Policy. for. informasjonssikkerhet. ved NMBU

Størrelse: px
Begynne med side:

Download "Policy. for. informasjonssikkerhet. ved NMBU"

Transkript

1 Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014

2 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING Bakgrunn Hjemmelsgrunnlag DOKUMENTSTRUKTUR I INFORMASJONSSIKKERHETSPOLICYEN FORMELL TILKNYTNING BEGREPER OG DEFINISJONER... 2 STYRINGSDOKUMENT 1: POLICY FOR INFORMASJONSSIKKERHET 1 INTERNKONTROLL OG PERSONOPPLYSNINGER Rutine for registrering og oversikt over personopplysninger, POF Oversikt over personopplysninger Overordnet begrunnelse for behandling av personopplysninger Krav og plikter som følge av behandling... 1 STYRINGSDOKUMENT 2: SIKKERHETSREVISJON LEDELSENS GJENNOMGANG 1 OM SIKKERHETSREVISJON Formål Ansvarsforhold UTFØRELSE Revisjon Sikkerhetsmål Gjennomgang av avvik og hendelser Forbedringstiltak Oppfølging RAPPORT... 2 STYRINGSDOKUMENT 3: MÅL OG STRATEGI FOR INFORMASJONSSIKKERHET 1 INNLEDNING SIKKERHETSMÅL SIKKERHETSSTRATEGI Organisering av sikkerheten Roller og ansvarsområder Organisering Kontrakter med leverandører av informasjonssystemtjenester Egenkontroll Risikostyring Risikovurdering Personell og sikkerhet IKT-reglement Generell taushetserklæring for fortrolig informasjon... 3 Informasjonssikkerhet for NMBU ver Generelt - Side 1 av 2

3 3.3.3 Kompetanse i informasjonssikkerhet Konsekvenser ved sikkerhetsbrudd Dokumentsikkerhet - Klassifisering og kontroll av informasjon og informasjonssystemer Fysisk sikkerhet Sikkerhetsområder Tilgangskontroll Autorisasjon av brukere og roller Autentiseringsprinsipper for brukere Brukeradministrering i informasjonssystemer Kontroll med nettverkstilgang Kommunikasjon og bærbare enheter Skytjenester og sosiale medier Systemteknisk sikkerhet Nødvendig sikkerhetsnivå høy, middels, lav Retningslinjer for systemteknisk sikkerhet OPPFØLGING OG KONTROLL Konfigurasjonskontroll Endringskontroll Hendelseshåndtering Beredskap... 7 STYRINGSDOKUMENT 4: NMBUS SIKKERHETSORGANISASJON 1 ROLLER OG ANSVARSOMRÅDER ORGANISASJON FOR INFORMASJONSSIKKERHET... 1 Informasjonssikkerhet for NMBU ver Generelt - Side 2 av 2

4 NMBUs policy for informasjonssikkerhet - generelt 1 Innledning 1.1 Bakgrunn Informasjonsbehandling og informasjonssikkerhet er kritisk for NMBUs virksomhet innenfor utdanning, forskning, formidling og forvaltning. Systemer og infrastruktur for behandling av informasjon skal være pålitelige i bruk og sikre at tilgangen til informasjon følger NMBUs regler. NMBU behandler personopplysninger i forhold til ansatte, studenter og andre som har relasjoner til NMBUs virksomhet. Grunnleggende personvernhensyn skal være førende for all behandling av slike opplysninger og behandlingen skal være lovlig, sikker og skje med tilfredsstillende beskyttelse. Foreliggende policy dokumenterer de systematiske tiltak som NMBU har innført for å sikre at lover og tilhørende regelverk er kjent og følges. 1.2 Hjemmelsgrunnlag Behandling og beskyttelse av personopplysninger og NMBUs informasjonssystemer skal skje i samsvar med lovpålagte bestemmelser. Personopplysningsloven (POL) med forskrift (POF) stiller krav til NMBUs behandling av personopplysninger. Foreliggende dokument er utarbeidet i henhold til de krav som er stilt i personopplysningslovens 13 og 14, jf personopplysningsforskriftens kap2, 2-1 flg. Også metoder fra internasjonale standarder for informasjonssikkerhet er lagt til grunn for utarbeidelsen av policyen. (ISO/IEC 27001: Information technology Security techniques Information security management systems Requirements / ISO/IEC 27002: Information technology Security techniques Code of practice for information security management ). Kunnskapsdepartementet har fra og med 2013 lagt spesielt vekt på informasjonssikkerhet i sitt tildelingsbrev til UH-institusjonene. 2 Dokumentstruktur i informasjonssikkerhetspolicyen POL 13 stiller krav om at internkontrollsystemet skal dokumenteres. NMBU har inndelt dokumentasjonen av systemet i tre emner: Styrende dokumentasjon: Dokumentasjonen gir uttrykk for ledelsens styring av sikkerhetsområdet, herunder valgte sikkerhetsmål, sikkerhetsstrategier, NMBUs sikkerhetsorganisasjon samt kvalitetsprosesser for internkontrollsystemet. Dokumentasjonen skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser NMBU står overfor. Gjennomførende dokumentasjon: Utgjør brukertilpassede sikkerhetsrutiner og tiltak, maler og metoder for daglig drift. Gjennomførende dokumentasjon er delt i følgende kategorier: Retningslinjer Oversikter og deskriptiv dokumentasjon av NMBUs informasjonssystemer Prosedyredokumenter Ulike maler/ skjema Informasjonssikkerhet for NMBU ver Generelt - Side 1 av 2

