Veiledning i informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Veiledning i informasjonssikkerhet"

Transkript

1 Veiledning i informasjonssikkerhet ved bruk av e-post Versjon oktober 1999 KITH Rapport X/99 ISBN

2 KITH-rapport Tittel Veiledning i informasjonssikkerhet ved bruk av e-post Forfatter(e) Arnstein Vestad Oppdragsgiver(e) SHD Rapportnummer R X/98 ISBN Godkjent av URL Dato Antall sider Kvalitetssikret av 19. oktober 1999 Sideant. Bjarte Aksnes, Tor O. Grøtan Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7005 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post Foretaksnummer Prosjektkode S-SV Gradering Adm. direktør Sammendrag Tilgang til bruk av e-post er et stadig tiltagende krav også i institusjoner i helsevesenet. Innføring av e-post har til nå hatt liten utbredelse i helseinstitusjoner. En av årsakene er at IT-systemene i helsevesenet i utstrakt grad behandler sensitive personopplysninger, og de krav som dermed har blitt stilt til informasjonssikkerhet. Denne veiledningen søker å konkretisere og klargjøre kravene til sikker informasjonsbehandling som er gitt i Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og hvordan disse kan forstås for e-post spesielt. Målet er klargjøre rammevilkårene for e-post slik at et nyttig verktøy lettere kan tas i bruk.

3 Innhold INNLEDNING... 1 TILGANG TIL E-POST I SENSITIV SONE... 3 Begrensing av klipp og lim 4 MELDINGSSIKKERHET OG TTP-TJENESTER... 5 Digital signatur 6 TTP-tjenester 6 TTP-tjenester og digital signatur ved bruk av e-post 7 BRUKERPOLICY FOR E-POST... 8 VEILEDNING: E-POST I HELSESEKTOREN i

4 VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Kapittel 1 Innledning Tilgang til bruk av e-post er et stadig tiltagende krav også i institusjoner i helsevesenet. Innføring av e-post har til nå hatt liten utbredelse i helseinstitusjoner. En av årsakene er at ITsystemene i helsevesenet i utstrakt grad behandler sensitive personopplysninger, og de krav som dermed har blitt stilt til informasjonssikkerhet. Denne veiledningen søker å konkretisere og klargjøre kravene til sikker informasjonsbehandling som er gitt i Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og hvordan disse kan forstås for e-post spesielt. Målet er klargjøre rammevilkårene for e-post slik at et nyttig verktøy lettere kan tas i bruk. Denne veiledningen inngår i en serie av veiledninger fra KITH som tar utgangspunkt i Datatilsynets Retningslinjer og som har som hensikt å muliggjøre tilstrekkelig helsefaglig funksjonalitet og etterleve helselovgivningens krav samtidig som Datatilsynets krav til informasjonssikkerhet etterleves. Bruk av e-post handler av natur om utveksling av informasjon, og det er derfor naturlig at innføring av en slik tjeneste byr på utfordringer i et miljø med så stor tetthet av sensitiv informasjon som helsevesenet. Rent teknisk knytter hovedproblemene seg til såkalte datadrevene angrep, dvs. ondsinnede programmer som overføres som del av meldingene, og også faren for utilsiktet utlevering av informasjon, eksempelvis ved at informasjon sendes til en e-postgruppe og ikke til en enkeltperson eller valg av feil vedlegg ved utsendelse. Det vil også være utfordringer på organisatoriske områder. Dette kan bl.a. være hvordan e-post skal inngå i organisasjonens arbeidsflyt og hvilke retningslinjer som skal etableres for privat bruk av e-post. For å løse disse problemene kreves det en strukturert prosess hvor behov og nytte veies opp mot de utfordringer som reises. Kapitel 2 vil drøfte noen tekniske løsninger for å kunne tilby tilgang til e- post for brukere som befinner seg i det Datatilsynet kaller sikret sone, altså den sonen hvor sensitive personopplysninger kan behandles. Disse løsningene er ment å gi systemteknisk sikring mot utilsiktet utlevering. Kapittel 3 beskriver mekanismer for å tilby meldingssikkerhet, dvs. kryptering og digital signatur, samt såkalte tiltrodde tredjepartstjenester. Kapittel 4 gir råd om elementer som bør inngå i utformingen av en brukerpolicy for e-post. 1

5 INNLEDNING Selve veiledningen er plassert i Vedlegg A, og er bygd opp etter mal fra Datatilsynets Retningslinjer. 2

6 VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Kapittel 2 Tilgang til e-post i sikker sone Det er et uttrykt ønske fra flere hold å ha tilgang til å lese e- post også fra sikker sone som definert av Datatilsynet. En trussel ligger i muligheten for utilsiktet utlevering av informasjon. Dette kan foregå på flere måter, men det som nevnes oftest knyttes til klipp og lim-funksjonalitet. Andre trusler i denne forbindelse kan være dårlig kontroll på mottakeradresser i e- post utsendelser, samt ondsinnet programvare som virus og lignende som når aktivert kan sende ut informasjon. Ulike tekniske løsninger kan tenkes for å gi en mest mulig fleksibel tilgang som likevel gir delvis beskyttelse mot disse truslene, hver med sine fordeler og ulemper, og vi vil her gi noen forslag. E-postklient uten sendetilgang Internettbasert e-post benytter seg typisk av to ulike tjenester for å laste ned og å sende e-post. (Henholdsvis POP/IMAP og SMTP). Det er dermed mulig å tillate bruk av protokoll for nedlasting/lesing av e-post uten samtidig å tillate bruk av sendeprotokollen. Dette kan foregå rent konfigurasjonsmessig på flere måter: Alt 1.: For sikker sone settes e-postklienten opp med kun server for mottak av e-post. Et annet oppsett benyttes så i intern sone og med mulighet for å sende e-post. Svakheter med denne løsningen er at det vil være lett (og sannsynligvis fristende) å skrive inn adressen også til SMTPtjeneren, så framt dette er mulig. Det vil videre være viktig å holde e- postkassene synkronisert, noe som vil være vanskelig med POP, men som lar seg gjøre med IMAP. Det vil heller ikke være tilstrekkelig å kun nekte selve sendingen av e-postmeldingen mens brukeren er i sensitiv sone, hvis dette medfører at meldingen blir lagt i meldingskøen og sendt ved første anledning. En mer effektiv metode ville derfor være å tilby en egen e-postklient som kun tillater lesing, og ikke sending. Alt. 2.: Operativsystemet stenger for bruken av TCP-porten som benyttes ved sending av e-post, når brukeren befinner seg i sensitiv sone. Også her vil det være mulig for klientprogrammet å legge meldingen i en kø for sending senere, og dermed omgå sikkerhetsmekanismen. Terminal-løsninger Andre løsninger vil kunne innebære å skille e-postklient fra arbeidsstasjonen som brukeren benyttes ved hjelp av en såkalt terminal-løsning, 3

