Policy. for. informasjonssikkerhet. ved NMBU

Størrelse: px
Begynne med side:

Download "Policy. for. informasjonssikkerhet. ved NMBU"

Transkript

1 Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014

2 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING Bakgrunn Hjemmelsgrunnlag DOKUMENTSTRUKTUR I INFORMASJONSSIKKERHETSPOLICYEN FORMELL TILKNYTNING BEGREPER OG DEFINISJONER... 2 STYRINGSDOKUMENT 1: POLICY FOR INFORMASJONSSIKKERHET 1 INTERNKONTROLL OG PERSONOPPLYSNINGER Rutine for registrering og oversikt over personopplysninger, POF Oversikt over personopplysninger Overordnet begrunnelse for behandling av personopplysninger Krav og plikter som følge av behandling... 1 STYRINGSDOKUMENT 2: SIKKERHETSREVISJON LEDELSENS GJENNOMGANG 1 OM SIKKERHETSREVISJON Formål Ansvarsforhold UTFØRELSE Revisjon Sikkerhetsmål Gjennomgang av avvik og hendelser Forbedringstiltak Oppfølging RAPPORT... 2 STYRINGSDOKUMENT 3: MÅL OG STRATEGI FOR INFORMASJONSSIKKERHET 1 INNLEDNING SIKKERHETSMÅL SIKKERHETSSTRATEGI Organisering av sikkerheten Roller og ansvarsområder Organisering Kontrakter med leverandører av informasjonssystemtjenester Egenkontroll Risikostyring Risikovurdering Personell og sikkerhet IKT-reglement Generell taushetserklæring for fortrolig informasjon... 3 Informasjonssikkerhet for NMBU ver Generelt - Side 1 av 2

3 3.3.3 Kompetanse i informasjonssikkerhet Konsekvenser ved sikkerhetsbrudd Dokumentsikkerhet - Klassifisering og kontroll av informasjon og informasjonssystemer Fysisk sikkerhet Sikkerhetsområder Tilgangskontroll Autorisasjon av brukere og roller Autentiseringsprinsipper for brukere Brukeradministrering i informasjonssystemer Kontroll med nettverkstilgang Kommunikasjon og bærbare enheter Skytjenester og sosiale medier Systemteknisk sikkerhet Nødvendig sikkerhetsnivå høy, middels, lav Retningslinjer for systemteknisk sikkerhet OPPFØLGING OG KONTROLL Konfigurasjonskontroll Endringskontroll Hendelseshåndtering Beredskap... 7 STYRINGSDOKUMENT 4: NMBUS SIKKERHETSORGANISASJON 1 ROLLER OG ANSVARSOMRÅDER ORGANISASJON FOR INFORMASJONSSIKKERHET... 1 Informasjonssikkerhet for NMBU ver Generelt - Side 2 av 2

4 NMBUs policy for informasjonssikkerhet - generelt 1 Innledning 1.1 Bakgrunn Informasjonsbehandling og informasjonssikkerhet er kritisk for NMBUs virksomhet innenfor utdanning, forskning, formidling og forvaltning. Systemer og infrastruktur for behandling av informasjon skal være pålitelige i bruk og sikre at tilgangen til informasjon følger NMBUs regler. NMBU behandler personopplysninger i forhold til ansatte, studenter og andre som har relasjoner til NMBUs virksomhet. Grunnleggende personvernhensyn skal være førende for all behandling av slike opplysninger og behandlingen skal være lovlig, sikker og skje med tilfredsstillende beskyttelse. Foreliggende policy dokumenterer de systematiske tiltak som NMBU har innført for å sikre at lover og tilhørende regelverk er kjent og følges. 1.2 Hjemmelsgrunnlag Behandling og beskyttelse av personopplysninger og NMBUs informasjonssystemer skal skje i samsvar med lovpålagte bestemmelser. Personopplysningsloven (POL) med forskrift (POF) stiller krav til NMBUs behandling av personopplysninger. Foreliggende dokument er utarbeidet i henhold til de krav som er stilt i personopplysningslovens 13 og 14, jf personopplysningsforskriftens kap2, 2-1 flg. Også metoder fra internasjonale standarder for informasjonssikkerhet er lagt til grunn for utarbeidelsen av policyen. (ISO/IEC 27001: Information technology Security techniques Information security management systems Requirements / ISO/IEC 27002: Information technology Security techniques Code of practice for information security management ). Kunnskapsdepartementet har fra og med 2013 lagt spesielt vekt på informasjonssikkerhet i sitt tildelingsbrev til UH-institusjonene. 2 Dokumentstruktur i informasjonssikkerhetspolicyen POL 13 stiller krav om at internkontrollsystemet skal dokumenteres. NMBU har inndelt dokumentasjonen av systemet i tre emner: Styrende dokumentasjon: Dokumentasjonen gir uttrykk for ledelsens styring av sikkerhetsområdet, herunder valgte sikkerhetsmål, sikkerhetsstrategier, NMBUs sikkerhetsorganisasjon samt kvalitetsprosesser for internkontrollsystemet. Dokumentasjonen skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser NMBU står overfor. Gjennomførende dokumentasjon: Utgjør brukertilpassede sikkerhetsrutiner og tiltak, maler og metoder for daglig drift. Gjennomførende dokumentasjon er delt i følgende kategorier: Retningslinjer Oversikter og deskriptiv dokumentasjon av NMBUs informasjonssystemer Prosedyredokumenter Ulike maler/ skjema Informasjonssikkerhet for NMBU ver Generelt - Side 1 av 2