5 Kontrollerende dokumentasjon: Utgjør rutiner for oppfølging, korrigering og forbedring av internkontroll og informasjonssikkerhet. Den styrende dokumentasjonen ligger i denne dokumentsamlingen, mens gjennomførende dokumenter og kontrollerende dokumenter ligger i NMBUs internkontrollsystem på internkontroll.nmbu.no. 3 Formell tilknytning Foreliggende policy er godkjent av Fellesstyret for NVH og UMB den og trer i kraft fra I tråd med de krav som stilles i POL 13 vil informasjonssikkerhetspolicyen bli implementert ut i linjen slik at alle medarbeidere gjøres kjent med NMBUs sikkerhetssystem, roller og ansvar. 4 Begreper og definisjoner Behandlingsansvarlig Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, POL 2 nr. 4. Informasjonssikkerhet Informasjonssystem Personopplysning og Sensitiv personopplysning (SPO): Sikkerhetsansvarlig (CSO) Sikkerhetsorganisasjon Systemansvarlig Systemeier Iverksettelse av tiltak for å skape et tilfredsstillende sikkerhetsnivå for beskyttelse av informasjonsverdier, for eksempel personopplysninger. Beskyttelse av informasjonens tilgjengelighet, integritet og konfidensialitet. Elektronisk eller papirbasert system for lagring og behandling av informasjon. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson for eksempel navn, adresseinformasjon, lønn, referanseuttalelser, oppgavebesvarelser mv., jf. POL 2 nr. 1. SPO er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, medlemskap i fagforeninger, jf. POL 2 nr. 8. Chief Security Officer Overordnet sikkerhetsansvarlig ved NMBU. Overordnet ansvarlig for all sikkerhet ved NMBU, herunder informasjonssikkerhet og det ansvar som tillegges behandlingsansvarlig iht POL. Dokumentert beskrivelse av ansvars- og myndighetsforhold for bruk og drift av informasjonssystemet samt ansvar - og myndighetsforhold i forbindelse med oppfølging av sikkerhetsarbeidet (sikkerhetsledelse), jf. POF 2-7. Overordnet teknisk ansvarlig for forvaltningen av et informasjonssystem etter fullmakt fra systemeier. Den som har det formelle ansvaret for et informasjonssystem, herunder ivaretakelse av sikkerheten. Informasjonssikkerhet for NMBU ver Generelt - Side 2 av 2

6 Styringsdokument 1: Policy for informasjonssikkerhet 1 Internkontroll og personopplysninger 1.1 Rutine for registrering og oversikt over personopplysninger, POF 2-4 Formålet med kartlegging og beskrivelse av de personopplysninger som behandles ved NMBU er å få en totaloversikt for hele virksomheten slik at NMBU på en best mulig måte skal være i stand til å ivareta sine plikter iht gjeldende lovverk. Oversikten danner grunnlag for ledelsens utarbeidelse av sikkerhetsmål og sikkerhetsstrategi og er grunnlaget for risikovurderinger. Kartleggingen skal gjøres iht følgende rutine: 1. Sikkerhetsansvarlig (CSO) er ansvarlig for at det utarbeides en total oversikt over alle typer personopplysninger som behandles ved NMBU og at ledelsen er kjent med og har tilgang til denne. 2. Oversikten skal gi en kortfattet informasjon om: o hvilke opplysninger som behandles, o formålet med behandlingen, o hjemmelsgrunnlaget for å behandle opplysningene, o klassifikasjon iht sensitivitet, o teknologiske sikkerhetstiltak med angivelse av sone eller nettverk, o lagring og om de overføres via eksterne media, o opplysningenes omfang, o aktuell avdeling som behandler opplysningene, o systemeier og/eller dataeier. 3. Sikkerhetsansvarlig (CSO) skal holde oversikten fortløpende oppdatert ved jevnlig å forespørre de øvrige enhetsledere om å melde inn evt. endringer, minimum kvartalsvis. 4. Sikkerhetsansvarlig (CSO) skal sette en frist for innrapporteringen og rapporteringen skal skje skriftlig. 5. De enkelte enhetsledere har et selvstendig ansvar for å melde til sikkerhetsansvarlig (CSO) dersom det igangsettes behandling av nye typer personopplysninger. 6. Sikkerhetsansvarlig (CSO) skal fremlegge en oppdatert oversikt i forkant av ledelsens årlige gjennomgang. 1.2 Oversikt over personopplysninger Oversikt over personopplysninger som behandles ved NMBU ligger i NMBUs internkontrollsystem. 1.3 Overordnet begrunnelse for behandling av personopplysninger For NMBU er det nødvendig å innhente og lagre informasjon om studentenes obligatoriske oppgaveinnleveringer og andre resultater for å styre undervisningen og gi karakterer. Det er også nødvendig å lagre informasjon om oppnådde karakterer gjennom studiet for å kunne gi vitnemål (POF 7-20). Det er også nødvendig å innhente og lagre personopplysninger om de ansatte(faste og midlertidige) for å utbetale korrekt lønn, registrere arbeidstid og gi oppfølging av den enkelte ved sykefravær (POF 7-16). 1.4 Krav og plikter som følge av behandling Som følge av at NMBU behandler personopplysninger er Universitetet pålagt plikter og krav i henhold til følgende regelverk: Informasjonssikkerhet ved NMBU Ver. 1.0 Styringsdokument 1: Internkontroll - Side 1 av 2