7 TILGANG TIL E-POST I SIKKER SONE hvor programmet kjører på en sentral tjenermaskin og kun skjermbilde og tastetrykk overføres mellom tjenermaskin og arbeidsstasjon. Denne løsningen krever kontinuerlig oppkobling mellom tjenermaskin og arbeidsstasjon. Hvis løsningen implementeres på en slik måte at klipp og lim ikke er mulig mellom fjernapplikasjonene og de lokale programmene, vil man være sikret mot utilsiktet utlevering av klipp og lim-typen, og det burde derfor også være relativt uproblematisk å tillate også sending av e-post. Hovedproblemet vil først og fremst ligge i tilgangen til vedlegg og nedlastede filer, både når slike skal sendes og mottas, da disse i utgangspunktet kun havner på tjenermaskinen. Det vil likevel som oftest være mulig å etablere enkelte begrensede kanaler for overføring av vedlegg eller nedlastede filer, f.eks. gjennom nettverkskataloger som kan nås fra begge sonene. Vi vil også vise til Datatilsynets Veiledning ved bruk av tynne klienter. Begrensing av klipp og lim Enkelte tilgjengelige produkter tilbyr begrensing av klipp og lim funksjonaliteten slik at klipp og lim fra enkelte forhåndsdefinerte programmer ikke lar seg gjøre. En slik løsning forutsetter bruk av tredjeparts programvare, men kan være en effektiv løsning på sitt begrensede område. Denne løsningen fjerner likevel ikke hele problemet med utilsiktet utlevering, slik utlevering kan likevel skje gjennom mekanismer som vedlegg til e-post. Det vil derfor være en avveining hvorvidt sikkerheten med en slik løsning er på et akseptabelt nivå. En annen metode for å forhindre klipp og lim er at det enkelte program krypterer innholdet som legges på utklippstavlen, slik at innholdet kun er forståelig for det aktuelle programmet. Denne løsningen forutsetter at alle applikasjoner som behandler sensitive opplysninger er modifisert for å gjøre dette. 4

8 MELDINGSSIKKERHET OG TTP-TJENESTER Meldingssikkerhet og TTP-tjenester Kapittel 3 Feltet meldingssikkerhet omfatter i hovedsak fire sikkerhetsaspekter, konfidensialitet, integritet, autentisitet og ikkebenekting. Kort sakt betyr dette å sikre at utenforstående ikke kan lese en melding eller endre en melding uten at dette oppdages, samt garantere at opphavet av en melding er den vi tror det er og at opphavet til meldingen ikke kan benekte å ha sendt meldingen. Valg av hvilke av disse tjenestene som skal benyttes må avgjøres ut fra kommunikasjonens formål, behov og trusselbilde. Rent teknisk sikres disse egenskapene ved bruk av kryptografiske teknikker. Kryptografiske teknikker kan deles inn i to hovedgrupper, symmetriske og asymmetriske, også henholdsvis kalt delt nøkkel og offentlig nøkkelbasert kryptografi. Symmetrisk kryptografi baserer seg på at kommunikasjonspartene deler en hemmelig nøkkel, som i kombinasjon med en kryptografisk algoritme benyttes til å beskytte meldingen. Når kommunikasjonsmønstrene er enkle og partene er kjent på forhånd kan denne type beskyttelse være tilstrekkelig, men metoden byr på store problemer når kommunikasjonsmønstrene blir mindre forutsigbar eller man ønsker å kommunisere med parter som man ikke nødvendigvis har et eksisterende forhold til. Symetrisk kryptografi forutsetter altså at hemmelige nøkler deles mellom kommunikasjonspartene, og meldingsbeskyttelsen avhenger av at nøkkelen holdes hemmelig for alle andre. Sikkerheten i slike systemer avhenger derfor av rutinene for håndtering av nøkkelmaterialet. Asymmetrisk kryptografi ble introdusert i 1976 som et svar på problemet med nøkkeldistribusjon. Disse systemene har to hovedformål, kryptering og digitale signaturer, og med et slikt system får hver bruker to nøkler, en offentlig og en privat. Den offentlige nøkkelen kan spres til alle, mens den private holdes hemmelig, og behovet for hemmelig utveksling av nøkler forsvinner dermed. Sikkerheten i dette systemet hviler dermed på at kun den private nøkkelen forblir hemmelig. I et system basert på offentlige nøkler sikres meldingenes konfidensialitet ved at meldingen krypteres med mottagers offentlige nøkkel. Integritet og autentisitet sikres ved at meldingen signeres med avsenderens hemmelige nøkkel. 5

9 MELDINGSSIKKERHET OG TTP-TJENESTER Kryptering Kryptering benyttes for å beskytte meldingers konfidensialitet. I de fleste tilfeller kombineres symmetrisk og asymmetrisk kryptering i det som ofte kalles hybrid kryptering, dette fordi asymmetrisk kryptering er mer tidkrevende enn symmetrisk kryptering. Selve meldingen krypteres derfor symmetrisk med en tilfeldig nøkkel som igjen krypteres asymmetrisk og legges ved meldingen. Digital signatur En digital signatur benyttes for å realisere autentisering, integritet og ikke-benekting. En digital signatur legges ved meldingen ved at det først beregnes en såkalt hash-verdi av meldingen. Dette er en verdi som er unik for denne meldingen (mer korrekt, hvor det vil være meget tidkrevende å finne en annen melding som vil føre til samme hash-verdi, særlig en melding som gir mening). Denne verdien krypteres så med avsenderens private nøkkel, og legges ved meldingen. På denne måten knytter den digitale signaturen meldingens innhold til innehaveren av den hemmelige nøkkelen som signerte meldingen. Det vil derfor ikke være mulig å kopiere signaturen og benytte den på et annet dokument, ei heller å endre dokumentet uten at signaturen ødelegges. En digital signatur sikrer dermed mot forfalskning av dokumentet både av mottaker og avsender, og den sikrer at avsender ikke kan benekte å ha signert dokumentet. For å kontrollere signaturen dekrypteres så den krypterte hash-verdien med avsenderens offentlige signaturnøkkel. Hash-verdien for den mottatte meldingen beregnes og sammenlignes med den dekrypterte signaturen. Hvis disse to er like kan man konkludere med at meldingen er uendret og er signert av innehaveren av den hemmelige nøkkelen. TTP-tjenester Tiltrodde tredjeparter er aktører som tilbyr et sett av tjenester i forbindelse med bruk av offentlige nøkler. Disse tjenestene er i hovedsak ment å sikre: - At de offentlige nøkler som er i omløp er entydige, ekte, gyldige og knyttet til en enkelt identifisert person eller virksomhet og at dette kan verifiseres av den som mottar en offentlig nøkkel. - At det på en enkel og sikker måte er mulig å få tak i en bestemt persons eller virksomhets offentlige nøkkel. Tjenestene som understøtter sikkerheten i meldingssystemet tilbys av uavhengige tredjeparter som kan anses som objektive i forhold til de kommuniserende partene, og på en slik måte at alle som benytter tjenesten kan ha en tilstrekkelig tiltro til at alle aspekter ved sikkerheten og funksjonaliteten er ivaretatt i tråd med de krav som brukere, myndigheter og regelverk stiller. 6

