i finansforetakenes økte bruk og avhengighet av IKT, utarbeidet Kredittilsynet en forskrift om bruk av informasjons og kommunikasjonsteknologi i finanssektoren (IKT-forskriften). Nyeste versjon av forskriften (forskrift nr. 630) trådde i kraft den 1. august 2003 og gjelder for de fleste virksomheter Kredittilsynet fører tilsyn med. Samtidig som IKT er et viktig verktøy for å understøtte og realisere foretakenes forretningsdrift, kan IKT innebære en risiko for feil og ved bortfall sette forretningsvirksomheten ut av spill. IKT-forskriften bidrar til å sette en standard for IKTvirksomheten i foretaket. Den fokuserer på IKT-prosessene hvor stikkord er rutiner og dokumenterte prosedyrer. Mange små foretak som omfattes av IKT-forskriften har gitt uttrykk for at de synes det er vanskelig å vite hvordan de kan etterleve forskriften fordi foretakene er små og har begrenset IKT-virksomhet og forskriften i utgangspunktet virker omfattende. Dette indikerer at det kan være behov for en veiledning til forskriften som er rettet spesielt mot mindre foretak der IKT-virksomheten er begrenset. Kredittilsynet har nå laget en slik veiledning spesielt ment for foretak med 1-5 ansatte. Denne gangen har vi valgt en noe annen måte å formulere veiledningen på enn vi har gjort i tidligere veiledninger. Vi har tatt utgangspunkt i et fiktivt eiendomsmeglingsforetak og brukt dette som et eksempel på hvordan et lite foretak kan sikre at det etterlever IKT-forskriften. Kredittilsynet v Side 2 av 19

3 EKSEMPEL PÅ HVORDAN ET MINDRE EIENDOMSMEGLINGSFORETAK KAN ETTERLEVE IKT- FORSKRIFTEN Presentasjon av foretaket "Hus på høyden" og deres IKT-virksomhet "Hus på høyden" er et mindre eiendomsmeglingsforetak som ble etablert i januar 2005 i en middels stor norsk by. Selskapet solgte 51 eiendommer i Foretaket har 2,5 stillinger med 3 ansatte; Gerd, Ole og Bent. De ansatte sitter i landskap ved hver sin pult. En av de fulltidsansatte i foretaket, Gerd, er utnevnt til IKT-ansvarlig. Hun har gjennomført sertifisering i bruk av de vanlige kontorstøttesystemene og opparbeidet kompetanse på drift og vedlikehold av arbeidsstasjoner (PC-er). Foretaket har tre stasjonære PC-er og en filserver som er koblet i et lokalt nettverk. Foretaket har en printer og en skanner. Foretaket abonnerer på internettilgang fra en bredbåndsleverandør. Som beskyttelse mellom lokalt nettverk og Internett er det installert en router med brannmurprogramvare. Foretaket har valgt et meglersystem med lokal lagring av dataene. Meglersystemet er installert med serverprogramvare og database på filserveren, og klientprogramvare på hver av arbeidsstasjonene. Foretaket kjøper regnskapstjenester fra et av de store regnskapsførerforetakene. Bankkonto for klientmidlene opereres via Nettbank Bedrift. PC-ene har installert standard kontorstøttesystemer. Foretakets dokumentasjon av hvordan de etterlever IKT-forskriften "Hus på høyden" har vurdert hvilken fremgangsmåte de skal bruke for å sikre at de etterlever IKT-forskriften. "Hus på høyden" har besluttet å lage en håndbok for IKTvirksomheten hvor det under hvert kapittel er referanser til paragrafer i IKT-forskriften. På den måten dokumenterer foretaket at det har gjort en gjennomgang av forskriften samtidig som foretaket kan vise til dokumentasjon for sine vurderinger og/eller rutiner for de ulike områdene av IKT-virksomheten. I håndboken refereres det til aktuelle maler og skjemaer som brukes for å operasjonalisere rutinene. Nedenfor gjengir vi "Håndbok for IKT-virksomheten i Hus på høyden". Maler og skjemaer det refereres til, er i varierende grad inkludert. Dette er med hensikt fordi dette ikke er ment å være en oppskrift, men heller et eksempel som kan gi ideer og innspill til mindre foretak i arbeidet med å sikre og dokumentere IKT-virksomheten og etterleve IKT-forskriften. Kredittilsynet v Side 3 av 19

4 Håndbok for IKT-virksomheten i "Hus på høyden" En eksemplifisert veiledning i etterlevelse av IKT-forskriften for mindre foretak. Kredittilsynet, 16.oktober 2006 Kredittilsynet v Side 4 av 19

5 Innholdsfortegnelse Kapittel 1: IKT-strategi Kapittel 2: Risikoanalyse Kapittel 3: Kvalitet Kapittel 4: Sikkerhet Kapittel 5: Endringshåndtering, anskaffelse og installasjon Kapittel 6: Systemvedlikehold og drift Kapittel 7: Kontinuitet og beredskap Kapittel 8: Dokumentasjon Revisjonshistorikk Versjonsnr. Dato Beskrivelse av endring Signatur Godkjent versjon GGG Lagt til i kap. 4 om antispionprogramvare GGG Årlig gjennomgang av håndboka utført. GGG Kredittilsynet v Side 5 av 19