7 Lov om behandling av personopplysninger (personopplysningsloven) Personopplysningsforskriften Lov om arkiv Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven). Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova). Lov om universiteter og høyskoler (universitets- og høyskoleloven). Lov om statens tjenestemenn m.m. (tjenestemannsloven) Informasjonssikkerhet ved NMBU Ver. 1.0 Styringsdokument 1: Internkontroll - Side 2 av 2

8 Styringsdokument 2: Sikkerhetsrevisjon ledelsens gjennomgang 1 Om sikkerhetsrevisjon NMBUs ledelse skal årlig gjennomgå NMBUs internkontroll og styringssystem for informasjonssikkerhet. Sikkerhetsrevisjonen skal utføres i løpet av årets første tre måneder. 1.1 Formål Formålet med den årlige revisjonen er å: Følge opp de fastsatte sikkerhetsmålene Iverksette korrigerende tiltak dersom det er behov for det. Vurdere oppfølging av korrigerende tiltak Endring av mål for prosess Sørge for at internkontroll og styringssystem for informasjonssikkerhet er hensiktsmessige, tilstrekkelig og effektive og at det tilfredsstiller relevante krav i personopplysningsloven og - forskriften. Det er utarbeidet sikkerhetsmål for NMBU, se styringsdokument nr. 3. Med bakgrunn i sikkerhetsmålene skal det utarbeides planer med forbedringstiltak for å nå disse målene. Oppfølging av forbedringstiltak og korrigerende tiltak gjøres ved at resultatene fra egenkontroll og avviksbehandling gjennomgås og sammenlignes med de korrigerende tiltakene. 1.2 Ansvarsforhold Sikkerhetsansvarlig (CSO) ved NMBU tar initiativ til og tilrettelegger for ledelsens årlige gjennomgang av NMBUs internkontroll og styringssystem for informasjonssikkerhet. Det skal i forbindelse med den årlige gjennomgangen fremlegges: En oppdatert oversikt over personopplysninger iht. styringsdokument nr. 1. Samlet oversikt over de alvorligste hendelsene og avvikene som har vært registrert gjennom året. 2 Utførelse 2.1 Revisjon Sikkerhetsrevisjon skal omfatte de elementer som er styrende for informasjonssikkerhet, som: Internkontroll o Vurdere endringer i omfang av dagens internkontroll Sikkerhetsmål og -strategi o Vurdere eventuelle forslag til endringer i sikkerhetsmål og sikkerhetsstrategi, dersom endringene i vesentlig grad har økonomiske eller andre virksomhetsmessige konsekvenser Risiko- og sårbarhetsanalyser o Overordnet ROS-vurdering utføres for NMBUs informasjonssystemer o ROS-vurdering utføres ved ønske om ny funksjonalitet som medfører vesentlige investeringer eller endringer i eksisterende sikkerhetskonsept Virksomhetskritisk informasjon og/eller system Informasjonssikkerhet ved NMBU Ver (2) Sikkerhetsrevisjon - Side 1 av 2

9 o Vurdering av endringer i hvilken informasjon eller hvilke systemer som er virksomhetskritisk for virksomheten 2.2 Sikkerhetsmål De fastsatte sikkerhetsmålene for NMBU skal gjennomgås og vurderes i forhold til resultater og hovedkonklusjoner fra risikoanalyser og egenkontroll og evt. endringer i offentlige sikkerhetskrav, som kan medføre vesentlig endringer for virksomheten. Ledelsen skal også foreta en vurdering av om tilstrekkelige ressurser er tilgjengelige for å ivareta internkontroll og informasjonssikkerhet slik den er lagt opp ved NMBU. 2.3 Gjennomgang av avvik og hendelser En samlet oversikt over de sikkerhetshendelser og avvik som har vært gjennom året skal gjennomgås og behandles. Gjennomgangen skal ha fokus på årsaker til hendelser og avvik i vid forstand og hvordan hendelser og avvik er håndtert. De alvorligste sikkerhetshendelsene bør medføre en grundigere gjennomgang. 2.4 Forbedringstiltak Forbedringstiltak, gjennomføring av tiltak til fastsatte tidspunkter, utarbeides av sikkerhetsansvarlig (CSO) på bakgrunn av oppsatte mål, innen områdene: Organisering av sikkerheten Partnere og leverandører Personell og sikkerhet Fysisk sikkerhet Systemteknisk sikkerhet Dokumentsikkerhet Beredskap Listen er ikke uttømmende. Forbedringstiltakene skal godkjennes av administrerende direktør. 2.5 Oppfølging Sikkerhetsansvarlig (CSO) skal sette opp en oversikt over de vedtatte forbedringstiltak og gi en vurdering av om disse har virket etter sin hensikt. Dette gjøres i forkant av ledelsens årlige gjennomgang. Oppfølging av sikkerhetsmål for å se om de nås og om forbedringstiltak og korrigerende tiltak virker, gjøres blant annet gjennom egenkontroll. En plan for egenkontroll skal utarbeides og dokumenteres i NMBUs informasjonssikkerhetspolicy. 3 Rapport Sikkerhetsansvarlig (CSO) skriver rapport fra ledelsens årlige gjennomgang av NMBUs internkontroll og styringssystem for informasjonssikkerhet. Rapporten skal distribueres til den øvrige ledelsen ved NMBU. Rapporten skal inngå i den årlige rapporteringen om internkontrollen til universitetsstyret. I rapporten skal det tydelig fremgå de avgjørelser og aksjoner som er bestemt og med hvilken begrunnelse. Den øvrige ledelse skal uten ugrunnet opphold gi sikkerhetsansvarlig (CSO) en rask tilbakemelding på referatet dersom dette ikke gjengir avgjørelser og aksjoner på en korrekt måte. Informasjonssikkerhet ved NMBU Ver (2) Sikkerhetsrevisjon - Side 2 av 2