5 Kontrollerende dokumentasjon: Utgjør rutiner for oppfølging, korrigering og forbedring av internkontroll og informasjonssikkerhet. Den styrende dokumentasjonen ligger i denne dokumentsamlingen, mens gjennomførende dokumenter og kontrollerende dokumenter ligger i NMBUs internkontrollsystem på internkontroll.nmbu.no. 3 Formell tilknytning Foreliggende policy er godkjent av Fellesstyret for NVH og UMB den og trer i kraft fra I tråd med de krav som stilles i POL 13 vil informasjonssikkerhetspolicyen bli implementert ut i linjen slik at alle medarbeidere gjøres kjent med NMBUs sikkerhetssystem, roller og ansvar. 4 Begreper og definisjoner Behandlingsansvarlig Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, POL 2 nr. 4. Informasjonssikkerhet Informasjonssystem Personopplysning og Sensitiv personopplysning (SPO): Sikkerhetsansvarlig (CSO) Sikkerhetsorganisasjon Systemansvarlig Systemeier Iverksettelse av tiltak for å skape et tilfredsstillende sikkerhetsnivå for beskyttelse av informasjonsverdier, for eksempel personopplysninger. Beskyttelse av informasjonens tilgjengelighet, integritet og konfidensialitet. Elektronisk eller papirbasert system for lagring og behandling av informasjon. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson for eksempel navn, adresseinformasjon, lønn, referanseuttalelser, oppgavebesvarelser mv., jf. POL 2 nr. 1. SPO er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, medlemskap i fagforeninger, jf. POL 2 nr. 8. Chief Security Officer Overordnet sikkerhetsansvarlig ved NMBU. Overordnet ansvarlig for all sikkerhet ved NMBU, herunder informasjonssikkerhet og det ansvar som tillegges behandlingsansvarlig iht POL. Dokumentert beskrivelse av ansvars- og myndighetsforhold for bruk og drift av informasjonssystemet samt ansvar - og myndighetsforhold i forbindelse med oppfølging av sikkerhetsarbeidet (sikkerhetsledelse), jf. POF 2-7. Overordnet teknisk ansvarlig for forvaltningen av et informasjonssystem etter fullmakt fra systemeier. Den som har det formelle ansvaret for et informasjonssystem, herunder ivaretakelse av sikkerheten. Informasjonssikkerhet for NMBU ver Generelt - Side 2 av 2

6 Styringsdokument 1: Policy for informasjonssikkerhet 1 Internkontroll og personopplysninger 1.1 Rutine for registrering og oversikt over personopplysninger, POF 2-4 Formålet med kartlegging og beskrivelse av de personopplysninger som behandles ved NMBU er å få en totaloversikt for hele virksomheten slik at NMBU på en best mulig måte skal være i stand til å ivareta sine plikter iht gjeldende lovverk. Oversikten danner grunnlag for ledelsens utarbeidelse av sikkerhetsmål og sikkerhetsstrategi og er grunnlaget for risikovurderinger. Kartleggingen skal gjøres iht følgende rutine: 1. Sikkerhetsansvarlig (CSO) er ansvarlig for at det utarbeides en total oversikt over alle typer personopplysninger som behandles ved NMBU og at ledelsen er kjent med og har tilgang til denne. 2. Oversikten skal gi en kortfattet informasjon om: o hvilke opplysninger som behandles, o formålet med behandlingen, o hjemmelsgrunnlaget for å behandle opplysningene, o klassifikasjon iht sensitivitet, o teknologiske sikkerhetstiltak med angivelse av sone eller nettverk, o lagring og om de overføres via eksterne media, o opplysningenes omfang, o aktuell avdeling som behandler opplysningene, o systemeier og/eller dataeier. 3. Sikkerhetsansvarlig (CSO) skal holde oversikten fortløpende oppdatert ved jevnlig å forespørre de øvrige enhetsledere om å melde inn evt. endringer, minimum kvartalsvis. 4. Sikkerhetsansvarlig (CSO) skal sette en frist for innrapporteringen og rapporteringen skal skje skriftlig. 5. De enkelte enhetsledere har et selvstendig ansvar for å melde til sikkerhetsansvarlig (CSO) dersom det igangsettes behandling av nye typer personopplysninger. 6. Sikkerhetsansvarlig (CSO) skal fremlegge en oppdatert oversikt i forkant av ledelsens årlige gjennomgang. 1.2 Oversikt over personopplysninger Oversikt over personopplysninger som behandles ved NMBU ligger i NMBUs internkontrollsystem. 1.3 Overordnet begrunnelse for behandling av personopplysninger For NMBU er det nødvendig å innhente og lagre informasjon om studentenes obligatoriske oppgaveinnleveringer og andre resultater for å styre undervisningen og gi karakterer. Det er også nødvendig å lagre informasjon om oppnådde karakterer gjennom studiet for å kunne gi vitnemål (POF 7-20). Det er også nødvendig å innhente og lagre personopplysninger om de ansatte(faste og midlertidige) for å utbetale korrekt lønn, registrere arbeidstid og gi oppfølging av den enkelte ved sykefravær (POF 7-16). 1.4 Krav og plikter som følge av behandling Som følge av at NMBU behandler personopplysninger er Universitetet pålagt plikter og krav i henhold til følgende regelverk: Informasjonssikkerhet ved NMBU Ver. 1.0 Styringsdokument 1: Internkontroll - Side 1 av 2