6 Kapittel 1: IKT-strategi Ref. IKT-forskriftens 2 Planlegging og organisering og 12 Utkontraktering 2 Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. Ved utkontraktering av deler eller hele IKT-virksomheten skal foretaket ha egne retningslinjer som skal sikre leveransen. Det skal oppnevnes en ansvarlig i foretaket for de ulike deler av IKT-virksomheten. Med ansvarlig menes en funksjon eller stilling. 12 Utkontraktering Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Kredittilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Kredittilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen. Forretningsstrategi "Hus på høyden" er et lite eiendomsmeglingsforetak som opererer i en nisje av markedet. Vi har spesialisert oss på salg av mindre hus på høyden. Vi har ikke ambisjoner om å bli blant de største i bransjen, men har som målsetning å vokse til det tidobbelte. IKT-ansvarlig Selv om "Hus på høyden" er et lite foretak, vurderer vi det som viktig å formalisere rollen som IKT-ansvarlig for å sikre at ansvar for oppgaver innen IKT-virksomheten er plassert og dokumentert. Det er laget en stillingsinstruks for IKT-ansvarlig som viser hvilke oppgaver som omfattes av denne stillingen. Stillingsinstruksen skal gjennomgås i samband med årlig risikoanalyse av IKT-virksomheten. IKT-ansvarlig skal ha minimum fem dager med kurs hvert år for å holde kompetansen ved like. Nettsted på Internett "Hus på høyden" har etablert et eget nettsted på Internett: Nettstedet blir oppdatert gjennom et samarbeid med leverandøren av Meglersystemet. Nettstedet er vår viktigste kanal for markedsføring og informasjon ut mot kundene, og informasjonen på denne skal alltid være korrekt og oppdatert. skal være definert som startside i nettleseren til alle ansatte, og alle har et ansvar for å regelmessig kontrollere informasjonen på siden. I løpet av 2006 er det et mål å utvide funksjonaliteten på nettstedet med mulighet for elektronisk kommunikasjon med kundene. Kredittilsynet v Side 6 av 19

7 Bruk av meglersystem "Hus på høyden" ønsker å utføre megleroppdragene på en profesjonell måte. Vi vil bruke et elektronisk meglersystem fordi vi mener det er med på å sikre en forutsigbar håndtering av oppdragene. "Hus på høyden" har tre lisenser til Meglersystemet og har inngått avtale med leverandøren av Meglersystemet om bistand til installasjon, brukeropplæring og support. Foretaket er for lite til at det blir tilbudt å delta i brukerforumet som er opprettet i tilknytning til Meglersystemet. Dersom antall lisenser til Meglersystemet øker til mer enn 5, vil vi søke om å få delta i brukerforumet fordi vi ser dette som en mulighet til å øke vår påvirkningskraft i forhold til endringer og videreutvikling av systemet. Vi har valgt et meglersystem som er basert på at data lagres lokalt. Vi er klar over at dette stiller større krav til drift internt i foretaket enn om vi for eksempel hadde valgt et nettbasert produkt hvor data lagres sentralt hos leverandøren. IKT-ansvarlig har ansvar for å holde seg oppdatert om teknologi, funksjonalitet og pris på ulike meglersystem som finnes på markedet. I forbindelse med årlig gjennomgang av IKT-strategien, skal selskapet vurdere endringer i applikasjonsporteføljen. Utvikling "Hus på høyden" utvikler ikke systemer selv. Vi skal bruke standard programvare og applikasjoner. Egen drift kontra utkontraktert drift "Hus på høyden" har besluttet at så lenge salget av eiendommer er begrenset til mindre enn 100 i året og antall ansatte er mindre enn 6, tar vi hånd om IKT-virksomheten selv. Øker salget til over dette, vil vi vurdere å utkontraktere større deler av IKT-virksomheten. Dette skal evalueres årlig og er lagt inn som et punkt i risikoanalysen. "Hus på høyden" er kjent med at både Dataforeningen og Statskonsult har laget veiledninger og eksempler på standardavtaler med IKT-leverandører for forvaltning og drift av IKT-systemene. Før avtale med en IKT-leverandør blir inngått, vil innholdet i avtalen bli vurdert opp mot standardavtalene som ledd i å sikre best mulig kontroll med IKT-virksomheten ved en utkontraktering. Operasjonalisering av rutiner "Hus på høyden" har laget skjemaer i excel for å følge opp IKT-virksomheten. Vi vurderer dette som et tilstrekkelig verktøy for å formalisere og operasjonalisere IKTprosessene, også i forhold til å imøtekomme en økning i aktiviteten. Etterlevelse av lover og regler "Hus på høyden" har konsesjon fra Kredittilsynet og omfattes av IKT-forskriften. For å sikre regelmessig vurdering av om IKT-forskriften etterleves, skal denne håndboka gjennomgå en årlig evaluering. Det skal kvitteres for gjennomført evaluering i tabellen for versjonshåndtering på side 2 i håndboka. Kredittilsynet v Side 7 av 19

8 Kapittel 2: Risikoanalyse Ref. IKT-forskriftens 3 Risikoanalyse 3 Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres. Innen utgangen av juni hvert år skal det gjennomføres en risikoanalyse av IKTvirksomheten. Risikoen som avdekkes gjennom analysen sammen med tiltakene som spesifiseres, skal til sammen gi en situasjon der det totale risikobildet på IKT-området er innenfor akseptable grenser. Risikoanalysen skal være datert og signert, og denne signaturen er en bekreftelse på at risikoen er vurdert som akseptabel "Hus på høyden" har laget en enkel mal i excel for risikoanalysen. Se inneværende års risikoanalyse her: Kredittilsynet v Side 8 av 19

