Informasjonssikkerhetsprinsipper
|
|
- Christian Fredriksen
- 7 år siden
- Visninger:
Transkript
1 Ver. 1.0 Mai 2012
2 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) Christoffer Hallstensen Generalisering 0.2 (UTKAST-1) Christoffer Hallstensen Rettet diverse feil 0.3 (UTKAST-1) Christoffer Hallstensen Lagt til Roller og ansvarsområder" Christoffer Hallstensen Lagt til "Akademiske data" Christoffer Hallstensen Lagt til Sikkerhetsorganisasjon" Christoffer Hallstensen Endret til ny struktur Christoffer Hallstensen Skrevet om sanksjoner og fjernet redundante punkter Christoffer Hallstensen Høgskoleledelsen er byttet ut med rektor Christoffer Hallstensen Policy og prinsipper splittet i to dokumenter. Godkjennelse Versjon Navn Dato Rolle i
3 Versjonskontroll i Innhold ii 1 Prinsipper for Informasjonssikkerhet Begreper og definisjoner Oppfølging og revisjon Sikkerhetsorganisasjon Klassifisering og informasjonskontroll Akademiske data Personell og studenter Fysisk sikkerhet Tilgangskontroll Kommunikasjon og driftsadministrasjon Systemutvikling og vedlikehold Risikostyring Hendelseshåndtering og beredskap Kontinuitet Samsvar Konsekvenser og sanksjoner Roller og ansvarsområder Sikkerhetsansvarlige Systemansvarlige ii
4 1 Prinsipper for Informasjonssikkerhet 1.1 Begreper og definisjoner Autentisering: Bevis for at en person eller program er den/det man utgir seg for å være. Autorisasjon: Bemyndiggjørelse, godkjenning eller innen sikkerhet; tillatelse til å utføre visse oppgaver og/eller få tilgang til visse informasjonsressurser. Behandlingsansvarlig: Person eller avdeling som formelt er ansvarlig for et informasjonssystem og/eller at informasjon behandles og forvaltes iht. lover og forskrifter. Beredskap: Evne til å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til skade eller tap av eiendeler. Data: Meningsnøytrale forekomster av tekst, tall eller lignende bærere av verdier som kan inngå i eller bidra til å forme informasjon. Endringshåndtering: (ref: ISO 20000) En strukturert prosess som sikrer at ingen uautoriserte eller dårlig testede endringer gjøres på produksjonsystemer. Hendelse: en tilstand som er et avvik i fra normalen. Hendelseshåndtering: (ref: ISO 20000) En strukturert prosess for å respondere på en hendelse og gjenopprette normal drift. Informasjonsressurs: Enhver avgrenset mengde informasjon som er tilgjengelig i en hvilken som helst form av eller for HiG, kan også være klassifisert informasjon. Informasjonssikkerhet: Beskytte konfidensialitet, integritet og tilgjengelighet for all informasjon på alle informasjonsressurser under prosessering, transport og lagring. Infrastruktur: En infrastruktur er en kombinasjon av administrative og organisatoriske tiltak, samt teknisk anlegg og utstyr, som skal til for at en organisasjon skal fungere på en tilfredstillende måte. IKT-infrastruktur: Omfatter maskinvare, programvare, nettverk, telefoni, lokaler, omgivelser og andre spesielle forhold som inngår i utvikling, forvaltning og drift av IKT-systemer. Integritet: Sikre at informasjon er riktig, nøyaktig og gyldig, og at databehandling som utføres er fullstendig. Katastrofe: En hendelse eller en serie av hendelser som setter organisasjonen ut av stand til å utføre virksomhetskritiske oppgaver i en gitt periode, som fører til stor skade og/eller tap. Konfidensialitet: Sikkerhet om at kun autoriserte personer har tilgang til informasjonen og at den ikke er tilgjengelig for uvedkommende. Kritikalitet: En skala som indikerer viktigheten av informasjon eller informasjonssystemer for organisasjonen basert på konsekvenser ved brudd på konfidensialitet, integritet eller tilgjengelighet. Policy: Formaliserte overordnede mål og prinsipper. Retningslinje: Pekepinn på hvordan en skal rette seg etter policy for at mål skal kunne nås. Risiko: Innen informasjonssikkerhet er risiko en funksjon av sannsynligheten eller muligheten for at en sikkerhetshendelse/trussel inntreffer og hvor mye skade dette vil medføre. 1