10 MELDINGSSIKKERHET OG TTP-TJENESTER En av hovedtjenestene som TTPer tilbyr er signering av såkalte sertifikater. Sertifikater er den normale måten å gjøre offentlige nøkler kjent på, og de består som et minimum av en offentlig nøkkel, eierens identitet og TTPens signatur. Dette gjør at man kan kontrollere alle sertifikater som blir tilsendt ved å kontrollere TTPens signatur. TTPens identitet og offentlige nøkkel må være kjent på forhånd (dette foregår ofte ved at f.eks. web-lesere og e-postprogrammer som benytter slike systemer kommer med en del TTP-nøkler ferdig installert). En hovedarena for utprøving av TTP-tjenester i stor skala innen det norske helsevesenet er SESAM-prosjektet. Prosjektet vil fokusere på å ta i bruk standardiserte TTP-og sikkerhetsløsninger og bygge på eksisterende applikasjoner for web, e-post og EDI. TTP-tjenester og digital signatur ved bruk av e-post De nevnte mekanismene (kryptering, digital signatur og TTP-tjenester) kan benyttes på all form for meldingskommunikasjon og egner seg derfor godt for e-post. For å sikre interoperabilitet mellom ulike e-postsystemer, kreves det standardisering av hvordan kryptert og signert informasjon skal overføres. Ingen standard har til nå utkrystallisert seg som vinner i dette kappløpet, men favorittene er S/MIME og OpenPGP. For helsevesenet finnes det en europeisk prestandard, prenv 13608, som er kompatibel med S/MIME. Kryptering og signering utenfor e-postklient I den grad de ulike partene i kommunikasjonene ikke har e-postsystemer som støtter kryptering og digital signatur, eller dette kun er tilgjengelig hos en av kommunikasjonspartene, er det også mulig å benytte separate programmer som kan kryptere og/eller signerer de aktuelle filene som skal oversendes, for så å legge disse ved som vedlegg. 7

11 BRUKERPOLICY FOR E-POST Brukerpolicy for e-post Kapittel 4 Før bruk av e-post tillates i en organisasjon må det defineres en brukerpolicy for akseptabel bruk og gis retningslinjer og veiledning i hvordan e-post skal brukes. Policyen må klart formulere hva som er tillatt og ikke tillatt og konsekvenser ved brudd, men bør også gi veiledning i korrekt bruk av e-post. Det er viktig at det gis klare retningslinjer for hvilke rettigheter og plikter den enkelte har overfor organisasjonen. Det bør gjøres et tydelig skille mellom absolutte krav (hvor avvik vil ha alvorlige konsekvenser) og anbefalinger (som skikk og bruk ved e- post, netikette osv.) Noen eksempler på elementer som bør inngå i en policy for bruk av e- post kan være: Hvorvidt e-post kun kan brukes til tjenstlige formål Tips om hva e-post kan brukes til, som: Beskjeder og korte meldinger Generell informasjonsspredning Påminnelser og bekreftelser Møteinnkallinger og møtereferater Hva e-post ikke kan / skal brukes til, som: Sensitiv informasjon (ukryptert) Kontrakter som krever bindende signatur Regler omkring mottak av vedlegg, som Forbud mot å kjøre programmer som blir oversendt Obligatorisk viruskontroll og lignende forebyggende tiltak Hvilke typer informasjon som kan sendes over e-post Regler for hvorvidt sensitiv informasjon kan sendes, og i hvilken form (f.eks. kryptert / signert). Advarsel om at ukryptert e-post kan sammenlignes med å sende åpent postkort, fortrolig informasjon bør derfor ikke sendes slik. Etiske retningslinjer 8

12 BRUKERPOLICY FOR E-POST Akseptabel/anbefalt oppførsel ved bruk av e-post, som Ikke spre virusvarsel som mottas uten at det er klarert med systemansvarlige Ikke bruk e-post til tidskritiske meldinger uten å være sikker på at mottaker leser e-post jevnlig Send meldinger til færrest mulig mottakere. Send ikke unødvendige kopier. Bruk godt språk, sjekk rettskrivning og grammatikk. Skriv kort og klart. Vis særlig aktsomhet ved bruk av e-postlister, da informasjon lett kan spres til personer som ikke skulle hatt den. Send aldri sensitiv informasjon til e-postlister. Vær forsiktig med å spre e-postadressen på f.eks. websider eller diskusjonsgrupper for å unngå uønsket reklame e-post ( spam ) Det bør informeres om hva som logges, og hva loggen benyttes til Rutiner rundt passord til e-postsystemet Lengde og kvalitet på passord At samme passord ikke skal benyttes på Internett Hvorvidt videresending av e-post til eksterne e-posttilbydere tillates (f.eks. tjenester som Hotmail, Yahoo Mail ol.) Hvorvidt e-postboks kan anses som privat område For kommunikasjon med pasienter må det alltid være avtalt på forhånd (tlf. eller personlig, helst skriftlig) om e-post er akseptabel kommunikasjonsform, også for ikke-sensitiv informasjon. Mulige sanksjoner ved brudd på retningslinjene må være klart definert og tydelige (f.eks. tap av tilgang, oppsigelse, anmeldelse osv). Utforming av policy for e-post (og andre sikkerhetspolicyer) er en prosess som bør utføres i samråd med de den skal gjelde for. En slik prosess bør derfor ha deltagere som kan representere de ulike gruppene av ansatte, ledelsen og IT-personell. Etter at policyen er utarbeidet må den spres til alle den berører, og den kan f.eks. kreves undertegnet før tilgang til bruk av e-post gis. 9