7 Lov om behandling av personopplysninger (personopplysningsloven) Personopplysningsforskriften Lov om arkiv Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven). Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova). Lov om universiteter og høyskoler (universitets- og høyskoleloven). Lov om statens tjenestemenn m.m. (tjenestemannsloven) Informasjonssikkerhet ved NMBU Ver. 1.0 Styringsdokument 1: Internkontroll - Side 2 av 2

8 Styringsdokument 2: Sikkerhetsrevisjon ledelsens gjennomgang 1 Om sikkerhetsrevisjon NMBUs ledelse skal årlig gjennomgå NMBUs internkontroll og styringssystem for informasjonssikkerhet. Sikkerhetsrevisjonen skal utføres i løpet av årets første tre måneder. 1.1 Formål Formålet med den årlige revisjonen er å: Følge opp de fastsatte sikkerhetsmålene Iverksette korrigerende tiltak dersom det er behov for det. Vurdere oppfølging av korrigerende tiltak Endring av mål for prosess Sørge for at internkontroll og styringssystem for informasjonssikkerhet er hensiktsmessige, tilstrekkelig og effektive og at det tilfredsstiller relevante krav i personopplysningsloven og - forskriften. Det er utarbeidet sikkerhetsmål for NMBU, se styringsdokument nr. 3. Med bakgrunn i sikkerhetsmålene skal det utarbeides planer med forbedringstiltak for å nå disse målene. Oppfølging av forbedringstiltak og korrigerende tiltak gjøres ved at resultatene fra egenkontroll og avviksbehandling gjennomgås og sammenlignes med de korrigerende tiltakene. 1.2 Ansvarsforhold Sikkerhetsansvarlig (CSO) ved NMBU tar initiativ til og tilrettelegger for ledelsens årlige gjennomgang av NMBUs internkontroll og styringssystem for informasjonssikkerhet. Det skal i forbindelse med den årlige gjennomgangen fremlegges: En oppdatert oversikt over personopplysninger iht. styringsdokument nr. 1. Samlet oversikt over de alvorligste hendelsene og avvikene som har vært registrert gjennom året. 2 Utførelse 2.1 Revisjon Sikkerhetsrevisjon skal omfatte de elementer som er styrende for informasjonssikkerhet, som: Internkontroll o Vurdere endringer i omfang av dagens internkontroll Sikkerhetsmål og -strategi o Vurdere eventuelle forslag til endringer i sikkerhetsmål og sikkerhetsstrategi, dersom endringene i vesentlig grad har økonomiske eller andre virksomhetsmessige konsekvenser Risiko- og sårbarhetsanalyser o Overordnet ROS-vurdering utføres for NMBUs informasjonssystemer o ROS-vurdering utføres ved ønske om ny funksjonalitet som medfører vesentlige investeringer eller endringer i eksisterende sikkerhetskonsept Virksomhetskritisk informasjon og/eller system Informasjonssikkerhet ved NMBU Ver (2) Sikkerhetsrevisjon - Side 1 av 2

9 o Vurdering av endringer i hvilken informasjon eller hvilke systemer som er virksomhetskritisk for virksomheten 2.2 Sikkerhetsmål De fastsatte sikkerhetsmålene for NMBU skal gjennomgås og vurderes i forhold til resultater og hovedkonklusjoner fra risikoanalyser og egenkontroll og evt. endringer i offentlige sikkerhetskrav, som kan medføre vesentlig endringer for virksomheten. Ledelsen skal også foreta en vurdering av om tilstrekkelige ressurser er tilgjengelige for å ivareta internkontroll og informasjonssikkerhet slik den er lagt opp ved NMBU. 2.3 Gjennomgang av avvik og hendelser En samlet oversikt over de sikkerhetshendelser og avvik som har vært gjennom året skal gjennomgås og behandles. Gjennomgangen skal ha fokus på årsaker til hendelser og avvik i vid forstand og hvordan hendelser og avvik er håndtert. De alvorligste sikkerhetshendelsene bør medføre en grundigere gjennomgang. 2.4 Forbedringstiltak Forbedringstiltak, gjennomføring av tiltak til fastsatte tidspunkter, utarbeides av sikkerhetsansvarlig (CSO) på bakgrunn av oppsatte mål, innen områdene: Organisering av sikkerheten Partnere og leverandører Personell og sikkerhet Fysisk sikkerhet Systemteknisk sikkerhet Dokumentsikkerhet Beredskap Listen er ikke uttømmende. Forbedringstiltakene skal godkjennes av administrerende direktør. 2.5 Oppfølging Sikkerhetsansvarlig (CSO) skal sette opp en oversikt over de vedtatte forbedringstiltak og gi en vurdering av om disse har virket etter sin hensikt. Dette gjøres i forkant av ledelsens årlige gjennomgang. Oppfølging av sikkerhetsmål for å se om de nås og om forbedringstiltak og korrigerende tiltak virker, gjøres blant annet gjennom egenkontroll. En plan for egenkontroll skal utarbeides og dokumenteres i NMBUs informasjonssikkerhetspolicy. 3 Rapport Sikkerhetsansvarlig (CSO) skriver rapport fra ledelsens årlige gjennomgang av NMBUs internkontroll og styringssystem for informasjonssikkerhet. Rapporten skal distribueres til den øvrige ledelsen ved NMBU. Rapporten skal inngå i den årlige rapporteringen om internkontrollen til universitetsstyret. I rapporten skal det tydelig fremgå de avgjørelser og aksjoner som er bestemt og med hvilken begrunnelse. Den øvrige ledelse skal uten ugrunnet opphold gi sikkerhetsansvarlig (CSO) en rask tilbakemelding på referatet dersom dette ikke gjengir avgjørelser og aksjoner på en korrekt måte. Informasjonssikkerhet ved NMBU Ver (2) Sikkerhetsrevisjon - Side 2 av 2