5 Sikkerhetsorganisasjon: Hvordan sikkerheten skal organiseres innen organisasjonen. Sikkerhetshendelse: En tilstand som avviker fra normalen hvor konfidensialitet, integritet eller tilgjengelighet svekkes. Systemeier: Juridisk eier av et informasjonssystem. Tilgjengelighet: At informasjon og informasjonssystemer altid er tilgjengelige og operasjonelle ved behov. LMS: Learning Management System (elæringsplattform). 2
6 1.2 Oppfølging og revisjon Høgskoleledelsen skal aktivt sørge for at policy, retningslinjer og prosedyrer blir opprettet, fulgt opp og benyttet Høgskoleledelsen skal tilrettelegge for at ansatte og studenter får riktig materiell og opplæring i å beskytte høgskolens eiendeler og informasjon Informasjonssikkerhetspolicy og prinsipper skal revideres minimum hvert 2. år for å sikre relevans overfor dagens trusselbilde og dekke Høgskolen i Gjøviks mål innen informasjonssikkerhet. 1.3 Sikkerhetsorganisasjon Høgskolen i Gjøvik skal ha et informasjonssikkerhetsråd, en arbeidsgruppe som består av personer med ulik erfaring fra forskjellige deler av organisasjonen Informasjonssikkerhetsrådet har i ansvar å revidere, vedlikeholde og videreutvikle informasjonssikkerhetspolicyen og prinsipper med tilhørende retningslinjer, samt arbeide med andre sikkerhetsrelaterte oppgaver gitt av rektor. 1.4 Klassifisering og informasjonskontroll Informasjon, infrastruktur og rutiner skal tilpasses og klassifiseres i henhold til nødvendig sikkerhetsnivå og behov for tilgang Klassifiserte eiendeler og informasjon skal merkes tydelig og om nødvendig forsegles av behandlingsansvarlig Høgskolen i Gjøvik skal ha retningslinjer og standarder for informasjonsklassifisering. Det er rektor sitt ansvar at dette er på plass Høgskolen i Gjøvik skal ha retningslinjer og prosedyrer for lagring, transport, behandling og tilgang til klassifisert informasjon og eiendeler av typen begrenset eller konfidensiell. Alle eiendeler og informasjon som er uklassifisert regnes som åpen Informasjonsressurser som behandles av høgskolen skal ha en behandlingsansvarlig Informasjonsressurser som behandles på oppdrag fra høgskolen av en tredjepart skal ha en ansvarlig som er tilsatt ved høgskolen Informasjon skal klassifiseres i tre kategorier: ÅPEN: Informasjon som ikke inneholder intern eller sensitive opplysninger. BEGRENSET: Informasjon som regnes som intern og kan være skadende for Høgskolen i Gjøviks omdømme eller ikke er passende for en tredjepart. Systemeier avgjør behandling og lagring. KONFIDENSIELL: Sensitiv informasjon hvor uautorisert tilgang kan medføre betydelig skade for enkeltpersoner, høgskolen eller deres interesser. Konfidensiell er synonymt med forvaltningslovens Unntatt offentlighet. 3
7 1.5 Akademiske data Høgskolen i Gjøvik skal ha klare retningslinjer for lagring, behandling og transportering av forskningsdata i henhold til konfidensialitet, integeritet, tilgjengelighet og gjeldende lovverk der dette er nødvendig Høgskolen i Gjøvik skal ha adekvate retningslinjer for behandlig, lagring og transportering av studentprodusert data. 1.6 Personell og studenter Høgskolen i Gjøvik skal ha klare retningslinjer og prosedyrer for tilsettelse, avgang og ved endring av arbeidsforhold Høgskolen i Gjøvik skal ha klare retningslinjer og prosedyrer for opptak, endring, avgang og behandling av studentrelatert informasjon Ansatte og studenter ved Høgskolen i Gjøvik skal til enhver tid kunne legitimere seg med ansatt-/studentkort ved ferdsel på området og ved bruk av høgskolens informasjonssystemer og andre eiendeler Nødvendig informasjon om vilkår og bruk av Høgskolen i Gjøviks IT-infrastruktur, samt sikkerhetspolicy og retningslinjer, skal finnes tilgjengelig på Internett, Fronter eller andre relevante informasjonskanaler Høgskolen i Gjøvik skal ha retningslinjer for utlevering av informasjon om studenter og ansatte til en tredjepart. 