13 VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Vedlegg A Veiledning: e-post i helsesektoren 1 Definisjoner OpenPGP: Standard for sikker meldingsutveksling, basert på filformatet til programmet Pretty Good Privacy. PrENV : S/MIME kompatible standard for sikker meldingsutveksling. Europeisk prestandard for helsevesenet. S/MIME: Standard for sikker meldingsutveksling basert på X.509 sertifikater og PKCS standarder for kryptografiske filformat fra RSA Labs inc. 2 Formål Dette dokumentet veileder helseinstitusjoner i informasjonssikkerhet ved bruk av e-post for meldingsutveksling. Veiledningen er en utdypning av Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og bør leses sammen med dette dokumentet. Veiledningen gir anbefalinger for hvordan helseinstitusjoner kan oppfylle Datatilsynets Retningslinjer. Anbefalingene er ment å gjøre det lettere å innføre e-posttjenester som kan nyttes i tråd med Retningslinjene, men er ikke å betrakte som absolutte krav. Helseinstitusjonene kan velge andre måter å oppfylle Retningslinjene på, men da må det sannsynliggjøres at disse løsningene gir like god informasjonssikkerhet. E-post kan ikke vurderes uavhengig av den totale organisatoriske og tekniske sammenhengen det skal benyttes i. Denne veiledningen behandler kun hvordan Retningslinjer for informasjonssikkerhet kan forstås i forhold til e-post. Det forutsettes at den øvrige behandlingen av både sensitive og andre personopplysninger foretas innen rammen av de tillatelser som virksomheten har for dette. E-post kan ikke forstås som kun de meldinger som sendes igjennom vinduet i en e-postklient, men må heller forstås som en tjeneste for formidling av ustrukturerte meldinger i hovedsak fra person til person. Dette er en definisjon som kan skille e-post fra f.eks. EDI og lignende meldingstjenester som formidler strukturert data fra applikasjon til applikasjon. Dette perspektivet vil sannsynligvis bli tydeligere etter hvert som e-post i større og større grad sendes også fra ulike applikasjonsprogrammer som tekstbehandler o.l. eller gjennom web-klienter. Perspektivet har også betydning ved utforming og håndhevelse av sikkerhetspolicyer, da det i mindre grad lar seg gjøre f.eks. å håndheve disse gjennom begrensninger i e-postklienten. 10

14 VEILEDNING Del II Ledelsens ansvar 3 Ansvar Helseinstitusjonens ledelse har ansvaret for at personopplysningene er tilfredsstillende sikret også ved bruk av e-post. Dette omfatter ansvaret for tilfredsstillende sikkerhet i de deler av informasjonssystemet som inngår i e-postløsningen, som nødvendige sikringstiltak i helseinstitusjonens egen infrastruktur. Ledelsen skal definere en policy for bruk av e- post i organisasjonen som bør underskrives før brukerne gis tilgang. Ledelsens ansvar omfatter også at det årlig avsettes tilstrekkelig ressurser til at til at nødvendig informasjonssikkerhet kan opprettholdes. 4 Sikkerhetsmål Bruk av e-post må inngå som en integrert del av organisasjonens informasjonssikkerhet, hvor hovedmålsettingen er å bevare organisasjonens behov for konfidensialitet, integritet og tilgjengelighet til informasjon. Ved bruk av e-post vil dette særlig være: Å muliggjøre effektiv og sikker informasjonsspredning Å unngå utilsiktet utlevering Å beskytte integritet og konfidensialitet under overføring Å beskytte mot datadrevene angrep og at organisasjonens informasjonssystemer benyttes for videreformidling av slike eller andre angrep. 5 Sikkerhetsstrategi For å oppfylle sikkerhetsmålene må en sikkerhetsstrategi defineres. Den skal beskrive alle valg og overordnede tiltak nødvendig for å benytte e- post i samsvar med sikkerhetsmålene. Sikkerhetsstrategien skal angi ansvars- og myndighetsforhold, forholdet til partnere/leverandører, samt organisatoriske og tekniske sikkerhetstiltak. Sikkerhetsstrategien må ta hensyn til organisasjonenes særskilte behov og bruksmønster for e-post, som hvorvidt e-post skal kunne sendes og/eller mottas fra sensitiv sone. 6 Personopplysninger Hvis e-post-systemet skal benyttes til overføring av personopplysninger må disse kartlegges og klassifiseres etter grad av sensitivitet, og nødvendige sikkerhetsmekanismer må tilpasses dette. 11

15 VEILEDNING 7 Risikoanalyse De ulike risikomomentene ved bruk av e-post må kartlegges og være forstått, og en risikoanalyse må utføres som fokuserer på potensielle trusler og om sikringstiltak er tilstrekkelige. Ulike risikomomenter som bør drøftes er bl.a.: Hvorvidt e-post skal være tilgjengelig i sensitiv sone Risikoen for utilsiktet utlevering, herunder feiladressering (avhenger bl.a. av beslutningsstøtten i e-postprogrammet) Utro tjenere får mulighet til å utlevere større mengder sensitiv eller kritisk informasjon Risiko for at meldingen endres under overføring (integritet) Risiko for at meldinger eksponeres for uvedkommende under overføring (konfidensialitet) Risiko for at meldinger eller kvitteringer aldri kommer frem eller kommer frem sterkt forsinket (tilgjengelighet) Risiko knyttet til import at ondsinnet programvare Det bør vurderes om sikringstiltakene er tilstrekkelige til å beskytte mot at ondsinnet programvare i form av makrovirus, javascript og java applets, Active X komponenter, programfiler med virus og trojanske hester osv. kan spre seg i systemet. Risikoen for hackerinnbrudd eller mailbombing (denial-ofservice). Dette er særlig en risiko hvis e-postsystemet er kontinuerlig oppkoblet mot et eksternt nettverk. Uautorisert fysisk tilgang - Det må også vurderes hvorvidt systemet er tilstrekkelig beskyttet mot at uvedkommende får fysisk tilgang. 8 Egenkontroll Rutinene for bruk av e-post må gjennomgås som del av helseinstitusjonens jevnlige egenkontroll. Egenkontrollen må omfatte vurdering av hvorvidt policyer for e-postbruk overholdes og søke å finne årsak til eventuelle brudd på policy. 9 Ledelsens gjennomgang Ved ledelsens jevnlig gjennomgang må mål, strategi og organisering som danner grunnlaget for bruken av e-post i organisasjonen vurderes. Gjennomgangen skal vurdere hvorvidt bruk av e-post kan rettferdiggjøres ut fra behov og hvorvidt sikkerhetsmålsettingene er tilstrekkelige og i tråd med organisasjonens overordnede behov. Videre må det avklares hvorvidt sikkerhetsstrategiene er tilstrekkelige og fremdeles stemmer overens med trusselbildet. 12