10 Styringsdokument 3: Mål og strategi for informasjonssikkerhet 1 Innledning Mål og strategi for informasjonssikkerhet er NMBUs overordnede styrende dokument for informasjonssikkerhet. Ledelsen ved NMBU har det overordnede ansvaret for all informasjonssikkerhet ved universitetet og har ansvaret for utarbeidelse av mål og strategi for informasjonssikkerhet, utarbeidelse av rutiner samt kontroll med at rutinene følges. Sikkerhetsmålene beskriver ønsket sikkerhetsnivå og sikkerhetsstrategien beskriver de tiltak NMBU gjennomfører for å oppnå sikkerhetsmålene. 2 Sikkerhetsmål Sikkerhetsmålene skal understøtte og sikre virksomhetens drift, allmenne tillit og omdømme i det offentlige rom, ved å forebygge og begrense konsekvensene av uønskede hendelser. Sikkerhetsmålene beskriver NMBUs overordnete mål for beskyttelse av virksomhetens informasjonsbehandling mot interne og eksterne trusler av tilsiktet og utilsiktet art. Følgende sikkerhetsmål er definert: 1. NMBU skal sikre at informasjon behandles iht krav i lover og forskrifter. 2. Informasjonssikkerheten ved NMBU skal ha forankring i ledelsen. 3. Informasjonssikkerheten skal være en integrert del av hele NMBUs virksomhet. 4. Ansvars- og rollebeskrivelser i sikkerhetsarbeidet skal være klart definert og kjent i NMBUs organisasjon. 5. Alle brukere av NMBUs informasjonssystemer skal ha tilstrekkelig kompetanse for å ivareta NMBUs sikkerhetsbehov. 6. Tilgang til informasjonssystemer og informasjon gis kun til medarbeidere etter tjenestlig behov. 7. NMBU skal ivareta hensynet til konfidensialitet og integritet og tilgjengelighet i behandlingen av ansattes, studenters og andre registrerte personopplysninger. 8. NMBU skal ha dokumenterte og utprøvde rutiner og metoder for å håndtere hendelser. 3 Sikkerhetsstrategi 3.1 Organisering av sikkerheten Roller og ansvarsområder Sikkerhetsansvarlig (CSO) Sikkerhetsansvarlig ved NMBU har et overordnet ansvar for informasjonssikkerheten. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Systemeier Alle informasjonssystem skal ha en definert eier. Systemeier er ansvarlig for informasjonssystemet og dets innhold og rapporterer til sikkerhetsansvarlig. Systemeier er ansvarlig for krav til anskaffelse, utvikling og Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 1 av 7