9 Kapittel 3: Kvalitet Ref. IKT-forskriftens 4 Kvalitet og 9 Avviks- og endringshåndtering 4 Kvalitet Foretaket skal fastsette kvalitetsmål for de enkelte deler av IKT-virksomheten knyttet opp mot foretakets øvrige mål. Foretaket skal ha dokumenterte prosedyrer for oppfølging av fastsatte kvalitetsmål. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. For "Hus på høyden" betyr kvalitet tilgjengelighet og riktige data. "Hus på høyden" har definert følgende krav til kvalitet i IKT-virksomheten: Data om kunder, eiendommer, bud og salg skal være korrekte. Nødvendige funksjoner som meglersystem og nettbank skal være tilgjengelige i arbeidstiden fra kl til "Hus på høyden" bruker avviksrapporten som verktøy for å måle kvaliteten. Feil på maskin- eller programvare eller avvik i driftsrutinene skal registreres.. Ved månedsslutt skal IKT-ansvarlig gjøre en totalvurdering av kvaliteten på IKT-virksomheten. Kvaliteten skal graderes etter følgende skala: God Tilfredstillende Mindre tilfredstillende Ikke tilfredstillende Samlet resultat året sett under ett, skal vurderes i forbindelse med årlig risikoanalyse. "Hus på høyden" har laget en enkel mal i excel for avviksrapporten. Se utsnitt fra inneværende års avviksrapport på neste side. Kredittilsynet v Side 9 av 19

10 Avviksrapport Kredittilsynet v Side 10 av 19

11 Kapittel 4: Sikkerhet Ref. IKT-forskriftens 5 Sikkerhet 5 Sikkerhet Foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, jf. 1, mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKTsystemene. Kravene til IKT-sikkerhet skal så langt det er praktisk mulig være målbare. Oppfyllelse av kravene til informasjonssikkerhet for personopplysninger etter forskrift av nr 1265 til personopplysningsloven skal anses som oppfyllelse av kravene i paragrafen her. "Hus på høyden" har bestemt disse tiltakene for å ivareta sikkerheten: IKT-ansvarlig skal defineres som administrator på alle arbeidsstasjoner. Andre ansatte skal defineres som lokal bruker på sin maskin. Arbeidsstasjonene skal konfigureres til å låses etter femten minutter når maskinene ikke brukes. Arbeidsstasjonene skal konfigureres slik at bruker må bytte passord på PC-ene minimum hver 3. måned. Meglersystemet skal konfigureres slik at bruker må bytte passord for tilgang hver 3. måned. Når en ansatt slutter, skal IKT-ansvarlig fjerne tilgangen til Nettbank Bedrift og slette brukernavn og passord til Meglersystemet for den som slutter. Det skal installeres antivirus-programvare på alle PC-er. Arbeidsstasjonene og filserveren skal være konfigurert slik at oppdateringer av antivirus-programvare skjer automatisk. Det skal installeres antispion-programvare på alle maskiner. Det er satt opp en router med brannmurprogramvare som beskyttelse mellom det lokale nettverket og Internett. Arbeidsstasjonene skal være konfigurert slik at oppdatering og annet vedlikehold av operativsystemet skjer automatisk. Det er installert tyverialarm i lokalene. Der ikke annet er nevnt, er det IKT-ansvarlig som er ansvarlig for at tiltakene blir gjennomført. Kredittilsynet v Side 11 av 19

12 Kapittel 5: Endringshåndtering, anskaffelse og installasjon Ref. IKT-forskriftens 6 Utvikling og anskaffelse og 9 Avviks- og Endringshåndtering 6 Utvikling og anskaffelse Foretaket skal ha skriftlige prosedyrer for anskaffelse, utvikling, videreutvikling og testing av IKT-systemer. IKTsystemene skal ikke settes i ordinær drift før ansvarlig har godkjent dette. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. Endringshåndtering "Hus på høyden" definerer endringer og endringshåndtering i IKT-virksomheten som a) å ta i bruk ny maskinvare eller lisensiert programvare b) håndtere nye versjoner eller feilrettinger av maskinvare eller lisensiert programvare. Ønsker om endringer i funksjonalitet i Meglersystemet kan IKT-ansvarlig melde til foretakets kontaktperson hos leverandøren. Foretaket er for lite til å delta i brukerforumet som er opprettett i tilknytning til Meglersystemet. Dersom antall lisenser til Meglersystemet øker til mer enn 5, vil foretaket søke om å få delta i brukerforumet. Anskaffelse "Hus på høyden" har laget en inventarliste som inneholder informasjon om alt utstyr knyttet til IKT-virksomheten. Lista er delt i tre med en del for maskinvare, en del for programvare og en del for lisenser. For hvert registrert objekt skal det angis status for om maskin- eller programvaren er i bruk eller er utrangert. Det inngår i IKT-ansvarlig sin arbeidsinstruks å holde inventarlista oppdatert. Installasjon og godkjenning Før foretaket tar i bruk ny maskin eller programvare eller nye versjoner av eksisterende maskin eller programvare, skal IKT-ansvarlig teste systemet. Ved større endringer som for eksempel introduksjon av ny funksjonalitet, skal det opprettes et eget dokument som viser resultatet av testen. Både ny maskin-/programvare og nye versjoner av eksisterende systemer skal registreres i inventarlista. Etter gjennomført og godkjent test, skal IKT-ansvarlig kvittere ut i Kredittilsynet v Side 12 av 19