16 VEILEDNING Del III Organisering 10 Organisasjon E-post må inngå i organisasjonens helhetlige sikkerhetsorganisering. Dette betyr at ansvaret for e-postsystemet deles i to hovedlinjer, den ene med ansvar for drift og vedlikehold av e-postsystemet, den andre med ansvar for informasjonssikkerheten. Disse funksjonene bør i den grad det er mulig delegeres til to forskjellige medarbeidere med ulike rapporteringslinjer til organisasjonens ledelse. 11 Konfigurasjon Utstyr og programvare som benyttes til e-post må konfigureres slik at tilfredsstillende informasjonssikkerhet kan oppnås. E-postklientene må konfigureres slik at de sikkerhetsrelevante innstillingene er konfigurert på en mest mulig trygg måte. Med dette menes f.eks. at programmet ikke er satt opp til å gjøre ting bak brukerens rygg, noe som kan skape forvirring. (Dette kan være at informasjon som krypteres også krypteres til bedriftens egen offentlige nøkkel, en funksjon som kan være nyttig, men bør foregå eksplisitt, eller at klienten er satt opp til å benytte en e- posttjener utenfor organisasjonens grenser.) 12 Administrative og tekniske rutiner Bruk av e-post ved tjenstlige behov må utføres på en slik måte at krav til saksgang og postrutiner oppfølges. Det må avklares hvorvidt e-posten skal skrives ut, loggføres og arkiveres og hvorvidt det finnes andre krav som kan være av betydning for bruken av e-post så som krav til innsyn etter offentlighetsloven eller arkivregler. Det bør også klargjøres hvor mottatt e-post (spesielt vedlegg) skal lagres. Hvis sensitiv informasjon skal sendes med e-post skal dette kun foregå etter på forhånd avtalte rutiner. Det er viktig at det er enighet mellom sender og mottaker av sensitiv informasjon om hvordan den overførte informasjonen skal behandles, og sensitiv informasjon må ikke overføres med mindre dette er avklart. Dersom e-post skal benyttes for rutinemessig overføring av strukturerte meldinger med sensitiv informasjon bør dette organiseres i henhold til veiledning for EDI i helsesektoren. Det må utarbeides en egen rutine for hvordan pasientsensitiv informasjon mottatt fra avsendere som man ikke har avtale om slik kommunikasjon med, skal behandles. Eksempel på rutiner for mottak av sensitiv informasjon: Sensitiv informasjon mottatt fra avsendere som man ikke har avtale om slik kommunikasjon med, skal behandles som vanlige journalnotater, og arkiveres i tilknytning til vedkommendes journal. 13

17 VEILEDNING Avsender gis melding (per e-post) om at informasjonen er mottatt og arkivert i journal, men at fremtidig kommunikasjon av sensitiv informasjon må foregå på annet vis. Eventuelt må pasienten gi sitt samtykke til at informasjonen utveksles på e-post, vedkommende må i tilfelle gjøres oppmerksom på at informasjonen utsettes for en sikkerhetsrisiko under overføring. Den mottatte informasjonen slettes fra e-post-systemet (både fra innboks og eventuelle andre mapper der den er lagret). 13 Beredskapsplanlegging Hvis organisasjonen er avhengig av kommunikasjonen over e-post må tilstrekkelig ressurser avsettes til å kunne sikre kontinuerlig drift. I tillegg bør det avklares alternative manuelle rutiner som utskrift og bruk av post eller faks. 14 Avviksbehandling Brudd på informasjonssikkerheten som skyldes bruk av e-post må behandles i samsvar med helseinstitusjonens rutine for avviksbehandling. Slike avvik kan være: uautorisert bruk av e-post utilsiktet utlevering av sensitiv informasjon over e-post viktige meldinger som ikke kommer frem til oppgitt mottaker (også innkommende) svikt i rutinene omkring bruken av e-post for sensitiv informasjon Videre bør det kartlegges i hvilken grad det har vært nødvendig å overstyre eventuelle anbefalinger e-postprogrammet gir i forhold til sensitiv informasjon. Del IV Partnere og leverandører 15 Partnere og leverandører For leveranser av utstyr og programmer og innleie av arbeid i forbindelse med e-post, skal leverandører/partnerenes kompetanse og muligheter for oppfølging og vedlikehold av leveransen over tid vurderes. I leveransen bør det inngå: dokumentasjon av implementering, drift og vedlikehold uttesting av e-postløsningen opplæring av helseinstitusjonens medarbeidere oppfølging og vedlikehold 14

18 VEILEDNING dokumentering av eksisterende informasjon/arkiv i e-postsystemet og avgjørelser tatt omkring dette Personell ansatt hos partnere eller leverandører skal alltid undertegne taushetserklæring og informeres om betydningen av denne. Del V Sikkerhet 16 Personellsikkerhet Tilstrekkelig brukeropplæring er grunnstenen for sikker bruk av e-post. Det bør derfor stilles krav til tilstrekkelig kompetanse og opplæring før e- post kan benyttes. Denne opplæringen bør være spesielt rettet mot en bevisstgjøring om når e-post kan benyttes og hva som er risikomomentene ved bruk av e-post. Opplæringen bør være integrert i annen opplæring i datasystemer og informasjonssikkerhet. 17 Fysisk sikkerhet Hvis e-postsystemet er del av en sone hvor personopplysninger behandles vil kravet til fysisk sikring være høyt, da uautorisert tilgang vil kunne medføre stor fare for spredning av informasjon. Nødvendige tiltak vil f.eks. være adgangskontroll til dører, skjermsparere med passord og lignende. E-posttjeneren må plasseres slik at den bare er tilgjengelig for autoriserte personer, f.eks systemansvarlige. 18 Systemteknisk sikkerhet Systemteknisk sikkerhet kan kun gå en del av veien når e-post skal benyttes i miljøer hvor sensitiv informasjon behandles. Så lenge det er teknisk mulig å overføre sensitiv informasjon til e-postprogrammet vil ikke tekniske sikkerhetsløsninger som skal regulere denne informasjonsflyten være verken tilstrekkelig eller ønskelig, da de med stor sannsynlighet kun vil medføre at brukerne av systemet søker å unngå mekanismene framfor å arbeide innenfor dem. Hovedfokuset må derfor ligge på å bidra til å støtte bruken av e-post på en slik måte at viktige faremomenter unngås og at brukeren blir gjort oppmerksom på dem, samt at brukeren gis myndighet til å gjøre bevisste og forsettlige overføringer når det er behov for slike. Støttefunksjoner i e-postklienten Den viktigste utfordringen når det gjelder utilsiktet utlevering av informasjon ligger i utformingen av brukergrensesnittet, og dagens e- postprogrammer har lite (ingen) funksjonalitet for å beskytte brukeren mot feil som kan medføre f.eks. feiladressering av e-post. Hovedproblemene som kan identifiseres er: 15