11 vedlikehold av informasjon og relaterte informasjonssystemer i samråd med IT-avdelingen. For hver type informasjon skal systemeier definere hvilke brukere (brukergrupper) som skal ha tilgang til denne, og definere hva som er autorisert bruk av informasjonen. Oversikt over systemer med tilhørende systemeiere skal foreligge som dokument i NMBUs informasjonssikkerhetspolicy Organisering Sikkerhetsorganiseringen med roller og personer skal til enhver tid være beskrevet i styringsdokument 4 Sikkerhetsorganisasjon Kontrakter med leverandører av informasjonssystemtjenester Alle formaliteter mellom NMBU og leverandører skal være formulert i formelle kontrakter (SLA - Service Level Agreement) og skal inkludere relevante sikkerhetskrav. NMBU skal alltid ha rett til innsyn og måling av hvorvidt sikkerhetskrav etterleves av en leverandør Egenkontroll Egenkontroll/måling av sikkerhetsnivå ved NMBU skal utføres regelmessig iht. systematiserte rutiner for risikostyring. Retningslinjer for egenkontroll skal foreligge i NMBUs internkontrollsystem. 3.2 Risikostyring Risikovurdering NMBUs tilnærming til informasjonssikkerhet skal være basert på risikovurderinger. NMBU skal løpende analysere risikoer og derigjennom vurdere behovet for tiltak. Tiltak skal vurderes med hensyn til effektivitet, kostnad og praktisk gjennomførbarhet med utgangspunkt i NMBUs rolle som undervisnings- og forskningsinstitusjon. Prinsipper og rutiner for risikovurderinger skal være dokumentert i NMBUs internkontrollsystem. Det skal gjennomføres en årlig overordnet risikovurdering av NMBUs informasjonssystemer i forbindelse med sikkerhetsrevisjonen (Ledelsens gjennomgang). Risikovurdering skal også utføres ved ønske om ny funksjonalitet som medfører vesentlige investeringer eller endringer som har betydning for informasjonssikkerheten. Overordnede risikovurderinger skal godkjennes av NMBUs ledelse. Risikovurderinger på lavere nivå godkjennes av systemeier for de vurderte informasjonssystem. Ved identifisering av uakseptabel risiko skal det iverksettes tiltak for å redusere risiko til akseptabelt nivå. Risikovurderinger med oppfølging skal som hovedprinsipp gjennomføres på lavest mulig nivå. 3.3 Personell og sikkerhet IKT-reglement IKT-reglementet refererer til NMBUs krav til informasjonssikkerhet og den ansattes ansvar for å oppfylle disse. Alle brukere av NMBUs informasjonssystemer må signere IKT-reglement: Ansatte: signerer sammen med ansettelseskontrakt Studenter: signerer / aksepterer IKT-reglement ved utlevering av brukernavn Andre brukere signerer egen kontrakt. Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 2 av 7

12 3.3.2 Generell taushetserklæring for fortrolig informasjon Alle som skal gis tilgang til fortrolige opplysninger ved NMBU skal underskrive en taushetserklæring. Dette gjelder NMBUs ansatte, studenter og leverandørers ansatte eller andre som måtte komme i kontakt med slik informasjon Kompetanse i informasjonssikkerhet Ansatte hos NMBU skal gjennom opplæring og rutiner oppnå tilstrekkelig kunnskap til å forvalte informasjon og systemer på en sikker måte. Endringer i konfigurasjon av systemer og nettverk skal bare utføres av kvalifisert personell, og etter godkjenning fra NMBU Konsekvenser ved sikkerhetsbrudd Brudd på sikkerhetsreglene beskrevet i sikkerhetsinstrukser, taushetserklæring og eventuell konfidensialitetserklæring kan få følger for ansettelsesforhold/brukertilknytning. 3.4 Dokumentsikkerhet - Klassifisering og kontroll av informasjon og informasjonssystemer Informasjon og infrastruktur skal klassifiseres med hensyn til nødvendig sikkerhetsnivå og tilgangsbegrensning. Informasjon skal klassifiseres i en av tre følgende kategorier for konfidensialitet: Åpen: Intern: All NMBUs informasjon er åpen med mindre den er klassifisert i en av de to øvrige kategoriene. Informasjon som er ment for intern bruk og som kan skade Universitetet eller være upassende at tredjepart får kjennskap til og som kan unntas offentlighet i medhold av Offentleglova. Systemeier avgjør lagrings- og delingsmåte. Fortrolig: Informasjon av fortrolig art, og hvor uautorisert tilgang (også internt) kan medføre betydelig skade for enkeltpersoner, Universitet eller deres interesser. Fortrolig informasjon er her synonymt med forvaltningslovens Unntatt Offentlighet og sensitive personopplysninger iht Personopplysningslovens 2. Slik informasjon skal sikres i Røde områder, ref. kap Hver systemeier gjennomfører risikoanalyser på sine respektive systemer for å kunne klassifisere informasjon ut fra hvor kritisk den er for virksomheten. Sikkerhetsansvarlig (CSO) er ansvarlig for oppfølging i forbindelse med ledelsens gjennomgang. Brukere som forvalter informasjon på NMBUs vegne skal behandle denne i henhold til klassifiseringen. Fortrolige og interne dokumenter skal være tydelig merket. 3.5 Fysisk sikkerhet Sikkerhetsområder Sikre fysiske soner benyttes for å beskytte områder som inneholder IKT-utstyr og informasjon som krever beskyttelse. Sikre soner skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang. Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 3 av 7