13 inventarlista at systemet etableres i produksjon. I de tilfellene det er laget et eget testdokument, skal det legges inn en lenke til dette fra inventarlista. Hvis nye versjoner av Meglersystemet medfører endringer i konfigurasjonen av systemet, skal dokumentasjonen av installasjonsparametrene oppdateres og lagres i bankboks som del av katastrofeløsningen. IKT-ansvarlig skal legge til rette for at de andre ansatte får den nødvendige opplæringen i forbindelse med endringer i maskin eller programvare. Se eksempel på inventarliste på neste side. Kredittilsynet v Side 13 av 19

14 Inventarlista Kredittilsynet v Side 14 av 19

15 Kapittel 6: Systemvedlikehold og drift Ref. IKT-forskriftens 7 Systemvedlikehold, 8 Drift og 9 Avviks- og endringshåndtering 7 Systemvedlikehold Foretaket skal sikre at IKT-systemene vedlikeholdes og forvaltes på en måte som gir en stabil, planlagt og forutsigbar drift. Det skal foreligge dokumenterte prosedyrer for systemvedlikeholdet. 8 Drift Driften av IKT-virksomheten skal være basert på dokumenterte prosedyrer, som sikrer fullstendig, rettidig og korrekt dataproduksjon, behandling og oppbevaring av produksjonsdata samt tilgjengelighet av IKT-systemene. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. IKT-ansvarlig har ansvar for daglig backup av data til DVD som lagres i brannsikkert skap og ukentlig backup av data til DVD som lagres i bankboks. Det vises til oppsatt plan med detaljert liste over filer og programvare som omfattes av daglige og ukentlige backup- rutiner. IKT-ansvarlig har ansvar for daglig kontroll av virusdeteksjon. Alle driftsrutiner skal daglig kvitteres ut i driftsrapporten med signaturen til den som har utført jobben. I IKT-ansvarligs fravær er det den IKT-ansvarlig har utpekt som stedfortreder, som skal utføre kontrollen. Eventuelle avvik i driftsrutinene overføres til Avviksrapporten. Se utsnitt fra inneværende års driftsrapport på neste side. Kredittilsynet v Side 15 av 19

16 Driftsrapport Kredittilsynet v Side 16 av 19

17 Kapittel 7: Kontinuitet og beredskap Ref. IKT-forskriftens 10 Krav til kontinuitet og 11 Driftsavbrudd og katastrofeberedskap 10 Krav til kontinuitet Foretaket skal ha en oppdatert kontinuitetsplan. Foretaket skal etablere en prosedyre for kontinuitet hvor roller, ansvarsoppgaver og risiko defineres. Foretaket skal med bakgrunn i risikoanalyse, jf. 3, definere IKT-systemer av betydning for foretakets virksomhet som skal dekkes av kontinuitetsplanen. Kontinuitetsplanen skal blant annet inneholde -identifisering og vurdering av enkeltelementer som kan svikte og iverksette tiltak -klare kriterier for oppstart av reserveløsningen -gjenopprettingsprosedyrer -informasjon til ledelse, ansatte, eventuelt kunder og leverandører. Det skal gjennomføres opplæring, øvelse og testing av reserveløsningene i et omfang som gir trygghet for at reserveløsningene fungerer tilfredstillende. Testene skal dokumenteres slik at gjennomføring og resultat kan vurderes i ettertid. 11 Driftsavbrudd og katastrofeberedskap Foretaket skal ha en dokumentert katastrofeplan som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av en katastrofe. Med katastrofe menes hendelser som forårsaker driftsavbrudd slik at foretakets IKT-drift ikke kan fortsette med normalt tilgjengelige ressurser. Katastrofeplanen skal minst omfatte -oversikt over IKT-systemer som inngår i katastrofeplanen -beskrivelse av katastrofeløsningen -klare kriterier for oppstart av katastrofeløsningen -akseptabel lengde på et driftsavbrudd før katastrofeløsningen iverksettes -prosedyrer som inneholder de nødvendige aktiviteter for å gjenopprette IKT-driften -oversikt over ansvarsforhold og prosedyrer ved oppstart av katastrofeløsningen -informasjon til berørte ansatte, leverandører, kunder, offentlige myndigheter og media. Det skal minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. Resultatet av testen skal dokumenteres slik at det er mulig å kontrollere. "Hus på høyden" har veldefinerte prosedyrer for IKT-virksomheten, inkludert et sett med sikkerhetsregler, og vurderer dette som ledd i å sikre kontinuitet i IKT-virksomheten. Vi skriver rutinemessig ut alle prospekt, bud og salg på papir ved dagens slutt. Dette oppbevares i brannsikkert skap sammen med daglig backup av data på DVD. Dette reduserer konsekvensene ved midlertidig brudd på tilgjengeligheten til datasystemet. "Hus på høyden" vurderer bortfall av IKT-støtten i et tidsrom på mer enn tre arbeidsdager til å være kritisk. IKT-ansvarlig har ansvar for at dokumentasjon av konfigurasjon/installasjonsparametere for Meglersystemet oppbevares i bankboks sammen med ukentlig backup av data på DVD. Avtalen med leverandøren av Meglersystemet innbefatter support til installasjon av systemet basert på dette materialet, på en innleid arbeidsstasjon. "Hus på høyden" har Kredittilsynet v Side 17 av 19