19 VEILEDNING vanskelig å holde oversikt over hvem meldingen sendes til, spesielt ved bruk av e-post-lister for lett å legge ved feil vedlegg Det siste skyldes kanskje først og fremst at det av og til kun er (korte) filnavn å støtte seg på når man skal velge vedlegg, og det ikke gis den samme oversikten som man får ved å legge ved papirvedlegg. Typisk vil en slik gjenkjenning av mulig sensitiv informasjon ta utgangspunkt i: hvorvidt klipp og lim er benyttet, og evt fra hvilket program klippet stammer fra hvorvidt meldingen har vedlegg, evt. hvor vedleggene stammer fra størrelsen på meldingen Dette medfører naturligvis en god del falske alarmer, og nytten må derfor vurderes opp mot det merarbeid som fører med disse. E-postbrannmur E-post kan også sikres ved organisasjonens grenser i den eksterne sikkerhetsbarrieren. Dette kan gjøres ved bruk av en aktiv brannmur som ser igjennom inngående og utgående e-post og søker etter virus eller etter innhold som ikke skal gå utenfor organisasjonens grenser. Blant annet kan en slik brannmur blokkere for nedlasting av java-applets og active-x komponenter som kan følge med e-post. Samtidig kan det søkes etter ord og setninger som kan avsløre at sensitivt materiale blir sendt i klartekst, men utfordringen her ligger i å finne ord og kombinasjoner som karakteriserer sensitive meldinger. Meldingene kan deretter arkiveres eller et varsel kan gå til brukeren og/eller en administrator. Et slikt produkt kan særlig være til nytte hvis de sensitive opplysningene som organisasjonen behandler har lett (automatisk) gjenkjennelige trekk. Det er også mulig å legge inn gjenkjennelige elementer i maler. Det bør også vurderes om mulighet for videresending av e-post skal være avslått på e-posttjeneren, slik at denne funksjonaliteten ikke misbrukes. Viruskontroll Bruk av e-post medfører at en ny kanal for overføring av virus åpner seg. Virusfaren kommer særlig ved bruk av vedlegg til e-post. Tidligere har den største trusselen vært virus som har kommet med programfiler, men dette ser nå ut til å endre seg. I stadig større grad benytter virus seg av makrofunksjonaliteten i moderne tekstbehandlere. Viruskontroll bør om mulig foregå på to steder, både på e-post-tjeneren og på alle klientmaskinene. 16

20 VEILEDNING Meldingssikkerhet Kryptering og signering er hovedteknikkene som benyttes for å sikre meldinger under overføring. Kryptering sikrer at meldingen kommer fram til mottakeren uten at uvedkommende får innsyn, men signering sikrer at meldingen ikke endres underveis og at den kommer fra den som er oppgitt som avsender. For sikring av e-post er det særlig prenv som er aktuell. Før sikker e-post kan tas i bruk i stor skala er det nødvendig med en fungerende infrastruktur for nøkkelsertifikater og såkalte Tiltrodde Tredjeparter el. TTPer. TTPer er nødvendig for å utstede sertifikater til alle som har behov for det, samt være ansvarlige for å holde lister over tilbakekalte nøkler. Kommunikasjon med e-postkontor Brukere av Internett e-post kommuniserer normalt med e-posttjeneren gjennom protokollene IMAP eller POP. Disse kommuniserer både passord og selve e-posten på en usikret måte, men varianter finnes som kan sikre disse protokollene. Så lenge krypteringen ligger i e-postklienten er det lite fare forbundet med at meldingene ikke krypteres av kommunikasjonsprotokollen, men overføring av passord i klartekst er et mer alvorlig problem. Passordet som benyttes til e-post er ofte det samme som benyttes for pålogging til det lokale nettverket og andre tjenester, og problemet er særlig kritisk hvis passordet må gå over et ubeskyttet nettverk. Det finnes flere ulike løsninger på problemet, men alle har sine problemer. En løsning er APOP, en versjon av POP som benytter en autentisering som ikke sender passord i klartekst. Denne er dessverre lite utbredt, selv om den er standardisert. Et alternativ er å gjennomføre all kommunikasjon med e-posttjeneren over en kryptert forbindelse. Dette er en løsning som er relativt utbredt, men siden hele forbindelsen med e- posttjeneren er kryptert medfører den en stor belastning for tjeneren. En slik løsning kan benytte VPN-funksjonalitet, men en del e-postklienter støtter også bruk av SSL for å skape en kryptert tunnel til e-posttjeneren. Del VI Dokumentasjon 19 Registreringer Hendelser av betydning for sikkerheten bør registreres. Dette kan være: Overstyring av sikkerhetsråd fra e-postklienten Forsøk på utsendinger i strid med regler implementert i brannmur Evt. registrering av sendt/mottatt e-post. 17

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Hvordan få tilgang til journalopplysning fra andre virksomheter

Hvordan få tilgang til journalopplysning fra andre virksomheter Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett " %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur) NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Krav til kommunikasjonssikkerhet

Krav til kommunikasjonssikkerhet Krav til kommunikasjonssikkerhet for EDI-løsninger Versjon 1.0 30. januar 2002 KITH Rapport 04/02 ISBN 82-7846-128-7 KITH-rapport Tittel Krav til kommunikasjonssikkerhet for EDI-løsninger Forfatter(e)

Detaljer

Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur

Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur Jon Ølnes (NR) Jon.Olnes@nr.no Seminar om elektronisk kommunikasjon med digitale signaturer Statskonsult, 4/4 2000 Innhold Hva kan

Detaljer

Transportsikring av e-post rfc 3207 - STARTTLS

Transportsikring av e-post rfc 3207 - STARTTLS Transportsikring av e-post rfc 3207 - STARTTLS Innhold 1 Innledning... 1 1.1 Formål... 1 1.2 Bakgrunn... 1 1.3 Avgrensninger... 2 2 Behov... 2 3 Mål... 2 4 Om rfc 3207 - STARTTLS... 3 4.1 Bruksområder...