1.7 Fysisk sikkerhet Alt fysisk utstyr høgskolen enten eier eller er forvalter for skal merkes og registreres av hver avdeling etter egne retningslinjer. Det er avdelingsleder sitt ansvar at dette er på plass Høgskolen i Gjøvik skal ha hensiktsmessige retningslinjer for sikring av alle lokaler og fysiske soner etter klassifisering og kritikalitet Hensiktmessige lokaler og infrastruktur skal benyttes for å redusere risiko for hendelser som brann, vannlekkasjer, tyveri, strømbrudd ol. 4
8 1.8 Tilgangskontroll Informasjonssystemer skal ha retningslinjer for tilgangskontroll med adekvat loggføring Autentisering skal, hvis ikke avvik er nødvendig, utføres via sentrale fellessystemer for administrasjon, autentisering og autorisasjon av brukere og tjenester Systemeiere har ansvar for at systemet konfigureres med adekvat tilgangskontroll og loggføring etter retningslinjer godkjent av rektor Infrastruktur skal settes opp på en hensiktsmessig måte slik at forskjellige fysiske og logiske sikkerhetsnivå er adskilt. pkt Kommunikasjon og driftsadministrasjon Systemeier er ansvarlig for at systemer dokumenteres og at dokumentasjon oppdateres ved endringer etter høgskolens definerte standard Hver avdeling har i ansvar å utvikle egne skriftlige retningslinjer og rutiner for å oppfylle krav nedfelt i policy og prinsipper Retningslinjer for overvåkning av IKT-infrastruktur skal være definert Arbeidsoppgaver og ansvar skal fordeles på en måte som forebygger muligheter for uautorisert tilgang og misbruk av høgskolens eiendeler Systemeier er ansvarlig for at det eksisterer retningslinjer og adekvate prosedyrer for sikkerhetskopiering av egne systemer der dette er nødvendig. Systemeier eller behandlingsansvarlig må ta stilling til dette Systemutvikling og vedlikehold Kravspesifikasjoner på systemer og tjenester skal inneholde krav til informasjonssikkerhet der det tas høyde for risikoer ved implementasjon og utvikling Det skal finnes retningslinjer for loggføring og endringshåndtering av alle systemer i produksjon Utvikling, test og vedlikehold/drift skal separeres for å forhindre uønskede feilsituasjoner. 5
9 1.11 Risikostyring Enhver behandlingsansvarlig skal ha foretatt en risikovurdering av informasjonsressurser vedkommende er ansvarlig for Risikohåndtering og vurdering skal foregå etter kriterier og retningslinjer godkjent av rektor Det skal utføres risikovurderinger hvert 2. år for å identifisere og prioritere risiko etter kriterier nedfelt i retningslinjer Behandlingsansvarlig skal vurdere behov for sikringstiltak i henhold til effektivitet, kostnad og praktisk gjennomførbarhet Risikovurderinger skal godkjennes av høgskolens ledelse, systemeier eller behandlingsansvarlig med fullmakt Ved uakseptabelt høy risiko skal det iverksettes tiltak som reduserer risiko til et akseptabelt nivå Dersom en avdeling er i besittelse av personopplysninger skal avdelingen ta høyde for dette ved risikovurdering, dette er behandlingsansvarlig sitt ansvar Hendelseshåndtering og beredskap Høgskolen i Gjøvik skal ha beredskapsplaner og retningslinjer for hendelseshåndtering for alle informasjonssystemer kritisk for operativ drift, dette må være implementert på et organisatorisk nivå Høgskolen i Gjøvik skal ha retningslinjer og prosedyrer for rapportering av sikkerhetshendelser. Det er systemeier sin oppgave å sørge for at disse eksisterer og er implementert på egne systemer Høgskolen skal ha definert et eget beredskapsteam som skal kunne håndtere sikkerhetsrelaterte hendelser og andre kriser. 6