18 vurdert dette til å være tilstrekkelig sikring i tilfelle det oppstår en katastrofesituasjon som gjør lokaler og maskinpark utilgjengelig. IKT-forskriften stiller krav til at det skal gjøres en årlig test av at katastrofeløsningen virker som forutsatt. I samarbeid med leverandøren av Meglersystemet ble det gjort test av installering av systemet basert på installasjonsdokumentasjonen og data på DVD: Dato Installasjonsresultat Kommentar Signatur OK GGG Kredittilsynet v Side 18 av 19

19 Kapittel 8: Dokumentasjon Ref. IKT-forskriftens 13 Dokumentasjon 13 Dokumentasjon Det skal foreligge en samlet oppdatert oversikt over organisasjon, utstyr, IKT-systemer og vesentlige forhold i IKTvirksomheten. Det skal foreligge oppdatert dokumentasjon av det enkelte IKT-system som er av betydning for foretakets virksomhet og som dokumenterer at forskriftens krav er oppfylt til enhver tid. "Hus på høyden" har dokumentert IKT-virksomheten gjennom følgende dokumentasjon og planverk: o Håndbok for IKT-virksomheten i "Hus på høyden" (dette dokumentet) o Stillingsinstruks for IKT-ansvarlig o Risikoanalyse o Inventarliste o Avviksrapport o Driftsrapport o Plan for backup o Sjekkliste for konfigurasjon av arbeidsstasjoner o Installasjonsparametere Meglersystemet o Oversikt over brukertilganger Kredittilsynet v Side 19 av 19

VEILEDNING I ETTERLEVELSE AV IKT-FORSKRIFTEN FOR MINDRE SPAREBANKER

VEILEDNING I ETTERLEVELSE AV IKT-FORSKRIFTEN FOR MINDRE SPAREBANKER VEILEDNING I ETTERLEVELSE AV IKT-FORSKRIFTEN FOR MINDRE SPAREBANKER Kredittilsynet Side 1 av 35 INNLEDNING Høsten 2006 laget Kredittilsynet en veiledning i etterlevelse av IKT-forskriften spesielt rettet

Detaljer

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Evalueringsskjema Foretakets nettbankvirksomhet Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema

Detaljer

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn Har du kontroll med din databehandler? En utro elsker Annikken Seip Seniorrådgiver IT-tilsyn DIFI 1.9 2011 Det jeg skal snakke om Tilsyn etter 5, 3 og 12/ regelverk Vi har regelverk som påpeker kontroll

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT) Risiko- og sårbarhetsanalyse (ROS) 2003 knyttet til finansforetakenes bruk av Informasjons- og Kommunikasjonsteknologi (IKT) Kredittilsynet, 20. november 2003 Side 2 Risiko- og sårbarhetsanalyse (ROS)

Detaljer

www.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011

www.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011 www.pwc.no Utfordringer innen IKTområdet 20. september 2011 Innhold 1. Risiko i betalingsformidling 2. Kontinuitetsplaner 3. Bankenes ansvar ved utkontraktering 4. Oppsummering 2 Risiko i betalingsformidling

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Revisjon av IKT-området i en mindre bank

Revisjon av IKT-området i en mindre bank Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens

Detaljer

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og Høringsnotat og forskriftsforslag DATO: 16.06.2015 1. Innledning Etter finanstilsynsloven er det

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør Skytjenester regler, sårbarheter, tiltak i finanssektoren v/ Atle Dingsør Skytjenester regler, risiko, tiltak Skytjenester regler, risiko, tiltak Atle Dingsør, Tilsynsrådgiver, seksjon for tilsyn med IT

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Lovgivningens krav til sikkerhet ved outsourcing - offshoring Lovgivningens krav til sikkerhet ved outsourcing - offshoring Advokat Arve Føyen FØYEN Advokatfirma DA Introduksjon Et konglomerat av lovgivning stiller rammer for outsourcing og offshoring av IKT tjenester

Detaljer

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi

Detaljer

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Revidert 05.02.09 PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Til foresatte og elever som har fått vedtak om pc som hjelpemiddel Når dere nå skal velge en pc

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no Arkiv og lagring i skyen Rettslige skranker Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no Hvorfor arkiv / lagring i skyen? Gammel teknologi - dyr å vedlikeholde/drifte Brukergrensesnitt Vanskelig

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Bilag 6 Vedlegg 3 Definisjoner

Bilag 6 Vedlegg 3 Definisjoner Bilag 6 Vedlegg 3 Definisjoner Saksnummer 13/00203 1 / 7 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 0.1 16.05.2013 Difi Dokument distribuert til tilbydere 02. 01.11.2013 Difi Ny definisjon

Detaljer

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo Rundskriv Økte krav til bankene i lys av driftsproblemene i påsken 2011 RUNDSKRIV: 20/2011 DATO: 15.06.2011 RUNDSKRIVET GJELDER FOR: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo 1 Innledning Finanstilsynet

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn Fellesrapport Tilsyn med regnskapsførerselskaper som utfører regnskapstjenester for foretak av allmenn interesse Tematilsyn 2014 DATO: 15. juni 2015 NUMMER: 14/8978 m.fl. Seksjon/avdeling: Revisjon og

Detaljer

Opus Dental 7.1 Oppdateringsveiledning

Opus Dental 7.1 Oppdateringsveiledning Opus Dental 7.1 Oppdateringsveiledning Innhold Innledning... 1 Før installasjon... 2 Installasjon... 3 Last ned installasjonsfilen for Opus Dental... 3 Start installasjonen... 4 Oppdatering av databasen....