10 Styringsdokument 3: Mål og strategi for informasjonssikkerhet 1 Innledning Mål og strategi for informasjonssikkerhet er NMBUs overordnede styrende dokument for informasjonssikkerhet. Ledelsen ved NMBU har det overordnede ansvaret for all informasjonssikkerhet ved universitetet og har ansvaret for utarbeidelse av mål og strategi for informasjonssikkerhet, utarbeidelse av rutiner samt kontroll med at rutinene følges. Sikkerhetsmålene beskriver ønsket sikkerhetsnivå og sikkerhetsstrategien beskriver de tiltak NMBU gjennomfører for å oppnå sikkerhetsmålene. 2 Sikkerhetsmål Sikkerhetsmålene skal understøtte og sikre virksomhetens drift, allmenne tillit og omdømme i det offentlige rom, ved å forebygge og begrense konsekvensene av uønskede hendelser. Sikkerhetsmålene beskriver NMBUs overordnete mål for beskyttelse av virksomhetens informasjonsbehandling mot interne og eksterne trusler av tilsiktet og utilsiktet art. Følgende sikkerhetsmål er definert: 1. NMBU skal sikre at informasjon behandles iht krav i lover og forskrifter. 2. Informasjonssikkerheten ved NMBU skal ha forankring i ledelsen. 3. Informasjonssikkerheten skal være en integrert del av hele NMBUs virksomhet. 4. Ansvars- og rollebeskrivelser i sikkerhetsarbeidet skal være klart definert og kjent i NMBUs organisasjon. 5. Alle brukere av NMBUs informasjonssystemer skal ha tilstrekkelig kompetanse for å ivareta NMBUs sikkerhetsbehov. 6. Tilgang til informasjonssystemer og informasjon gis kun til medarbeidere etter tjenestlig behov. 7. NMBU skal ivareta hensynet til konfidensialitet og integritet og tilgjengelighet i behandlingen av ansattes, studenters og andre registrerte personopplysninger. 8. NMBU skal ha dokumenterte og utprøvde rutiner og metoder for å håndtere hendelser. 3 Sikkerhetsstrategi 3.1 Organisering av sikkerheten Roller og ansvarsområder Sikkerhetsansvarlig (CSO) Sikkerhetsansvarlig ved NMBU har et overordnet ansvar for informasjonssikkerheten. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Systemeier Alle informasjonssystem skal ha en definert eier. Systemeier er ansvarlig for informasjonssystemet og dets innhold og rapporterer til sikkerhetsansvarlig. Systemeier er ansvarlig for krav til anskaffelse, utvikling og Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 1 av 7

11 vedlikehold av informasjon og relaterte informasjonssystemer i samråd med IT-avdelingen. For hver type informasjon skal systemeier definere hvilke brukere (brukergrupper) som skal ha tilgang til denne, og definere hva som er autorisert bruk av informasjonen. Oversikt over systemer med tilhørende systemeiere skal foreligge som dokument i NMBUs informasjonssikkerhetspolicy Organisering Sikkerhetsorganiseringen med roller og personer skal til enhver tid være beskrevet i styringsdokument 4 Sikkerhetsorganisasjon Kontrakter med leverandører av informasjonssystemtjenester Alle formaliteter mellom NMBU og leverandører skal være formulert i formelle kontrakter (SLA - Service Level Agreement) og skal inkludere relevante sikkerhetskrav. NMBU skal alltid ha rett til innsyn og måling av hvorvidt sikkerhetskrav etterleves av en leverandør Egenkontroll Egenkontroll/måling av sikkerhetsnivå ved NMBU skal utføres regelmessig iht. systematiserte rutiner for risikostyring. Retningslinjer for egenkontroll skal foreligge i NMBUs internkontrollsystem. 3.2 Risikostyring Risikovurdering NMBUs tilnærming til informasjonssikkerhet skal være basert på risikovurderinger. NMBU skal løpende analysere risikoer og derigjennom vurdere behovet for tiltak. Tiltak skal vurderes med hensyn til effektivitet, kostnad og praktisk gjennomførbarhet med utgangspunkt i NMBUs rolle som undervisnings- og forskningsinstitusjon. Prinsipper og rutiner for risikovurderinger skal være dokumentert i NMBUs internkontrollsystem. Det skal gjennomføres en årlig overordnet risikovurdering av NMBUs informasjonssystemer i forbindelse med sikkerhetsrevisjonen (Ledelsens gjennomgang). Risikovurdering skal også utføres ved ønske om ny funksjonalitet som medfører vesentlige investeringer eller endringer som har betydning for informasjonssikkerheten. Overordnede risikovurderinger skal godkjennes av NMBUs ledelse. Risikovurderinger på lavere nivå godkjennes av systemeier for de vurderte informasjonssystem. Ved identifisering av uakseptabel risiko skal det iverksettes tiltak for å redusere risiko til akseptabelt nivå. Risikovurderinger med oppfølging skal som hovedprinsipp gjennomføres på lavest mulig nivå. 3.3 Personell og sikkerhet IKT-reglement IKT-reglementet refererer til NMBUs krav til informasjonssikkerhet og den ansattes ansvar for å oppfylle disse. Alle brukere av NMBUs informasjonssystemer må signere IKT-reglement: Ansatte: signerer sammen med ansettelseskontrakt Studenter: signerer / aksepterer IKT-reglement ved utlevering av brukernavn Andre brukere signerer egen kontrakt. Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 2 av 7