13 Følgende soneinndeling skal benyttes Sikringsnivå Område Sikring Grønn Gul Rød Alt er i utgangspunktet tilgjengelig. Studentområder og kantine. Noen tekniske rom slik som koblingsrom, printerrom og rom hvor det f.eks. finnes skjermingsverdig / intern informasjon. Kontorlokaler, møterom, noen arkiver. Avgrensede områder hvor spesiell autorisasjon kreves, datarom/serverrom/arkiver med fortrolig informasjon og lignende. Ingen Utskrift beskyttes med Follow me - funksjonalitet der det skrives ut fortrolig informasjon. Adgangskort Adgangskort. Områdene skal avmerkes i bygningsplansjer eller eksplisitt beskrives i eget dokument NMBUs internkontrollsystem. Alle NMBUs lokaler skal sikres med tilstrekkelige sikringssystemer iht klassifisering, ref. tabell ovenfor, inkludert relevant sporbarhet/logging. Systemeiere for informasjonssystemer er ansvarlig for godkjenning av medarbeidere som skal ha adgang til sikre områder. Besøkende i rød sone skal registreres inn (i resepsjonen) og de skal bære synlige gjestekort med informasjon om hvem som er ansvarlig. Besøkende i rød sone skal ledsages. Sikkerhetsansvarlig er ansvarlig for at arbeid utført av tredjepart i sikre områder er relevant overvåket og dokumentert. Adgangskort kan gis til håndverkere, teknikere og andre mot at det leveres ID-kort og utfylt taushetserklæring. Røde områder skal være forsvarlig sikret mot miljøskader forårsaket av brann, vann, eksplosjon, vibrasjoner mv. 3.6 Tilgangskontroll Autorisasjon av brukere og roller Alle brukere ved NMBUs informasjonssystemer og IT-systemer skal være administrert i et sentralt brukeradministrativt system (BAS). NMBUs BAS skal regulere hvilke brukere som er autorisert i definerte roller. Opprettelse av brukere skal utelukkende skje på bakgrunn av autoritative kilder. NMBUs viktigste brukerroller er følgende: brukerrolle Ansatt Student Øvrige roller Autoritativt system NMBUs personalsystem. Kun automatisk overføring fra autoritativ kilde. NMBUs studentsystem. Kun automatisk overføring fra autoritativ kilde. Basert på kontrakt. Manuell eller automatisk registrering. Detaljert oversikt skal være dokumentert i NMBUs internkontrollsystem Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 4 av 7

14 3.6.2 Autentiseringsprinsipper for brukere Det skal finnes et retningslinjedokument for tilgangs- og autentiseringsprinsipper i NMBUs internkontrollsystem. Dokumentet skal dekke alle benyttede autentiseringsmetoder som er i bruk ved NMBU, herunder nøkkel basert på brukernavn/passord og/eller sertifikater. Dokumentet skal inneholde retningslinjer for sikkerhetsstyrke, endringsfrekvens og kryptering samt hvor og hvordan nøkler skal lagres. Brukere skal ha unike kombinasjoner av brukernavn og passord UID-nøkkel. UID-nøkkel skal ikke overdras til andre brukere. En bruker er ansvarlig for enhver handling som er utført fra brukerens konto. Brukere holder brukernavn og passord konfidensielle, og røper bare disse hvis det er spesifikt autorisert av sikkerhetsansvarlig Brukeradministrering i informasjonssystemer System og systemaksess autentiseres minimum ved hjelp av personlige brukernavn og passord. Tilgang til informasjonssystemer skal være autorisert av nærmeste leder. Tilgangsrettigheter, inkludert tilhørende aksessrettigheter (privilegier), lagres i tilgangslister i NMBUs BAS. Autorisasjoner gis på bakgrunn av tjenstlige behov, og reguleres av type rolle/stilling. Systemeier har ansvaret for godkjenning av tilganger til egen forvaltet informasjon. Brukerporteføljen på NMBUs informasjonssystemer skal administreres av NMBUs BAS dette gjelder både opprettelse og fjerning. Der automatisk administrering av brukere til et informasjonssystem ikke er teknisk mulig, skal NMBUs BAS produsere oppfølgingslister som håndteres av informasjonssystemets systemansvarlig Kontroll med nettverkstilgang IT-avdelingen har ansvaret for at brukernes nettverkstilgang skjer i overensstemmelse med retningslinjene for tilgang Informasjonssystemene skal plasseres i nett med sikkerhetsklassifisering som tilsvarer informasjonens klassifisering. 3.7 Kommunikasjon og bærbare enheter Arbeid utenfor NMBUs lokaler på NMBUs utstyr er tillatt dersom retningslinjer for informasjonssikkerhet overholdes og IKT-reglement underskrives og overholdes. Fjerntilgang til NMBUs nettverk skal kun skje gjennom sikkerhetsløsninger godkjent av IT-direktøren. Beskyttelsesverdig informasjon skal krypteres i henhold til spesifikasjoner gitt i dokumentasjon i NMBUs internkontrollsystem ved forsendelse med e-post eller annen kommunikasjon eksternt eller internt. Mobile enheter sikres med tilstrekkelige sikkerhetsmekanismer. Beskyttelsesverdig informasjon som oppbevares på bærbare enheter skal krypteres i henhold til retningslinjer i NMBUs internkontroll. Fortrolig informasjon skal alltid krypteres når den oppbevares på bærbare medier, slik som USB-pinne, smarttelefoner, CDer og lignende dvs. oppfylle POF Skytjenester og sosiale medier Beskyttelsesverdig informasjon skal som hovedregel ikke distribueres til skytjenester eller sosiale medier (med mindre disse er godkjent for slik bruk av NMBU). Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 5 av 7