Detaljer

Installasjonsveiledning Visma Avendo, versjon 5.2

Installasjonsveiledning Visma Avendo, versjon 5.2 Installasjonsveiledning Visma Avendo, versjon 5.2 April 2011 Innhold Innledning... 1 Administrator... 1 Sikkerhetskopi... 1 Testfirmaet... 1 Før du starter installasjonen/oppgraderingen... 2 Nedlasting...

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) 25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen

Detaljer

Regional IKT-beredskapsplan

Regional IKT-beredskapsplan Regional IKT-beredskapsplan Dette dokumentet erstatter etter at det er godkjent nåværende vedlegg 4 i Regional beredskapsplan for Helse Sør-Øst, og inngår således som en delplan til den regionale beredskapsplanen

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Rapporteringsskjema for kryptoinstallasjon

Rapporteringsskjema for kryptoinstallasjon Rapporteringsskjema for kryptoinstallasjon Opplysningene i denne rapporten inngår i grunnlaget for NSMs godkjenning av bruk av kryptoutstyr og kryptosystemer, og kryptosikkerheten i den enkelte virksomhet

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014

2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014 CIM-seminar for kommunale beredskapsmedarbeidarar 2014 One Voice AS 27 ansatte 100% norskeid selskap etablert i 2006 Ansatte er sikkerhetsklarert på nivå hemmelig Eget beredskapsplanverk og beredskapsorganisasjon

Detaljer

Installasjonsdokument

Installasjonsdokument Installasjonsdokument EuroMek Versjon 2 INNHOLDSFORTEGNELSE 1. OM DOKUMENTET 2. BESKRIVELSE AV SYSTEMET 3. INSTALLASJON AV EUROMEK 4. INSTALLASJON AV KLIENTPROGRAMVARE 1. Om dokumentet 1.1. Formål Dokumentets

Detaljer

Veiledning til IKT- forskriftens 5 "Sikkerhet" August 2013

Veiledning til IKT- forskriftens 5 Sikkerhet August 2013 Veiledning til IKTforskriftens 5 "Sikkerhet" August 2013 2 Finanstilsynet Innhold 1 Innledning 4 2 Forskriftsmessige krav til sikkerhet i IKT-systemene 5 3 Berørte områder av IKT-virksomheten 5 4 Etterlevelse

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Installasjonsveiledning

Installasjonsveiledning Installasjonsveiledning Visma Avendo, versjon 5.2 April 2011 Innhold Innledning... 1 Administrator... 1 Sikkerhetskopi... 1 Testfirmaet... 1 Før du starter installasjonen/oppgraderingen... 2 Nedlasting...

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Pressebriefing 12. april 2012. Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Pressebriefing 12. april 2012. Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi Pressebriefing 12. april 2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi Seksjonssjef Frank Robert Berg Risikobildet og trusselutviklingen (ROS-analysen

Detaljer

Regional IKT beredskapsplan

Regional IKT beredskapsplan Regional IKT beredskapsplan Dette dokumentet erstatter etter at det er godkjent nåværende vedlegg 4 i Regional beredskapsplan for Helse Sør Øst, og inngår således som en delplan til den regionale beredskapsplanen

Detaljer

«Plattformprosjekt skole» - pedagogisk nett

«Plattformprosjekt skole» - pedagogisk nett -Ein tydeleg medspelar «Plattformprosjekt skole» - pedagogisk nett IT-seksjonen Agenda Hensikten med plattformprosjektet Drift av løsningen Teknologiske valg Framdriftsplan Opplæring Hva betyr plattformprosjektet

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

EKSEMPEL STYRINGSMÅL: Våre pasienter skal ha tilgang til diagnostisering, behandling og omsorg av høy kvalitet.

EKSEMPEL STYRINGSMÅL: Våre pasienter skal ha tilgang til diagnostisering, behandling og omsorg av høy kvalitet. EKSEMPEL STYRINGSMÅL: Våre pasienter skal ha tilgang til diagnostisering, behandling og omsorg av høy kvalitet. Delmål 1 Alle ansatte i helseforetakene skal enkelt ha tilgang til nødvendige retningslinjer

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Leverandørtilganger. Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014. Sykehuspartner

Leverandørtilganger. Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014. Sykehuspartner Leverandørtilganger Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014 Sykehuspartner Agenda Hvem og hva er Sykehuspartner Leverandørtilgang Leverandørtilgang i praksis Hvem og hva er Sykehuspartner?

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Installasjonsveiledning

Installasjonsveiledning Installasjonsveiledning Visma Avendo, versjon 5.2 April 2011 Innhold Innledning... 1 Administrator... 1 Sikkerhetskopi... 1 Testfirmaet... 1 Før du starter installasjonen/oppgraderingen... 2 Installasjon/oppgradering...

Detaljer

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Retningslinjer for ansattes bruk av IKT-tjenester RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Vedlagt vil du finne Retningslinjer for ansattes bruk av IKT-tjenester. Retningslinjer for

Detaljer

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005 Sikkert som banken? Hva IT-tilsyn er godt for Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005 Det jeg skal snakke om Kredittilsynet og IT-tilsyn Hva vi fører tilsyn med, hensikt Tilsynsmetoder,

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Bestemmelser tilknyttet elektronisk samarbeid med Vinmonopolet

Bestemmelser tilknyttet elektronisk samarbeid med Vinmonopolet Bestemmelser tilknyttet elektronisk samarbeid med Vinmonopolet Versjon 1.1 Innhold 1 Innledning... 3 2 Parter... 3 3 Vinmonopolets Leverandørportal... 3 Omfang og formål... 3 Modulene i Leverandørportalen...