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

DOKUMENTASJON E-post oppsett

DOKUMENTASJON E-post oppsett DOKUMENTASJON E-post oppsett Oppsett av e-post konto Veiledningen viser innstillinger for Microsoft Outlook 2013, og oppkobling mot server kan gjøres med POP3 (lagre e-post lokalt på maskin) eller IMAP

Detaljer

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av Brukerhåndbok for drift hos Kirkedata AS Denne håndboken er utarbeidet av Oppdatert: 18. desember 2012 Innhold Innhold Innledning... 3 Oppsett av PC... 3 Windows XP... 3 Windows Vista og Windows 7... 3

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI Asylavdelingen (ASA) i UDI forbereder seg til høsten 2010 der avdelingen skal begynne med fullelektronisk saksbehandling (esak). UDI har innført en løsning

Detaljer

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang. Haraldsplass DIAKONALE SYKEHUS Bergen Diakon isse k j em Datatilsynet Postboks 8177 Dep 0034 Oslo Deres ref: 12/00302-1 /HVE Vår ref: Bergen, 13.04.2012 Svar på varsel om vedtak - Uautorisert uthenting

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09 Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09 Martin.bould@ergogroup.no Telefon 99024972 Martin Bould,ErgoGroup 1 Anbefaling Bruk elektroniske skjemaer

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering Sikkerhets-problemer Innbrudd/Uautorisert tilgang til informasjon Avsløre informasjon og offentliggjøre den Stjele informasjon uten å gi seg til kjenne Forfalske/endre informasjon Forfalska informasjon,

Detaljer

Håndtering av personlig informasjon

Håndtering av personlig informasjon Håndtering av personlig informasjon Håndtering av personlig informasjon Du kan alltid besøke vår hjemmeside for å få informasjon og lese om våre tilbud og kampanjer uten å oppgi noen personopplysninger.

Detaljer

Brukerveiledning e-postsystem

Brukerveiledning e-postsystem 1 Brukerveiledning e-postsystem Innholdsfortegnelse Pålogging:....... 2 Opprette e-post:..... 4 Vedlegg:.... 4 Kalender:... 7 Visning: 7 Ny avtale:.... 7 Invitere deltakere:.... 9 Bytte passord på konto

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

BlackBerry Internet Service. Versjon: 4.5.1. Brukerhåndbok

BlackBerry Internet Service. Versjon: 4.5.1. Brukerhåndbok BlackBerry Internet Service Versjon: 4.5.1 Brukerhåndbok Publisert: 2014-01-09 SWD-20140109135826144 Innhold 1 Komme i gang... 7 Om ulike typer meldingsabonnementer for BlackBerry Internet Service...7

Detaljer

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin... Page 1 of 7 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS SØK FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften) Skriv ut DATO:

Detaljer

ProMed. Brukermanual for installasjon av. Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator. for. for Windows

ProMed. Brukermanual for installasjon av. Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator. for. for Windows Side 1 av 21 Brukermanual for installasjon av Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator for ProMed for Windows Kundeoppfølging og Administrasjon Versjon 2.4 08.11.2014 Litt om Elektronisk

Detaljer

10 gode grunner til å bruke EffektivEpost.no

10 gode grunner til å bruke EffektivEpost.no 10 gode grunner til å bruke EffektivEpost.no Epostmarkedsføring er et av de kraftigste verktøyene tilgjengelig for å kommunisere og utvikle forretningsforhold. Men, epostmarkedsføring kan kun være så virkningsfullt

Detaljer

Databrukara vtale. for. Rauma kommune

Databrukara vtale. for. Rauma kommune Databrukara vtale for Rauma kommune IT- sikkerheitsreglar for Rauma kommune Mål IT skal brukast til å dokumentere, dele og utveksle informasjon for å fremje effektiv informasjonsbehandling og sikre god

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

K I T H. Ebrev. Elektronisk utsending av brev FOR HELSE OG VELFERD.. INFORMASJONSTEKNOLOGI

K I T H. Ebrev. Elektronisk utsending av brev FOR HELSE OG VELFERD.. INFORMASJONSTEKNOLOGI K I T H INFORMASJONSTEKNOLOGI FOR HELSE OG VELFERD.. Ebrev Elektronisk utsending av brev VERSJON 1.0 Status: Til utprøving 1.2.2010 KITH-rapport 1020:2010 KITH-rapport TITTEL Ebrev Elektronisk utsending

Detaljer

Regler for og råd vedr. bruk av e-post ved NIH

Regler for og råd vedr. bruk av e-post ved NIH Regler for og råd vedr. bruk av e-post ved NIH E-post har gjort det enklere for oss å kommunisere med hverandre. I mange tilfeller er det et meget hensiktsmessig kommunikasjonsmiddel fordi det gir mulighet

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering. 1 Hva? Hva er informasjonssikkerhet? Information security encompasses the study of the concepts, techniques, technical measures, and administrative measures used to protect information assets from deliberate

Detaljer

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk

Detaljer

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett Elektroniske spor Innsynsrett, anonymitet Kirsten Ribu Kilde: Identity Management Systems (IMS): Identification and Comparison Study Independent Centre for Privacy Protection and Studio Notarile Genghini

Detaljer

1. Systemsikkerhet. 1.1. Innledning. Innhold

1. Systemsikkerhet. 1.1. Innledning. Innhold Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Systemsikkerhet Stein Meisingseth 29.08.2005 Lærestoffet er utviklet for faget LO474D Systemsikkerhet 1. Systemsikkerhet Resymé: Denne leksjonen

Detaljer

Medisinsk-faglig innhold i epikriser fra poliklinikker og legespesialister - "Den gode spesialistepikrise"

Medisinsk-faglig innhold i epikriser fra poliklinikker og legespesialister - Den gode spesialistepikrise Medisinsk-faglig innhold i epikriser fra poliklinikker og legespesialister - "Den gode spesialistepikrise" Versjon 1.0 31. desember 2002 KITH Rapport R31/02 ISBN 82-7846-158-9 KITH-rapport Medisinsk-faglig

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Revidert 05.02.09 PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Til foresatte og elever som har fått vedtak om pc som hjelpemiddel Når dere nå skal velge en pc

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Retningslinjer for bruk av E-post i saksbehandling i Bergen kommune

Retningslinjer for bruk av E-post i saksbehandling i Bergen kommune Fagområde: Administrasjon Dok. type: Rutine Dok. nr.: BKDOK-2005-00432.01 Rev. dato: 24.06.02 Gyldig til: 31.12.2012 Side 1 av 5 Retningslinjer for bruk av E-post i saksbehandling i Bergen kommune 1. Innledning

Detaljer

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company SOLICARD ARX Adgangssystemet som gir deg ubegrenset frihet An ASSA ABLOY Group company SOLICARD ARX arkitektur SOLICARD ARX LCU oppkoblet via Internet Eksisterende nettverk SOLICARD ARX AC SOLICARD ARX

Detaljer

STAVANGER KOMMUNE ARKIVAVDELING. Retningslinjer for bruk av e-post

STAVANGER KOMMUNE ARKIVAVDELING. Retningslinjer for bruk av e-post STAVANGER KOMMUNE ARKIVAVDELING Retningslinjer for bruk av e-post Arkivreglement Fastsatt: 01.06.2007 Sist endret: 14.04.2008 1 Innhold Innledning: Formål og ansvar.. 3 1. Journalføring og arkivering..