15 Ved bruk av skytjenester og sosiale medier er det brukerens ansvar å påse at NMBUs informasjonssikkerhetspolicy overholdes og at beskyttelsesverdig informasjon ikke spres via disse tjenestene. 3.9 Systemteknisk sikkerhet Nødvendig sikkerhetsnivå høy, middels, lav Følgende kategorisering benyttes for beskyttelsesbehov: Høy - gis bare systemer og informasjon med virksomhetskritisk beskyttelsesbehov. Middels - gis systemer og informasjon med beskyttelsesbehov. Lav, (lave krav til sikkerhet) kan gjelde alle systemer og informasjon med lite eller ingen beskyttelsesbehov. Ulike informasjonssystem og delsystemer kan ha ulike beskyttelsesbehov. Krav til dokumentasjon av beskyttelsesbehov: NMBU skal vedlikeholde en oversikt over personopplysninger og andre digitale verdier som informasjonssystemer og eksterne kommunikasjonsgrensesnitt med faktisk beskyttelsesbehov. NMBU skal vedlikeholde kriterier for valg av beskyttelsesbehov. Sikkerhetstiltak skal vurderes og iverksettes i henhold til definert beskyttelsesbehov. Vurdering av beskyttelsesbehov skal inngå i alle system- eller infrastrukturendringer som kan påvirke informasjonssikkerheten Retningslinjer for systemteknisk sikkerhet Detaljerte retningslinjer for systemteknisk sikkerhet skal være utarbeidet og vedlikeholdes i dokumentasjon i NMBUs internkontrollsystem. 4 Oppfølging og kontroll 4.1 Konfigurasjonskontroll Oversikt over gyldig sikkerhetsdokumentasjon, utstyr, programvare og systemkonfigurasjon skal utarbeides og vedlikeholdes. Systemeier har ansvaret for å utarbeide og vedlikeholde oversikt over utstyr, programvare og systemkonfigurasjon i samråd med IT-avdelingen. Sikkerhetsansvarlig har overordnet ansvar at sikkerhetsdokumentasjon blir utarbeidet og vedlikeholdt. 4.2 Endringskontroll Ved endringer i NMBUs informasjonssystemer skal alltid beskyttelsesbehov vurderes, og om endring kan ha konsekvenser for sikkerheten. Endringer som kan ha konsekvenser for informasjonssikkerheten, skal godkjennes av sikkerhetsansvarlig. For endringer som kan ha sikkerhetsmessig konsekvens, skal systemeier i samråd med IT-avdelingen utarbeide en risikovurdering inkludert forslag til tiltak som oversendes sikkerhetsansvarlig som en del av endringsforespørsel. Sikkerhet skal være et vurderingspunkt gjennom alle faser av en endring. Krav til sikkerhet og overordnet vurdering av risiko skal inngå i eventuelle forprosjekt. Ved en eventuell kontrakt med tredjepart skal krav til sikkerhet inngå i kontrakten. Produksjonsdata som inneholder sensitive personopplysninger skal anonymiseres før de benyttes ved tester knyttet til endringer. Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 6 av 7

16 Sikkerhetsnivå skal verifiseres før endringer settes i drift. 4.3 Hendelseshåndtering Medarbeider og leder er ansvarlige for å rapportere hendelser/brudd og mulige brudd på sikkerheten. Rapporteringen går linjevei, eventuelt direkte til sikkerhetsleder ved alvorlige hendelser. Ved alvorlige hendelser skal sikkerhetsansvarlig involveres i oppfølging og beslutning av korrigerende tiltak knyttet til hendelsen. Sikkerhetsansvarlig (CSO) har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser ved brudd på konfidensialitet eller integritet samt enkeltpersoners brudd på sikkerhetsreglene. Hvis sensitive personopplysninger er kommet på avveie eller det er mistanke om det samme, skal Datatilsynet orienteres. IT-direktør har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser relatert til tilgjengelighet på IT-systemer og -tjenester 4.4 Beredskap NMBU skal ha en beredskaps- og kontinuitetsplan for informasjonssystemer med tilhørende ITinfrastruktur. Planen skal være dokumentert i NMBUs internkontrollsystem. Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 7 av 7