12 3.3.2 Generell taushetserklæring for fortrolig informasjon Alle som skal gis tilgang til fortrolige opplysninger ved NMBU skal underskrive en taushetserklæring. Dette gjelder NMBUs ansatte, studenter og leverandørers ansatte eller andre som måtte komme i kontakt med slik informasjon Kompetanse i informasjonssikkerhet Ansatte hos NMBU skal gjennom opplæring og rutiner oppnå tilstrekkelig kunnskap til å forvalte informasjon og systemer på en sikker måte. Endringer i konfigurasjon av systemer og nettverk skal bare utføres av kvalifisert personell, og etter godkjenning fra NMBU Konsekvenser ved sikkerhetsbrudd Brudd på sikkerhetsreglene beskrevet i sikkerhetsinstrukser, taushetserklæring og eventuell konfidensialitetserklæring kan få følger for ansettelsesforhold/brukertilknytning. 3.4 Dokumentsikkerhet - Klassifisering og kontroll av informasjon og informasjonssystemer Informasjon og infrastruktur skal klassifiseres med hensyn til nødvendig sikkerhetsnivå og tilgangsbegrensning. Informasjon skal klassifiseres i en av tre følgende kategorier for konfidensialitet: Åpen: Intern: All NMBUs informasjon er åpen med mindre den er klassifisert i en av de to øvrige kategoriene. Informasjon som er ment for intern bruk og som kan skade Universitetet eller være upassende at tredjepart får kjennskap til og som kan unntas offentlighet i medhold av Offentleglova. Systemeier avgjør lagrings- og delingsmåte. Fortrolig: Informasjon av fortrolig art, og hvor uautorisert tilgang (også internt) kan medføre betydelig skade for enkeltpersoner, Universitet eller deres interesser. Fortrolig informasjon er her synonymt med forvaltningslovens Unntatt Offentlighet og sensitive personopplysninger iht Personopplysningslovens 2. Slik informasjon skal sikres i Røde områder, ref. kap Hver systemeier gjennomfører risikoanalyser på sine respektive systemer for å kunne klassifisere informasjon ut fra hvor kritisk den er for virksomheten. Sikkerhetsansvarlig (CSO) er ansvarlig for oppfølging i forbindelse med ledelsens gjennomgang. Brukere som forvalter informasjon på NMBUs vegne skal behandle denne i henhold til klassifiseringen. Fortrolige og interne dokumenter skal være tydelig merket. 3.5 Fysisk sikkerhet Sikkerhetsområder Sikre fysiske soner benyttes for å beskytte områder som inneholder IKT-utstyr og informasjon som krever beskyttelse. Sikre soner skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang. Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 3 av 7

13 Følgende soneinndeling skal benyttes Sikringsnivå Område Sikring Grønn Gul Rød Alt er i utgangspunktet tilgjengelig. Studentområder og kantine. Noen tekniske rom slik som koblingsrom, printerrom og rom hvor det f.eks. finnes skjermingsverdig / intern informasjon. Kontorlokaler, møterom, noen arkiver. Avgrensede områder hvor spesiell autorisasjon kreves, datarom/serverrom/arkiver med fortrolig informasjon og lignende. Ingen Utskrift beskyttes med Follow me - funksjonalitet der det skrives ut fortrolig informasjon. Adgangskort Adgangskort. Områdene skal avmerkes i bygningsplansjer eller eksplisitt beskrives i eget dokument NMBUs internkontrollsystem. Alle NMBUs lokaler skal sikres med tilstrekkelige sikringssystemer iht klassifisering, ref. tabell ovenfor, inkludert relevant sporbarhet/logging. Systemeiere for informasjonssystemer er ansvarlig for godkjenning av medarbeidere som skal ha adgang til sikre områder. Besøkende i rød sone skal registreres inn (i resepsjonen) og de skal bære synlige gjestekort med informasjon om hvem som er ansvarlig. Besøkende i rød sone skal ledsages. Sikkerhetsansvarlig er ansvarlig for at arbeid utført av tredjepart i sikre områder er relevant overvåket og dokumentert. Adgangskort kan gis til håndverkere, teknikere og andre mot at det leveres ID-kort og utfylt taushetserklæring. Røde områder skal være forsvarlig sikret mot miljøskader forårsaket av brann, vann, eksplosjon, vibrasjoner mv. 3.6 Tilgangskontroll Autorisasjon av brukere og roller Alle brukere ved NMBUs informasjonssystemer og IT-systemer skal være administrert i et sentralt brukeradministrativt system (BAS). NMBUs BAS skal regulere hvilke brukere som er autorisert i definerte roller. Opprettelse av brukere skal utelukkende skje på bakgrunn av autoritative kilder. NMBUs viktigste brukerroller er følgende: brukerrolle Ansatt Student Øvrige roller Autoritativt system NMBUs personalsystem. Kun automatisk overføring fra autoritativ kilde. NMBUs studentsystem. Kun automatisk overføring fra autoritativ kilde. Basert på kontrakt. Manuell eller automatisk registrering. Detaljert oversikt skal være dokumentert i NMBUs internkontrollsystem Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 4 av 7