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

IKT-servicefaget. o Direktemelding: Skype/MSN etc. o IP-telefoni. o Nye former. Fillagring. Brukerstøtte/helpdesk. Utskriftstjenester

IKT-servicefaget. o Direktemelding: Skype/MSN etc. o IP-telefoni. o Nye former. Fillagring. Brukerstøtte/helpdesk. Utskriftstjenester IKT-servicefaget Systemdrift og systemovervåking Hovedområdet omfatter systemdrift i henhold til avtaler om leveranse av IKTtjenester og gjeldende regelverk for helse, miljø og sikkerhet. Oppsett av arbeidsplass

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Handlingsplan - IKT-strategi for Rogaland fylkeskommune 2011 2014

Handlingsplan - IKT-strategi for Rogaland fylkeskommune 2011 2014 1 Innovasjon 1 Innovasjonsforum Etablere et internt innovasjonsforum som skal arbeide for å skape verdier for RFK ved å ta i bruk ny IKT-teknologi/nye IKT-systemer og nye metoder for å gjennomføre endringer

Detaljer

Installasjonsveiledning

Installasjonsveiledning Installasjonsveiledning Visma Avendo, versjon 4.2 Oktober 2008 Innledning Denne installasjonsveiledningen gjelder for programmene Visma Avendo Økonomi 40, Visma Avendo Økonomi 60 og Visma Avendo Fakturering.

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

F-Secure Mobile Security for Windows Mobile

F-Secure Mobile Security for Windows Mobile F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013:

Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013: Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Nils B. Normann, 75 51 29 00 Bodø, 17.4.2015 Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013: Revisjon av tverrgående prosesser

Detaljer

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Finanstilsynet Postboks 1187 Sentrum 0107 Oslo Dato: 10.09.2015 Vår ref.: 15-1041 Deres ref.: 15/5816 Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons-

Detaljer

Den grafiske løsningen for dine vaktrunder, brannrunder, HMS runder, inspeksjonsrunder og vedlikeholdsoppgaver

Den grafiske løsningen for dine vaktrunder, brannrunder, HMS runder, inspeksjonsrunder og vedlikeholdsoppgaver Guard Tour System Den grafiske løsningen for dine vaktrunder, brannrunder, HMS runder, inspeksjonsrunder og vedlikeholdsoppgaver Introduksjon. Dokumentasjon av utførte vakt-, kontroll-, og brannrunder

Detaljer

Enkel installasjonsveiledning

Enkel installasjonsveiledning // Mamut Business Software Enkel installasjonsveiledning 1 Introduksjon Dette heftet er laget for å veilede deg gjennom installasjon og førstegangs oppstart av Mamut Business Software, slik at denne blir

Detaljer

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Lokal Node (VPN)

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Lokal Node (VPN) PRODUKTBESKRIVELSE INFRASTRUKTUR Lokal Node (VPN) Versjon 3.0 11/10/04 Nasjonal referansedatabase AS 14/10/04 Page 1 of 11 Innholdsfortegnelse 1 INNLEDNING...3 1.1 NUMMERPORTABILITET...3 1.2 VIDERESALG

Detaljer

)DVW3ODQ,QVWDOOHULQJ $%% $6 'LYLVMRQ $XWRPDVMRQVSURGXNWHU ΑΒΒ 3RVWERNV 6NLHQ

)DVW3ODQ,QVWDOOHULQJ $%% $6 'LYLVMRQ $XWRPDVMRQVSURGXNWHU ΑΒΒ 3RVWERNV 6NLHQ )DVW3ODQ,QVWDOOHULQJ $6 'LYLVMRQ $XWRPDVMRQVSURGXNWHU 3RVWERNV 6NLHQ ΑΒΒ ,QQOHGQLQJ FastPlan er laget for å kunne brukes på PCer med Windows 95/98/2000 og NT operativsystem. FastPlan er tenkt som et verktøy

Detaljer

Mamut Enterprise Travel CRM

Mamut Enterprise Travel CRM Mamut Enterprise Travel CRM Tilleggsproduktet Mamut Enterprise Travel CRM gir deg muligheten til å ta med deg arbeidet på en bærbar datamaskin ut av kontoret. Du arbeider da på en kopi av den sentrale

Detaljer

En filserver på Internett tilgjengelig når som helst, hvor som helst. Enkelt, trygt og rimelig

En filserver på Internett tilgjengelig når som helst, hvor som helst. Enkelt, trygt og rimelig En filserver på Internett tilgjengelig når som helst, hvor som helst Enkelt, trygt og rimelig Endelig en filserver på Internett Tornado File Server er en filserver som er tilgjengelig over Internett, slik

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Risikovurdering av elektriske anlegg

Risikovurdering av elektriske anlegg Risikovurdering av elektriske anlegg NEK Elsikkerhetskonferanse : 9 november 2011 NK 64 AG risiko Fel 16 Hvordan gjør de det? Definisjon av fare Handling eller forhold som kan føre til en uønsket hendelse

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Søknad om sertifisering

Søknad om sertifisering Søknad om sertifisering Jf. forskrift om eksport av forsvarsmateriell, flerbruksvarer, teknologi og tjenester av 14. mai 2013. Alle spørsmål skal besvares. PDF-versjon av søknadsskjemaet sendes lisens@mfa.no.