10 1.13 Kontinuitet Høgskolen i Gjøvik skal ha planer for kontinuitet som dekker alle kritiske elementer for daglig operativ drift av bærende infrastruktur og informasjonssystemer Alle kontinuitetsplaner skal kvalitetssikres, oppdateres og testes minimum hvert 2. år Samsvar Høgskolen i Gjøvik skal følge opp og leve opp til gjeldende lover, forskrifter og eksterne retningslinjer, deriblandt: Arbeidsmiljøloven Universitets og Høgskoleloven Internkontroll-forskriften Personopplysningsloven med forskrift Regnskapsloven Arkivloven med forskrifter Offentleglova med forskrifter Sikkerhetsloven med forskrifter Forvaltningsloven med forskrifter Helseforskningsloven Forskrift om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver Datatilsynets krav UNINETTs etiske retningslinjer 1.15 Konsekvenser og sanksjoner Alle ansatte, studenter og eksterne oppdragsgivere er pålagt å forholde seg til og følge denne sikkerhetspolicyen, tilhørende retningslinjer og regler godkjent av rektor Ved brudd på sikkerhetspolicy og tilhørende retningslinjer kan det få konsekvenser definert av rektor iht. gjeldende regelverk. 7
11 2 Roller og ansvarsområder Sikkerhetspolicyeier: Inge Øystein Moen, Høgskoledirektør 2.1 Sikkerhetsansvarlige IKT-Sikkerhetsansvarlig: Stian Husemoen, IT-leder 2.2 Systemansvarlige Personalsystem: Jan Kåre Testad, personaldirektør Arkiv: Jan Kåre Testad, personaldirektør Studentsystem: Gunn Rognstad, studiedirektør Økonomisystem: Kai Jakobsen, økonomidirektør Web: Gunn Rognstad, studiedirektør LMS: Gunn Rognstad, studiedirektør (evt. Rigmor Øvstetun) Studiehåndbok: Gunn Rognstad, studiedirektør IKT-infrastruktur: Stian Husemoen, IT-leder Bibliotekssystemer: Klaus Jøran Tollan, Hovedbibliotekar 8
3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerOverordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune
Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerHøgskolen i Telemark. Policy for informasjonssikkerhet ved
Høgskolen i Telemark Policy for informasjonssikkerhet ved Dato: 26. mai 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse HiT0.40 03.11.2008 HiTs rev. forslag før workshop HiT0.41
DetaljerStyringssystem for informasjonssikkerhet i Arbeidstilsynet
2 Styringssystem for informasjonssikkerhet i Arbeidstilsynet 11. Juni 2014 Bjørn S. Larsen Direktoratet for arbeidstilsynet bjorn.larsen@arbeidstilsynet.no 3 Drivere Riksrevisjonen 17-18 oktober 2011 Riksrevisjonen
DetaljerRisikovurdering av cxstafettloggen
Risikovurdering Side 1 av 6 Risikovurdering av cxstafettloggen Haugesund kommune har gjennomført ei risikovurdering av informasjonssikkerheten i forbindelse med plan om oppstart av CX Stafettloggen. I
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerSikkerhetspolicy for informasjonssikkerhet ved
Sikkerhetspolicy for informasjonssikkerhet ved Dato: 28.04 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 1.0 28.04.2009 Endelig versjon Forfatter og distribusjon Forfatter
DetaljerPolicy. for. informasjonssikkerhet. ved NMBU
Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING... 1 1.1 Bakgrunn...
DetaljerStilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen
Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
Detaljer1 Våre tiltak. Norsk Interaktivs arbeid med personvern
Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
Detaljer3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.
1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av
DetaljerRisikovurdering av Public 360
Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
Detaljer1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2
Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerVeilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.
Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerPolicy for informasjonssikkerhet ved HSN
Policy for informasjonssikkerhet ved HSN Side 1 av 15 Versjonskontroll Versjon Dato Endringsbeskrivelse HSN 1.0 16.09 2016 Policy for informasjonssikkerhet for HSN basert på Uninett/HiT-dokumenter bearbeidet
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerHøgskolen i Telemark Styret
Høgskolen i Telemark Styret Møtedato: 24.09.09 Saksnummer: Saksbehandler: Journalnummer: Arne Hatlen 2009/868 Fastsetting av policy for informasjonssikkerhet ved Høgskolen i Telemark Saken i korte trekk
DetaljerSikkerhetsmål og -strategi
Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerVeileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?
Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To
DetaljerPolicy for informasjonssikkerhet ved U1S
\I\ EkSLIÆrLf, \HLi: 05 AUG.2013 20in i Stava nger Policy for informasjonssikkerhet ved U1S Versjon:1.2 Dato: 10.04.2013 1.0 Policy for informasjonssikkerhet 4 1.1 Sikkerhetsmål 4 1.2 Sikkerhetsstrategi
DetaljerRETNINGSLINJE for klassifisering av informasjon
RETNINGSLINJE for klassifisering av informasjon Fastsatt av: Universitetsstyret Dato: 5.4.19 Ansvarlig enhet: Avdeling for IT Id: UiT.ITA.infosec.ret01 Sist endret av: -- Dato: 5.4.19 Erstatter: Kap. 3
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerRevisjon av IT-sikkerhetshåndboka
Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerNTNU Retningslinje for klassifisering av informasjon
Retningslinje for klassifisering av informasjon Type dokument Retningslinje Forvaltes av Leder av Avdeling for dokumentasjonsforvaltning Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerKvalitetssikring av arkivene
Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerInformasjonssikkerhetspolitikk. ved
ved Dato: 15.oktober 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 0.7 13.02.2008 Initiell versjon 0.8 22.10.2008 Bearbeidet versjon etter diverse høringer på e-post 0.81
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerInformasjonssikkerhet i UH-sektoren
Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet
DetaljerGDPR - Personvern
Eid Elektro AS skrevet ut av Ove Kjøllesdal 3/9/18 15:37:31 00.110 GDPR - Personvern Hensikt Personopplysningslovens bestemmelser gir de overordnede rammene for behandling av personopplysninger. Prosedyren
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerInformasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13
Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig
Detaljer2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerHandbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret
Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt
DetaljerVedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02
Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden
Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerUnderbygger lovverket kravene til en digital offentlighet
Underbygger lovverket kravene til en digital offentlighet Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 Digitalisering
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerHar du kontroll på verdiene dine
Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1 Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter
DetaljerStyringssystem for informasjonssikkerhet ved Høgskulen i Volda
Styringssystem for informasjonssikkerhet ved Høgskulen i Volda Basert på ISO/IEC 270001/02: 2013 Styringssystem for informasjonssikkerhet HVO versjon 2.1 13.11.2015 1 Innhold Innledning... 2 2 Risikostyring...
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerSøknadsskjema etter finansforetaksforskriften 3-2
Søknadsskjema etter finansforetaksforskriften 3-2 Skjemaet gjelder for: Betalingsforetak, e-pengeforetak og opplysningsfullmektiger 29.03.2019 1 Om skjemaet 1.1 Hvem skjemaet gjelder for Skjemaet gjelder
DetaljerArbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6
Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel
DetaljerVeileder: Risikovurdering av informasjonssikkerhet
Veileder: Risikovurdering av informasjonssikkerhet Informasjonssikkerhet og risikovurderinger Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
Detaljer1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.
Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede
DetaljerEDB Business Partner. Sikkerhetskontroller / -revisjoner
EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerHver dag jobber vi for å holde HiOA
Hver dag jobber vi for å holde HiOA Sikkerhet er å beskytte verdier vit hva du skal gjøre når noe skjer Page 1 of 16 Mennesker omfatter alle som er tilknyttet HiOA eller oppholder seg på HiOAs område Informasjon
DetaljerNTNU Retningslinje for operativ sikkerhet
Retningslinje for operativ sikkerhet Type dokument Retningslinje Forvaltes av Leder av IT-avdelingen Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerInternkontroll i mindre virksomheter - introduksjon
Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no
DetaljerDifis veiledningsmateriell, ISO 27001 og Normen
Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
Detaljer