14 3.6.2 Autentiseringsprinsipper for brukere Det skal finnes et retningslinjedokument for tilgangs- og autentiseringsprinsipper i NMBUs internkontrollsystem. Dokumentet skal dekke alle benyttede autentiseringsmetoder som er i bruk ved NMBU, herunder nøkkel basert på brukernavn/passord og/eller sertifikater. Dokumentet skal inneholde retningslinjer for sikkerhetsstyrke, endringsfrekvens og kryptering samt hvor og hvordan nøkler skal lagres. Brukere skal ha unike kombinasjoner av brukernavn og passord UID-nøkkel. UID-nøkkel skal ikke overdras til andre brukere. En bruker er ansvarlig for enhver handling som er utført fra brukerens konto. Brukere holder brukernavn og passord konfidensielle, og røper bare disse hvis det er spesifikt autorisert av sikkerhetsansvarlig Brukeradministrering i informasjonssystemer System og systemaksess autentiseres minimum ved hjelp av personlige brukernavn og passord. Tilgang til informasjonssystemer skal være autorisert av nærmeste leder. Tilgangsrettigheter, inkludert tilhørende aksessrettigheter (privilegier), lagres i tilgangslister i NMBUs BAS. Autorisasjoner gis på bakgrunn av tjenstlige behov, og reguleres av type rolle/stilling. Systemeier har ansvaret for godkjenning av tilganger til egen forvaltet informasjon. Brukerporteføljen på NMBUs informasjonssystemer skal administreres av NMBUs BAS dette gjelder både opprettelse og fjerning. Der automatisk administrering av brukere til et informasjonssystem ikke er teknisk mulig, skal NMBUs BAS produsere oppfølgingslister som håndteres av informasjonssystemets systemansvarlig Kontroll med nettverkstilgang IT-avdelingen har ansvaret for at brukernes nettverkstilgang skjer i overensstemmelse med retningslinjene for tilgang Informasjonssystemene skal plasseres i nett med sikkerhetsklassifisering som tilsvarer informasjonens klassifisering. 3.7 Kommunikasjon og bærbare enheter Arbeid utenfor NMBUs lokaler på NMBUs utstyr er tillatt dersom retningslinjer for informasjonssikkerhet overholdes og IKT-reglement underskrives og overholdes. Fjerntilgang til NMBUs nettverk skal kun skje gjennom sikkerhetsløsninger godkjent av IT-direktøren. Beskyttelsesverdig informasjon skal krypteres i henhold til spesifikasjoner gitt i dokumentasjon i NMBUs internkontrollsystem ved forsendelse med e-post eller annen kommunikasjon eksternt eller internt. Mobile enheter sikres med tilstrekkelige sikkerhetsmekanismer. Beskyttelsesverdig informasjon som oppbevares på bærbare enheter skal krypteres i henhold til retningslinjer i NMBUs internkontroll. Fortrolig informasjon skal alltid krypteres når den oppbevares på bærbare medier, slik som USB-pinne, smarttelefoner, CDer og lignende dvs. oppfylle POF Skytjenester og sosiale medier Beskyttelsesverdig informasjon skal som hovedregel ikke distribueres til skytjenester eller sosiale medier (med mindre disse er godkjent for slik bruk av NMBU). Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 5 av 7