Detaljer

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13 Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 Forslag til vedtak: Styret tar IKT-strategi for perioden 2013 2016 til orientering. Vedlegg: Saksfremlegg

Detaljer

INSTALLASJON OG SUPPORT FRA TIMEKIOSK AS

INSTALLASJON OG SUPPORT FRA TIMEKIOSK AS INSTALLASJON OG SUPPORT FRA TIMEKIOSK AS Gyldig fra: 01.06.2012 Versjon: 2.10 Introduksjon Timekiosk Installasjon og oppstartstjenester vil hjelpe deg i å komme i gang med ditt Timekiosk system. Installasjonstjenestene

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Endepunktsikkerhet Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets sluttpunktsikkerhet Antivirus

Detaljer

Rutiner for rapportering av bygningsmessige endringer, avvik og uønskede hendelser i Espira Barnehager

Rutiner for rapportering av bygningsmessige endringer, avvik og uønskede hendelser i Espira Barnehager Rutiner for rapportering av bygningsmessige endringer, avvik og uønskede hendelser i Espira Barnehager side 1 av 6 Innhold 1 Innledning... 2 2 Bygningsmessige utbedringer... 3 2.1 Formål... 3 2.2 Hva skal

Detaljer

Hvordan velge en leverandør for cloud backup

Hvordan velge en leverandør for cloud backup Hvordan velge en leverandør for cloud backup WHITEPAPER Hvorfor bør du beskytte dine data? Før eller senere via skade, uhell eller feil er det statistisk sannsynlig at du vil miste verdifull data. Flere

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT. Stig.ulstein@kredittilsynet.no

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT. Stig.ulstein@kredittilsynet.no F1 Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT Stig.ulstein@kredittilsynet.no Lysbilde 1 F1 FRB 12.10.2005 Disposisjon 1. Hva er hensikten med ROS-analysen? 2.

Detaljer

Teknisk kontrollorgan. SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT

Teknisk kontrollorgan. SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT statens jernbanetilsyn ;ernoa', : :;,3,1,-,Æ,,E; Teknisk kontrollorgan SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT Rapport nr. 2012-30 Teknisk kontrollorgan SINTEF IKT, Senter for jernbanesertifisering

Detaljer

BRUKERMANUAL. Telsys Online Backup

BRUKERMANUAL. Telsys Online Backup BRUKERMANUAL Telsys Online Backup TELSYS AS - 06.08.2009 Innhold Generelt... 3 Kom i gang... 4 Installasjon av Telsys Online Backup Proff/Standard... 4 Start opp klienten for første gang!... 10 Logg inn...

Detaljer

Typegodkjenning av. radioterminaler

Typegodkjenning av. radioterminaler Typegodkjenning av radioterminaler Prosedyrer og regelverk Versjon 4, 16.10.2015 Side 1 av 7 Innholdsfortegnelse 1. Typegodkjenningens hensikt... 3 2. Gjennomføring av typegodkjenning... 3 2.1. Sikkerhetsmessige

Detaljer

Brukerveiledning Mobilsynkronisering HTC HD2

Brukerveiledning Mobilsynkronisering HTC HD2 Brukerveiledning Mobilsynkronisering HTC HD2 Servicedeklarasjon Drift-, overvåkning og brukerstøtte for mobilsynkronisering Målsetting med tjenesten Tilby mobilsynkronisering til ansatte som har sikkerhetsgodkjent

Detaljer

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001?

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Skal du etablere et styringssystem for ytre miljø, men ikke vet hvor du skal starte? Forslaget nedenfor er forslag til hvordan du

Detaljer

Oppbevaring og sletting av kundeopplysninger. Complianceseminar VFF 1. september 2015 Cecilie Kvalheim

Oppbevaring og sletting av kundeopplysninger. Complianceseminar VFF 1. september 2015 Cecilie Kvalheim Oppbevaring og sletting av kundeopplysninger Complianceseminar VFF 1. september 2015 Cecilie Kvalheim 1 Hvem og hva snakker vi om? Fondsforvaltningsselskaper samt AIF-forvaltere Med og uten konsesjon til

Detaljer

Risiko- og sårbarhetsanalyse (ROS) 2005

Risiko- og sårbarhetsanalyse (ROS) 2005 Risiko- og sårbarhetsanalyse (ROS) 2005 Rapport om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT), 24. mai 2006 1 Innhold 1. Innledning 3 2. Bakgrunn og formål 4 3. Utviklingstrekk

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

Forventninger til HMS-system og etterlevelse

Forventninger til HMS-system og etterlevelse Forventninger til HMS-system og etterlevelse Punktene som er listet i det følgende beskriver Statnetts forventninger til leverandørers HMS-system og etterlevelse av dette, i tilknytning til Statnetts prosjekter.

Detaljer

Huldt & Lillevik Ansattportal 2011-03-22. Ansattportal. Versjon 3.3.22

Huldt & Lillevik Ansattportal 2011-03-22. Ansattportal. Versjon 3.3.22 Ansattportal Versjon 3.3.22 Innhold 1 Oppdatere til 3.3.22... 2 2 Definere lenker... 5 3 Registrere informasjon om pårørende... 6 4 Bestille nytt passord... 6 5 Andre endringer... 7 5.1 Logging og kontroll

Detaljer