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

DIPS Communicator 6.x. Installasjonsveiledning

DIPS Communicator 6.x. Installasjonsveiledning DIPS Communicator 6.x Installasjonsveiledning 11. oktober 2010 DIPS Communicator DIPS Communicator er en markedsledende kommunikasjons- og integrasjonsløsning for helsesektoren i Norge i dag. Systemet

Detaljer

E-post hosting betingelser

E-post hosting betingelser E-post hosting betingelser AVTALE MELLOM KUNDE OG SMART IT & SECURE SYSTEMS Smart IT & Secure Systems tilbyr kunden tilgang til en epost-tjeneste i henhold til brukerbetingelsene nedenfor. Har dere en

Detaljer

Vedlegg til meldinger

Vedlegg til meldinger Elektronisk samhandling Vedlegg til meldinger TEKNISK SPESIFIKASJON VERSJON 2.0 13.5.2011 KITH-rapport 1036 : 2011 KITH-rapport TITTEL Elektronisk samhandling Vedlegg til meldinger Forfatter Espen Stranger

Detaljer

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN). Innledning Vi har valgt brannmurer som tema og grunnen til dette er de stadig høyere krav til sikkerhet. Begrepet datasikkerhet har endret innhold etter at maskiner ble knyttet sammen i nett. Ettersom

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Standardiseringsrådsmøte 23.-24. november 2011 Prioriterings/informasjons -sak Om forprosjektet sett på de mest aktuelle anvendelsesområdene

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen

Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen Dette notatet gir teknisk informasjon om hvordan man kan løse problemer dersom BankID ikke virker som det skal. Informasjonen

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

1. Krypteringsteknikker

1. Krypteringsteknikker Krypteringsteknikker Olav Skundberg Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er utviklet for faget 1. Krypteringsteknikker 1.1. Fire formål med sikker kommunikasjon Aller først, pålitelig

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Hva er vitsen med sikkerhetspolicies?

Hva er vitsen med sikkerhetspolicies? Hva er vitsen med sikkerhetspolicies? Ketil Stølen Oslo 23. november 2006 Innhold Hva er en policy? En policy er ikke en.. Overordnet struktur for en policy Hvordan klassifiseres policyer? Tre policymodaliteter

Detaljer

Fokus på sikkerhet pass på pasientdata

Fokus på sikkerhet pass på pasientdata Fokus på sikkerhet pass på pasientdata Sensitive personopplysninger: Må ikke forsvinne (tilgjengelighet) Må finnes lett og oversiktlig (tilgjengelighet) Må ikke endres av uvedkommende (integritet) Må ikke

Detaljer

Som en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk.

Som en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk. De beste sikkerhetsrutiner for Symantec pcanywhere Dette dokumentet inneholder informasjon om forbedrede sikkerhetsendringer i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan viktige deler av

Detaljer

Import av klientfiler er kun mulig fra Akelius Årsavslutning, Akelius Skatt og Akelius Revisjon.

Import av klientfiler er kun mulig fra Akelius Årsavslutning, Akelius Skatt og Akelius Revisjon. Filimport til Akelius Byrå Det er viktig at du følger anvisningene nøye for at overføringen av filer til Akelius Byrå skal bli riktig. Beregn godt med tid da importen kan være tidkrevende. Normal regnes

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Ledelse og personvern Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet

Detaljer

NORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008

NORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008 NORSK EDIEL BRUKERVEILEDNING for bruk av SMTP Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008 Systemstøtte for Ediel / Norsk Ediel Ekspertgruppe Side: 1 INNHOLDSFORTEGNELSE 1 Bakgrunn... 3 2 Referanser...

Detaljer

Eksempel på datadisiplininstruks

Eksempel på datadisiplininstruks Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

FOR MAC Hurtigstartveiledning. Klikk her for å laste ned den nyeste versjonen av dette dokumentet

FOR MAC Hurtigstartveiledning. Klikk her for å laste ned den nyeste versjonen av dette dokumentet FOR MAC Hurtigstartveiledning Klikk her for å laste ned den nyeste versjonen av dette dokumentet ESET Cyber Security Pro gir avansert beskyttelse mot skadelig kode for datamaskinen din. Basert på ThreatSense-skannemotoren

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

Brukerveiledning Tilkobling Altibox Fiberbredbånd

Brukerveiledning Tilkobling Altibox Fiberbredbånd Juli 2014 Graving og kabling 4 Plassering av hjemmesentral Brukerveiledning Tilkobling Altibox Fiberbredbånd Alt du trenger å vite om bruken av Altibox Fiberbredbånd 1 Altibox Fiberbredbånd 1 Kobling til

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

BRUKERVEILEDNING SAMSVARSTEST AV ELEKTRONISKE MELDINGER I NHN TESTSENTER DOKUMENTHISTORIKK DATO VERSJON BESKRIVELSE 13.04.2016 1.0

BRUKERVEILEDNING SAMSVARSTEST AV ELEKTRONISKE MELDINGER I NHN TESTSENTER DOKUMENTHISTORIKK DATO VERSJON BESKRIVELSE 13.04.2016 1.0 BRUKERVEILEDNING SAMSVARSTEST AV ELEKTRONISKE MELDINGER I NHN TESTSENTER DOKUMENTHISTORIKK DATO VERSJON BESKRIVELSE 13.04.2016 1.0 INNHOLD 1 Om samsvarstest i NHN... 3 2 Validere XML-filer... 4 3 Forberedelser

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Brukerveiledning Mobilsynkronisering Nokia N97 mini

Brukerveiledning Mobilsynkronisering Nokia N97 mini Brukerveiledning Mobilsynkronisering Nokia N97 mini Servicedeklarasjon Drift-, overvåkning og brukerstøtte for mobilsynkronisering Målsetting med tjenesten Tilby mobilsynkronisering til ansatte som har

Detaljer

GENERELLE BRUKERVILKÅR FOR mypku

GENERELLE BRUKERVILKÅR FOR mypku GENERELLE BRUKERVILKÅR FOR mypku Disse generelle brukervilkårene ("Vilkår") angir de vilkår som gjelder mellom deg som bruker ("Brukeren") og Nutricia Norge AS org. nr. 880346792, Holbergsgate 21, N-0166

Detaljer

WinMed 2 NHN Adresseregister

WinMed 2 NHN Adresseregister 1 WinMed 2 NHN Adresseregister Introduksjon og brukerveiledning 2 Innholdsfortegnelse Introduksjon... 3 Kort om NHN Adresseregister fra NHN sine sider... 3 Funksjonalitet... 3 Brukerveiledning... 4 Adresseregister-bildet...

Detaljer