15 Ved bruk av skytjenester og sosiale medier er det brukerens ansvar å påse at NMBUs informasjonssikkerhetspolicy overholdes og at beskyttelsesverdig informasjon ikke spres via disse tjenestene. 3.9 Systemteknisk sikkerhet Nødvendig sikkerhetsnivå høy, middels, lav Følgende kategorisering benyttes for beskyttelsesbehov: Høy - gis bare systemer og informasjon med virksomhetskritisk beskyttelsesbehov. Middels - gis systemer og informasjon med beskyttelsesbehov. Lav, (lave krav til sikkerhet) kan gjelde alle systemer og informasjon med lite eller ingen beskyttelsesbehov. Ulike informasjonssystem og delsystemer kan ha ulike beskyttelsesbehov. Krav til dokumentasjon av beskyttelsesbehov: NMBU skal vedlikeholde en oversikt over personopplysninger og andre digitale verdier som informasjonssystemer og eksterne kommunikasjonsgrensesnitt med faktisk beskyttelsesbehov. NMBU skal vedlikeholde kriterier for valg av beskyttelsesbehov. Sikkerhetstiltak skal vurderes og iverksettes i henhold til definert beskyttelsesbehov. Vurdering av beskyttelsesbehov skal inngå i alle system- eller infrastrukturendringer som kan påvirke informasjonssikkerheten Retningslinjer for systemteknisk sikkerhet Detaljerte retningslinjer for systemteknisk sikkerhet skal være utarbeidet og vedlikeholdes i dokumentasjon i NMBUs internkontrollsystem. 4 Oppfølging og kontroll 4.1 Konfigurasjonskontroll Oversikt over gyldig sikkerhetsdokumentasjon, utstyr, programvare og systemkonfigurasjon skal utarbeides og vedlikeholdes. Systemeier har ansvaret for å utarbeide og vedlikeholde oversikt over utstyr, programvare og systemkonfigurasjon i samråd med IT-avdelingen. Sikkerhetsansvarlig har overordnet ansvar at sikkerhetsdokumentasjon blir utarbeidet og vedlikeholdt. 4.2 Endringskontroll Ved endringer i NMBUs informasjonssystemer skal alltid beskyttelsesbehov vurderes, og om endring kan ha konsekvenser for sikkerheten. Endringer som kan ha konsekvenser for informasjonssikkerheten, skal godkjennes av sikkerhetsansvarlig. For endringer som kan ha sikkerhetsmessig konsekvens, skal systemeier i samråd med IT-avdelingen utarbeide en risikovurdering inkludert forslag til tiltak som oversendes sikkerhetsansvarlig som en del av endringsforespørsel. Sikkerhet skal være et vurderingspunkt gjennom alle faser av en endring. Krav til sikkerhet og overordnet vurdering av risiko skal inngå i eventuelle forprosjekt. Ved en eventuell kontrakt med tredjepart skal krav til sikkerhet inngå i kontrakten. Produksjonsdata som inneholder sensitive personopplysninger skal anonymiseres før de benyttes ved tester knyttet til endringer. Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 6 av 7

16 Sikkerhetsnivå skal verifiseres før endringer settes i drift. 4.3 Hendelseshåndtering Medarbeider og leder er ansvarlige for å rapportere hendelser/brudd og mulige brudd på sikkerheten. Rapporteringen går linjevei, eventuelt direkte til sikkerhetsleder ved alvorlige hendelser. Ved alvorlige hendelser skal sikkerhetsansvarlig involveres i oppfølging og beslutning av korrigerende tiltak knyttet til hendelsen. Sikkerhetsansvarlig (CSO) har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser ved brudd på konfidensialitet eller integritet samt enkeltpersoners brudd på sikkerhetsreglene. Hvis sensitive personopplysninger er kommet på avveie eller det er mistanke om det samme, skal Datatilsynet orienteres. IT-direktør har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser relatert til tilgjengelighet på IT-systemer og -tjenester 4.4 Beredskap NMBU skal ha en beredskaps- og kontinuitetsplan for informasjonssystemer med tilhørende ITinfrastruktur. Planen skal være dokumentert i NMBUs internkontrollsystem. Informasjonssikkerhet ved NMBU Ver (3) Mål og strategi for informasjonssikkerhet - Side 7 av 7

17 Styringsdokument 4: NMBUs sikkerhetsorganisasjon 1 Roller og ansvarsområder NMBUs ledelse Med NMBUs ledelse forstås NMBUs rektor og direktører med deres ledelsesapparat. Sikkerhetsansvarlig (CSO) Sikkerhetsansvarlig ved NMBU har et overordnet ansvar for informasjonssikkerheten. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Sikkerhetsansvarlig har myndighet og ansvar til blant annet å kunne gjennomføre opplæring i informasjonssikkerhet, risikovurderinger, sikkerhetstester, avvikshåndtering, iverksette korrigerende og andre sikkerhetsrelaterte tiltak. Systemeier Alle informasjonssystemer skal ha en definert eier. Systemeier er ansvarlig for informasjonssystemet og dets innhold, og rapporterer til sikkerhetsansvarlig. Systemeier er ansvarlig for krav til anskaffelse, utvikling og vedlikehold av informasjon og relaterte informasjonssystemer i samråd med IT-avdelingen. For hver type informasjon skal eiere definere hvilke brukere (brukergrupper) som skal ha tilgang til denne, og definere hva som er autorisert bruk av informasjonen. Systemansvarlige Systemansvarlige er teknisk ansvarlig for administrasjon av spesifikke IT-systemer ved Universitetet. Systemansvarlige er personer som forvalter NMBUs informasjonssystemer eller informasjon som er betrodd Universitetet fra andre parter på vegne av Systemeier. Hver enkelt type informasjon og systemer kan ha en eller flere dedikerte systemansvarlige. Systemansvarlige er ansvarlige for å beskytte informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder dessuten sikkerhetsmekanismer i tråd med intensjonen. Brukere Alle brukere av NMBUs informasjonssystemer er ansvarlige for å gjøre seg kjent med og rette seg etter NMBUs IKT-reglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av den aktuelle informasjonen, eventuelt systemansvarlig. 2 Organisasjon for informasjonssikkerhet Ansvarsområde Stilling Navn Øverste ansvarlig for sikkerhet ved NMBU Rektor Mari Sundli Tveit Sikkerhetsansvarlig (CSO) Økonomi- og eiendomsdirektør Siri Margrethe Løksa Informasjonssikkerhet - Utførende ansvar for informasjonssikkerhet knyttet til persondata iht Leder for Personal- og organisasjonsavdeling Jan Olav Aarflot Informasjonssikkerhet ved NMBU Ver (4) Mål og strategi for informasjonssikkerhet - Side 1 av 2

18 Personopplysningsloven. Daglig (operasjonell) behandlingsansvarlig og ivaretar kontakt med Datatilsynet Informasjonssikkerhet - Utøvende ansvar for informasjonssikkerhet knyttet til IT-systemene og ITinfrastruktur Leder for IT-avdelingen Magnar Antonsen Systemeierne er ansvarlig for persondata i egne systemer. Oversikt forefinnes i dokument i NMBUs internkontrollsystem. Lederne ved NMBUs organisatoriske enheter (institutter, avdelinger og sentre) er ansvarlige for å implementere informasjonssikkerheten ved enheten. NMBU skal utrede personvernombud (NSD har hatt denne rollen for NVH). Informasjonssikkerhet ved NMBU Ver (4) Mål og strategi for informasjonssikkerhet - Side 2 av 2

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Policy for informasjonssikkerhet ved U1S

Policy for informasjonssikkerhet ved U1S \I\ EkSLIÆrLf, \HLi: 05 AUG.2013 20in i Stava nger Policy for informasjonssikkerhet ved U1S Versjon:1.2 Dato: 10.04.2013 1.0 Policy for informasjonssikkerhet 4 1.1 Sikkerhetsmål 4 1.2 Sikkerhetsstrategi

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Sikkerhetspolicy for informasjonssikkerhet ved

Sikkerhetspolicy for informasjonssikkerhet ved Sikkerhetspolicy for informasjonssikkerhet ved Dato: 28.04 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 1.0 28.04.2009 Endelig versjon Forfatter og distribusjon Forfatter

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Informasjonssikkerhetspolitikk. ved

Informasjonssikkerhetspolitikk. ved ved Dato: 15.oktober 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 0.7 13.02.2008 Initiell versjon 0.8 22.10.2008 Bearbeidet versjon etter diverse høringer på e-post 0.81

Detaljer

Høgskolen i Telemark. Policy for informasjonssikkerhet ved

Høgskolen i Telemark. Policy for informasjonssikkerhet ved Høgskolen i Telemark Policy for informasjonssikkerhet ved Dato: 26. mai 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse HiT0.40 03.11.2008 HiTs rev. forslag før workshop HiT0.41

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04

HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04 HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET I HARSTAD KOMMUNE Versjon 3.04 Innholdsfortegnelse 1. DEFINISJONER... 1 2. FORMÅL... 4 3. GRUNNLAG... 4 4. SIKKERHETSORGANISERING OG ANSVARSFORDELING... 4 4.1 LOVEN...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Særavtale om lønns- og personalregistre

Særavtale om lønns- og personalregistre Det kongelige Fornyings- og administrasjonsdepartement PM 2007-15 Særavtale om lønns- og personalregistre Dato: 12.12.2007 Til: Statsforvaltningen og Riksrevisjonen Gjelder: Statens personalhåndbok pkt.

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt. 64 2325 Hamar tlf. 62 54 47 21 Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt INNHOLDSFORTEGNELSE

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Informasjonssikkerhetsstrategi Trondheim Kommune Dato: 02.02.2013 Versjon: 2013.2 Mål, retningslinjer og tiltak Side 1 av 30

Informasjonssikkerhetsstrategi Trondheim Kommune Dato: 02.02.2013 Versjon: 2013.2 Mål, retningslinjer og tiltak Side 1 av 30 Mål, retningslinjer og tiltak Side 1 av 30 Innhold 1 Innledning... 3 2 Mål... 3 3 Organisering og ansvar... 5 3.1 Generelt... 5 3.2 Rådmannen... 5 3.3 Kommunaldirektørene... 6 3.4 Enhetslederne... 6 3.5

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Sammendrag... 3 1. Innledning... 4. 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4. 2. Revisjonskriterier...

Sammendrag... 3 1. Innledning... 4. 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4. 2. Revisjonskriterier... Innholdsfortegnelse Sammendrag... 3 1. Innledning... 4 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4 2. Revisjonskriterier... 5 2.1 Informasjonssikkerhet... 5 2.2 Ledelsens ansvar...

Detaljer

Forvaltningsrevisjonsprosjektet. i Bergen kommune

Forvaltningsrevisjonsprosjektet. i Bergen kommune 2009 REVISJONSRAPPORT 69 / F - 08 Dato: 05.11.2009 Forvaltningsrevisjonsprosjektet i Bergen kommune Innholdsfortegnelse Sammendrag... 3 1. Innledning... 4 1.1 Formål og problemstillinger... 4 1.2 Avgrensning

Detaljer

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01. Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt

Detaljer

Veiledning i informasjonssikkerhet for kommuner og fylker

Veiledning i informasjonssikkerhet for kommuner og fylker Veiledning i informasjonssikkerhet for kommuner og fylker TV-202:2005 Veiledning i informasjonssikkerhet for kommuner og fylker Side 2 av 39 Forord Veileder i informasjonssikkerhet for kommuner og fylkeskommuner

Detaljer

Hver dag jobber vi for å holde HiOA

Hver dag jobber vi for å holde HiOA Hver dag jobber vi for å holde HiOA Sikkerhet er å beskytte verdier vit hva du skal gjøre når noe skjer Page 1 of 16 Mennesker omfatter alle som er tilknyttet HiOA eller oppholder seg på HiOAs område Informasjon

Detaljer