17 Styringsdokument 4: NMBUs sikkerhetsorganisasjon 1 Roller og ansvarsområder NMBUs ledelse Med NMBUs ledelse forstås NMBUs rektor og direktører med deres ledelsesapparat. Sikkerhetsansvarlig (CSO) Sikkerhetsansvarlig ved NMBU har et overordnet ansvar for informasjonssikkerheten. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Sikkerhetsansvarlig har myndighet og ansvar til blant annet å kunne gjennomføre opplæring i informasjonssikkerhet, risikovurderinger, sikkerhetstester, avvikshåndtering, iverksette korrigerende og andre sikkerhetsrelaterte tiltak. Systemeier Alle informasjonssystemer skal ha en definert eier. Systemeier er ansvarlig for informasjonssystemet og dets innhold, og rapporterer til sikkerhetsansvarlig. Systemeier er ansvarlig for krav til anskaffelse, utvikling og vedlikehold av informasjon og relaterte informasjonssystemer i samråd med IT-avdelingen. For hver type informasjon skal eiere definere hvilke brukere (brukergrupper) som skal ha tilgang til denne, og definere hva som er autorisert bruk av informasjonen. Systemansvarlige Systemansvarlige er teknisk ansvarlig for administrasjon av spesifikke IT-systemer ved Universitetet. Systemansvarlige er personer som forvalter NMBUs informasjonssystemer eller informasjon som er betrodd Universitetet fra andre parter på vegne av Systemeier. Hver enkelt type informasjon og systemer kan ha en eller flere dedikerte systemansvarlige. Systemansvarlige er ansvarlige for å beskytte informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder dessuten sikkerhetsmekanismer i tråd med intensjonen. Brukere Alle brukere av NMBUs informasjonssystemer er ansvarlige for å gjøre seg kjent med og rette seg etter NMBUs IKT-reglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av den aktuelle informasjonen, eventuelt systemansvarlig. 2 Organisasjon for informasjonssikkerhet Ansvarsområde Stilling Navn Øverste ansvarlig for sikkerhet ved NMBU Rektor Mari Sundli Tveit Sikkerhetsansvarlig (CSO) Økonomi- og eiendomsdirektør Siri Margrethe Løksa Informasjonssikkerhet - Utførende ansvar for informasjonssikkerhet knyttet til persondata iht Leder for Personal- og organisasjonsavdeling Jan Olav Aarflot Informasjonssikkerhet ved NMBU Ver (4) Mål og strategi for informasjonssikkerhet - Side 1 av 2

18 Personopplysningsloven. Daglig (operasjonell) behandlingsansvarlig og ivaretar kontakt med Datatilsynet Informasjonssikkerhet - Utøvende ansvar for informasjonssikkerhet knyttet til IT-systemene og ITinfrastruktur Leder for IT-avdelingen Magnar Antonsen Systemeierne er ansvarlig for persondata i egne systemer. Oversikt forefinnes i dokument i NMBUs internkontrollsystem. Lederne ved NMBUs organisatoriske enheter (institutter, avdelinger og sentre) er ansvarlige for å implementere informasjonssikkerheten ved enheten. NMBU skal utrede personvernombud (NSD har hatt denne rollen for NVH). Informasjonssikkerhet ved NMBU Ver (4) Mål og strategi for informasjonssikkerhet - Side 2 av 2

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Informasjonssikkerhetsprinsipper

Informasjonssikkerhetsprinsipper Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer

Detaljer

Plan for informasjonssikkerhet Bjugn kommune

Plan for informasjonssikkerhet Bjugn kommune Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5

Detaljer

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Policy for informasjonssikkerhet ved U1S

Policy for informasjonssikkerhet ved U1S \I\ EkSLIÆrLf, \HLi: 05 AUG.2013 20in i Stava nger Policy for informasjonssikkerhet ved U1S Versjon:1.2 Dato: 10.04.2013 1.0 Policy for informasjonssikkerhet 4 1.1 Sikkerhetsmål 4 1.2 Sikkerhetsstrategi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Sikkerhetspolicy for informasjonssikkerhet ved

Sikkerhetspolicy for informasjonssikkerhet ved Sikkerhetspolicy for informasjonssikkerhet ved Dato: 28.04 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 1.0 28.04.2009 Endelig versjon Forfatter og distribusjon Forfatter

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Informasjonssikkerhetspolitikk. ved

Informasjonssikkerhetspolitikk. ved ved Dato: 15.oktober 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 0.7 13.02.2008 Initiell versjon 0.8 22.10.2008 Bearbeidet versjon etter diverse høringer på e-post 0.81

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Informasjonssikkerhet i UH-sektoren

Informasjonssikkerhet i UH-sektoren Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet

Detaljer

HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04

HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04 HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET I HARSTAD KOMMUNE Versjon 3.04 Innholdsfortegnelse 1. DEFINISJONER... 1 2. FORMÅL... 4 3. GRUNNLAG... 4 4. SIKKERHETSORGANISERING OG ANSVARSFORDELING... 4 4.1 LOVEN...

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Høgskolen i Telemark. Policy for informasjonssikkerhet ved

Høgskolen i Telemark. Policy for informasjonssikkerhet ved Høgskolen i Telemark Policy for informasjonssikkerhet ved Dato: 26. mai 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse HiT0.40 03.11.2008 HiTs rev. forslag før workshop HiT0.41

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Styringssystem for informasjonssikkerhet ved Høgskulen i Volda

Styringssystem for informasjonssikkerhet ved Høgskulen i Volda Styringssystem for informasjonssikkerhet ved Høgskulen i Volda Basert på ISO/IEC 270001/02: 2013 Styringssystem for informasjonssikkerhet HVO versjon 2.1 13.11.2015 1 Innhold Innledning... 2 2 Risikostyring...

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Styringsdokument for personvern, informasjonssikkerhet og beredskap Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

VI BYGGER NORGE MED IT.

VI BYGGER NORGE MED IT. VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

IKT-sikkerhet og sårbarhet i Risør kommune

IKT-sikkerhet og sårbarhet i Risør kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november

Detaljer

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt. 64 2325 Hamar tlf. 62 54 47 21 Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt INNHOLDSFORTEGNELSE

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Direktiv Krav til sikkerhetsstyring i Forsvaret

Direktiv Krav til sikkerhetsstyring i Forsvaret Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer