Styringsdokument for personvern, informasjonssikkerhet og beredskap

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Styringsdokument for personvern, informasjonssikkerhet og beredskap"

Transkript

1 Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens internkontrollsystem for personvern, informasjonssikkerhet og beredskap. Dokumentet beskriver rammer, mål, myndighet og ansvar som ligger til grunn for sikkerhetsarbeidet i etaten.» Godkjent i D-møte Versjon: Side 1 av 10

2 ENDRINGSLOGG Versjon Dato Kap Endring Produsent Godkjent av Alle Fremleggelse for Sikkerhetsledelsen Tor Saglie Arbeids- og velferdsdirektør Alle Fremleggelse for IKT- IKTsikkerhetsansvarlig Nina Aulie Direktør Alle Ingen Seksjon PIB D-møte Alle Oppdatert etter omorganisering og koplet til virksomhetsstrategien Sikkerhetsseksjonen Alle Ingen Sikkerhetsseksjonen D-møte INNHOLDSFORTEGNELSE 1. SIKKERHET ER VIKTIG FOR DEG STYRINGSSYSTEMETS OPPBYGGING MÅL FOR SIKKERHET STRATEGI PRINSIPPER I SIKKERHETSARBEIDET EFFEKT AV SIKKERHETSTILTAK OG SIKKERHETSPROSJEKTER AKSEPT OG HÅNDTERING AV RISIKO ET TILPASSET SIKKERHETSREGIME REAKSJONER PÅ SIKKERHETSBRUDD ROLLER OG ANSVAR FOR SIKKERHET ALLE MEDARBEIDERE ALLE LEDERE SIKKERHETSKOORDINATOR IDENTADMINISTRATOR SIKKERHETSMEDARBEIDER/SIKKERHETSRÅDGIVER ARBEIDS- OG VELFERDSDIREKTØREN ROLLE I STYRINGEN AV SIKKERHET IKT-DIREKTØR HAR REGIMEANSVARET FOR SIKKERHET SEKSJONSSJEF FOR SIKKERHETSSEKSJONEN INTERNREVISJONEN... 9 Versjon: Side 2 av 10

3 1. SIKKERHET ER VIKTIG FOR DEG Brukernes og samfunnets tillit til oss forutsetter at vi alltid behandler personopplysninger respektfullt og sikkert. Alle vi samhandler med skal erfare at vi har en høg standard i de daglige rutinene når vi behandler personopplysninger, og de skal være trygge på at de kan gi nødvendige opplysninger til oss. Vårt ansvar er å vise at vi er verdige denne tilliten. God sikkerhet bidrar til verdiskaping og et godt omdømme for etaten, som igjen gir økt tilfredshet blant brukere, samarbeidspartnere og medarbeidere. Er det slik i dag, hva gjør du? Dette styringsdokumentet, andre enda mer praktiske dokumenter og jevnlige øvelser skal bidra til at vi alle hele tiden kan være stolte over arbeidet vårt. Det skal være trygt å arbeide i NAV. NAV aksepterer ikke at medarbeidere utsettes for trusler, vold og uheldige belastninger i kontakten med brukere. Dette skjer likevel ofte i møte med enkelte brukere. Hvordan vi håndterer trusselsituasjoner og hvilke tiltak vi planlegger og gjennomfører for å unngå slike situasjoner, er sentralt i etatens beredskapsarbeid. Dette skal henge sammen med det HMS-arbeidet NAV gjør for å forebygge og håndtere trussel og voldssituasjoner, jf. HMS-rutine 2. Ledelsen i NAV beskriver i dette styringsdokumentet de overordnede prinsippene og kravene til sikkerhet i Arbeids- og velferdsetaten. Det forventes at alle gjør seg kjent med og er lojal mot prinsippene og sikkerhetskravene som gjelder for etaten. Målet er at vi hele tiden arbeider med etatens sikkerhetsnivå slik at det er tilstrekkelig i forhold til de risikoene vi står overfor. Målene, strategiene og kravene i styringssystemet for personvern, informasjonssikkerhet og beredskap gjelder for den statlige delen av NAV, og kan også brukes av den kommunale delen. Versjon: Side 3 av 10

4 2. STYRINGSSYSTEMETS OPPBYGGING Vi bruker begrepet sikkerhet vidt og det omfatter i dette styringsdokumentet både personvern, informasjonssikkerhet og beredskap. For å kunne sikre en god styring av sikkerheten har NAV et styringssystem for personvern, informasjonssikkerhet og beredskap. Dette systemet består av tre nivåer. Styringsdokument for personvern, informasjonssikkerhet og beredskap Nivå I Hvorfor? Hvem? Styringsdokumentet beskriver rammer, mål, myndighet og ansvar som ligger til grunn for sikkerhetsarbeidet i etaten. Overordnede sikkerhetskrav Nivå II Hva? Sikkerhetskrav som gjelder for etaten og bakgrunnen for disse. Kravene er delt inn i 15 fokusområder Operative Kravdokument retningslinjer Policydokument Kravdokument Nivå III Hvordan? Dokumenter som gir detaljerte retningslinjer med veiledninger. Figur 1: Dokumentstrukturen for styrende dokumenter for personvern, informasjonssikkerhet og beredskap. Alle dokumentene i styringssystemet ligger på Navet, med nyeste versjonsnumre og lenke til de dokumentene som ikke skal ha begrenset tilgjengelighet. Du finner informasjonen under Personvern, informasjonssikkerhet og beredskap under Etatstjenester - støttefunksjoner. Eller gå direkte dit ved å velge i rullegardinmenyen øverst til høyre på Navet. Dokumentene beskriver hvordan regimeansvaret for personvern, informasjonssikkerhet og beredskap er ivaretatt. Sikkerhetsarbeidet vårt bygger på standarden NS ISO/IEC 27001:2013 Styring av informasjonssikkerhet. Dette er i tråd med anbefalingen fra Direktoratet for forvaltning og IKT (Difi) om at statlige virksomheter skal ha et styringssystem for informasjonssikkerhet. Versjon: Side 4 av 10

5 3. MÅL FOR SIKKERHET Sikkerhetstiltak skal bidra til å realisere virksomhetsmålene uten å virke hindrende for virksomhetens behov. Brukerne har tillit til vår behandling av informasjon Vi kan håndtere kriser og ulykker Brukerne opplever at selvbetjening er trygt Sikkerhet vi får til å gjøre Figur 2: Sikkerhet knyttet til etatens virksomhetsmål Vi sikrer informasjonen i NAV for at brukerne skal ha tillit til å gi oss den informasjonen som trengs for at vi kan gi korrekte ytelser og tjenester. Vi må sørge for at selvbetjeningsløsningene er slik at etatens aktive brukere kan bruke dem på en sikker og brukervennlig måte. For å oppnå dette må sikkerhetsregimet i NAV være slik at du kan etterleve de kravene som blir stilt til deg i ditt arbeid. Disse koplingene mellom virksomhetsmål og sikkerhetsmål viser at sikkerhet bygger på og er en svært viktig del av virksomhetsstrategien. Dette gir bakgrunn for følgende resultatmål: Godt personvern skal sørge for at NAV behandler personopplysninger i tråd med gjeldende lovverk beskytte den enkelte mot krenkelser gjennom feilaktig behandling av personopplysninger. sikre tilstrekkelig kvalitet på opplysningene. sørge for at brukerne får informasjon og innsyn i sine opplysninger. sørge for at NAV behandler taushetsbelagte og sensitive personopplysninger på en sikker og forsvarlig måte. God informasjonssikkerhet skal sikre konfidensialitet til personopplysninger, annen type taushetsbelagt informasjon og behandlingen av opplysningene. sikre opplysningenes integritet slik at de ikke endres på uautorisert vis og sørge for sporbarhet ved endringer. sikre at IKT-systemene har tilstrekkelig tilgjengelighet. God beredskap skal sikre at NAV kan utføre sine kritiske tjenester ved unormale og alvorlige hendelser som rammer samfunnet. sikre kontinuitet slik at IKT-systemene fungerer ved driftsmessige forstyrrelser eller svikt i forsyning av strøm, datanettverk, telefoni eller betalingstjenester. trygge medarbeidernes arbeidssituasjon ved å redusere risikoen for trussel og voldssituasjoner. Sikkerhetsmålene tar utgangspunkt i ulike lover og intensjoner, men har mye felles. I NAV har vi derfor samlet sikringen av disse i et styringssystem for sikkerhet. Versjon: Side 5 av 10

6 4. STRATEGI 4.1 Prinsipper i sikkerhetsarbeidet Tjenstlig behov en medarbeider gis de tilganger til funksjoner i systemer, informasjon og lokaler som medarbeideren har behov for i arbeidet sitt for den tid behovet er der. Ansvarsprinsipp den som har ansvar for forvaltning, drift eller bruk av IKT-utstyr, systemer, data eller andre ressurser er ansvarlig for sikkerheten ved forvaltning, drift eller bruk Innebygd personvern vi utvikler systemer og prosesser etter prinsipper for innebygd personvern («Privacy by design») Arbeidsdelingsprinsipp oppgaver som det innebærer for stor risiko at en medarbeider løser alene løses ved at to ulike medarbeidere må gjøre hver sin del. Sikkerhetsmessig lønnsomhet et sikkerhetstiltak skal koste mindre i anskaffelse og drift enn det koster å leve med den risikoen som tiltaket skal forhindre. 4.2 Effekt av sikkerhetstiltak og sikkerhetsprosjekter Prosjekter og enkelttiltak som skal føre til bedre sikkerhet for NAV må synliggjøre at de gir slik effekt. Effekten kan komme ved å gjøre eksisterende sikkerhetstiltak mer effektive, å sette organisasjonen i stand til å gjøre nye ting og å utbedre manglende sikkerhet eller etterlevelse av regler på sikkerhetsområdet. 4.3 Aksept og håndtering av risiko Risikohåndtering av personvern, informasjonssikkerhet og beredskap inngår i den helhetlige tilnærmingen i NAVs felles metode for risikostyring for alle enheter. Risikoanalyse baseres på en vurdering av sannsynlighet og konsekvens. Metoden er et verktøy for å definere hva som er akseptert risikonivå og når det må iverksettes risikoreduserende tiltak. Vi klassifiserer informasjon, prosesser og informasjonssystemer for å vite hva som er mest kritisk og tilpasse sikkerhetstiltakene i forhold til behovet for sikring på en ensartet måte. Noen risikoer har høy konsekvens og svært lav sannsynlighet. Det vil da være vanskelig å skille på viktigheten av de ulike risikoområder. Derfor analyseres denne typen risiko på virksomhetsnivå som sammenhengen mellom trusler og sårbarheter, som så legges til grunn i beredskapsarbeidet. 4.4 Et tilpasset sikkerhetsregime Ved utvikling av sikkerhetskrav og operative retningslinjer skal det sikres medvirkning fra de som skal etterleve og bli berørt av dem. Alle operative retningslinjer og øvrig informasjons- og veiledningsmateriell skal være rettet mot definerte målgrupper og ha et klart og tydelig språk. Der det er mulig skal krav og operative retningslinjer knyttet til sikkerhetsarbeid integreres i øvrige prosessbeskrivelser og retningslinjer for å sikre en mest mulig helhetlig oversikt for de som skal forholde seg til disse. 4.5 Reaksjoner på sikkerhetsbrudd Et sikkerhetsbrudd kan være en bevisst handling, unnlatelse eller uaktsomhet som bryter med sikkerhetskravene som fører til skade for brukere, økonomisk tap, tap av tillit, eller er til skade for NAVs ansatte eller virksomheten. Versjon: Side 6 av 10

7 Alle sikkerhetsbrudd, forsøk eller indikasjoner på dette skal meldes til nærmeste leder og registreres i etatens avvikssystem. Enhetslederen og eventuelt sikkerhetskoordinatoren skal håndtere hendelsen og treffe tiltak for å forhindre lignende brudd. Brudd på etatens sikkerhetskrav og retningslinjer følges opp overfor den ansatte. Reaksjonene vil variere avhengig av overtredelsens art og grad av uaktsomhet. 5. ROLLER OG ANSVAR FOR SIKKERHET De enkeltes ansvar og oppgaver er beskrevet i ansvarsdokument for direktoratet, mål og disponeringsbrev til enheter og i organisasjonsplaner og rolledokument. I dette kapittelet konkretiserer vi hva dette betyr på sikkerhetsområdet. 5.1 Alle medarbeidere En medarbeider er enhver fast eller midlertidige ansatt, innleid konsulent, renholdspersonale, håndtverker eller andre som utfører arbeid på vegne av etaten. Du som medarbeider har ansvar for å gjøre deg kjent med, og undertegne taushetserklæring. Denne gjelder også etter at arbeidsforholdet er slutt. gjøre deg kjent med Felles sikkerhetsnormer for Arbeids- og velferdsetaten og undertegne lokal sikkerhetsinnstruks for medarbeider og følge påleggene som gis i instruksen. sette deg inn i og overholde etatens sikkerhetskrav som er relevante for rollen du har i ulike situasjoner og hva som er akseptabel bruk av informasjon og IKT-systemer. bruke IKT-systemene som beskrevet i brukerdokumentasjonen. melde fra om avvik eller sikkerhetsbrudd eller mistanke om dette i Avvikssystemet (ASYS). 5.2 Alle ledere Ansvaret for sikkerheten er et linjeansvar for hver leder i NAV. Du som leder skal etablere og opprettholde et tilstrekkelig sikkerhetsnivå innenfor ditt ansvarsområde. Ansvaret kan ikke delegeres, men du kan delegere spesifikke sikkerhetsoppgaver til en sikkerhetskoordinator, sikkerhetsmedarbeider eller andre av dine medarbeidere. Dette innebærer at du skal undertegne sikkerhetsinstruks for leder og påse at sikkerhetsarbeidet ivaretas og er forankret hos dine medarbeidere. sørge for at fagansvarlige, prosjektledere og medarbeidere i din enhet har tilstrekkelig kunnskap, bevissthet og holdninger til å kunne overholde kravene til personvern, informasjonssikkerhet og beredskap utarbeide planer for arbeidet med sikkerhet etter gjennomført risikoanalyse. sørge for at de du gir sikkerhetsoppgaver har kompetanse og handlingsrom til å utføre disse oppgavene. Leder har oppfølgingsansvar for at sikkerhet i egen enhet fungerer 5.3 Sikkerhetskoordinator Sikkerhetskoordinatorer utpekes i avdelingene i direktoratet, fylkeskontorene og i styringsenhetene for å koordinere sikkerhetsarbeidet i egen enhet og underliggende enheter. Versjon: Side 7 av 10

8 Disse har sikkerhetseksjonen i direktoratet som faglig kontaktpunkt og skal bidra til at sikkerhetsarbeidet gjøres så effektivt som mulig og med god virkning. Sikkerhetskoordinatoren kan bistå enhetslederen med å koordinere og yte bistand innen sikkerhetsområdet i egen styringslinje påse at egen og underlagte enheter følger sikkerhetsplan og pålagte krav påse at egen enhets og underlagte enheters sikkerhetsinstruks etterleves, herunder særskilt: gjennomføre risikovurderinger for personvern, informasjonssikkerhet og beredskap bidra i utarbeidelse av lokale sikkerhetsinstrukser og beredskapsplaner utarbeide lokale opplærings- og motivasjonstiltak for personvern og informasjonssikkerhet påse at tilgangskontroll og administrasjon av brukerprofiler til applikasjoner, servere og nettverk gis ut fra et tjenstlig behov gjennomgang av sikkerhetslogger og sikkerhetsrapporter følge opp at iverksatte sikringstiltak fungerer som forutsatt ved egen og underlagte enheter etablere og oppdatere lokale kontinuitets- og beredskapsplaner håndtere og følge opp avvik og sikkerhetsbrudd 5.4 Identadministrator Enhetsleder som ansvarlig for å tildele tilganger i sin enhet kan gi en eller flere medarbeidere ved sin enhet en rolle som identadministrator. Til rollen som identadministrator ligger ansvar for å registrere bestillinger og autorisasjoner til medarbeidere ved egen enhet. Lederen skal selv godkjenne hver tilgangsbestilling eller kan gi identadministrator nærmere fullmakt til gjennomføring av arbeidet. 5.5 Sikkerhetsmedarbeider/Sikkerhetsrådgiver Enhetsleder kan velge å utpeke en medarbeider til å arbeide med sikkerhet innen egen enhet. Denne sikkerhetsmedarbeideren får sikkerhetskoordinator i egen styringslinje som faglig støtteperson. 5.6 Arbeids- og velferdsdirektøren rolle i styringen av sikkerhet Etter personopplysningsloven er virksomhetens leder behandlingsansvarlig for personopplysninger. I arbeids- og velferdsforvaltningsloven er behandlingsansvaret i etaten lagt til direktoratet ved arbeids- og velferdsdirektøren. Sikkerhetsloven knytter også et spesielt ansvar for sikkerhet til virksomhetens leder. Arbeids- og velferdsdirektøren har det overordnede ansvaret for sikkerheten i etaten og skal sørge for å at det eksisterer et styringssystem for personvern, informasjonssikkerhet og beredskap slik at sikkerheten i etaten kan ivaretas og at informasjon behandles i henhold til gjeldende lover og forskrifter. Dette styringsdokumentet regulerer dette styringssystemet og godkjennes av arbeids- og velferdsdirektøren ved endringer. Versjon: Side 8 av 10

9 5.7 IKT-direktør har regimeansvaret for sikkerhet 1. Styre og koordinere det helhetlige arbeidet med beredskap i etaten 1.1. Utvikle og vedlikeholde etatens overordnete beredskapsplan, samt sikre at alle enheter i etaten har beredskapsplaner Gjennomføre beredskapsøvelse på sentralt nivå (for ledergruppa i Arbeids- og velferdsdirektoratet). 2. Sikre at krav til personvern og informasjonssikkerhet blir ivaretatt i etatens systemer 2.1. Utvikle og forvalte retningslinjer på tilgangskontroller, personvern og informasjonssikkerhet for etaten Følge opp NAVs arbeid med beskyttede personer. Figur 3: Regimeansvaret for sikkerhet slik det er beskrevet i ansvarsdokument for arbeids- og velferdsdirektoratet Ansvaret for styringssystemet for personvern, informasjonssikkerhet og beredskap er et regimeansvar i Arbeids- og velferdsdirektoratet Dette er lagt til IKT-avdelingen. Regimeansvaret utøves av IKT-direktøren som fastsetter krav til sikkerhet i etaten og godkjenner dokumentet Overordnede sikkerhetskrav som innenfor rammen av styringsdokumentet, fastsetter disse kravene. IKT-direktøren har delegert det daglige arbeidet med sikkerhet til seksjonssjef for sikkerhetsseksjonen. 5.8 Seksjonssjef for Sikkerhetsseksjonen Arbeidet knyttet til regimeansvaret for sikkerhet er lagt til Sikkerhetsseksjonen i IKTavdelingen. Utover det som konkret er beskrevet i regimeansvaret i figur 3, er seksjonssjef for Sikkerhetsseksjonen ansvarlig for å være formell fagansvarlig for områdene personvern, informasjonssikkerhet og beredskap (herunder IKT-sikkerhet, fysisk sikkerhet og etatens sikkerhetssystemer). å oppdatere Styringsdokument og Overordnede krav til personvern, informasjonssikkerhet og beredskap slik at arbeidet med sikkerhet er innenfor rammen av gjeldende regler og å legge disse frem for godkjenning. å forankre risikobildet, trender og resultater på sikkerhetsområdet gjennom blant annet den årlige rapporten Grunnlag for ledelsens gjennomgang av personvern, informasjonssikkerhet og beredskap. å etablere sikkerhetstiltak som de overordnede kravene forutsetter. å godkjenne forslag til operative retningslinjer, samt få utarbeidet eller oppdatert operative retningslinjer når det er behov for dette. å beslutte unntak og godkjenninger fra styringssystemet for sikkerhet. å behandle sikkerhetshendelser og avvik og sørge for rapportering til Datatilsynet og andre myndigheter vi er pålagt å rapportere dette til. å ivareta og koordinere etatens kontakt med tilsynsmyndigheter innen sikkerhetsområdet. Gjennomføre sikkerhetbesøk 5.9 Internrevisjonen For å styrke den interne kontrollen med sikkerhetsområdet er det viktig å ha en uavhengig vurdering av området som helhet og av om de enkelte tiltakene følges. Dette må skje i tillegg til Versjon: Side 9 av 10

10 de kontrollene som gjøres i ivaretakelse av regimeansvaret. Internrevisjonen velger sine revisjonsoppdrag på fritt grunnlag blant alle enheter i Arbeids- og velferdsetaten og utfører på denne måten uavhengige revisjoner av styringssystemet. Planer for sikkerhetsgjennomganger som skal utføres av Sikkerhetsseksjonen, utveksles med Internrevisjonen for å oppnå synergieffekter og unngå unødig dobbeltarbeid. Internrevisjonen tar hensyn til og kan bygge sitt arbeid på det som gjøres i linjen. Versjon: Side 10 av 10

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

Informasjon interesseorganisasjoner

Informasjon interesseorganisasjoner Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Risikostyring og Risikoworkshop - BI seminar 24.april 2014. NAV Internrevisjonen. Revisjonssjef Jørgen Bock

Risikostyring og Risikoworkshop - BI seminar 24.april 2014. NAV Internrevisjonen. Revisjonssjef Jørgen Bock Risikostyring og Risikoworkshop - BI seminar 24.april 2014 NAV Internrevisjonen Revisjonssjef Jørgen Bock Arbeids- og velferdsetaten korte fakta Etablert 1. juli 2006 Partnerskap i alle kommuner 457 NAV-kontor

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Instruks for internrevisjon i Garanti-Instituttet for Eksportkreditt 2005 Side 1 av 5 Internrevisjonsinstruksen setter rammer

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Instruks for konsernrevisjonen Helse Sør-Øst

Instruks for konsernrevisjonen Helse Sør-Øst Instruks for konsernrevisjonen Helse Sør-Øst Godkjent av revisjonskomiteen Helse Sør-Øst RHF 26.02.2009 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver... 3

Detaljer

Hovedpunkter. Sikkerhetsrapport 2014 Prioriterte tiltak Endringer, trusselbildet nå. Trusselsituasjonen, fysisk utforming og sikring av NAV-kontor

Hovedpunkter. Sikkerhetsrapport 2014 Prioriterte tiltak Endringer, trusselbildet nå. Trusselsituasjonen, fysisk utforming og sikring av NAV-kontor Objektsikkerhet i praksis Scandic Solli Hotell, 7. juni 216-1.5-11.3 Trusselsituasjonen, fysisk utforming og sikring av NAV-kontor - Konsekvenser av uønsket hendelse Lotte Ekornes, Arbeids- og velferdsdirektoratet

Detaljer

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, Utkast instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 08.12.2010 Innhold 1 Internrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver...

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring Retningslinje for Organisatorisk læring innen 1. Hensikt Som infrastrukturforvalter har Bane NOR ansvaret for sikker utforming og sikker drift av infrastrukturen, herunder etablering og implementering

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring Retningslinje for Organisatorisk læring innen 1. Hensikt Som infrastrukturforvalter har Jernbaneverket ansvaret for sikker utforming og sikker drift av infrastrukturen, herunder etablering og implementering

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

SAMARBEIDSAVTALE mellom Kongsvinger kommune og NAV Hedmark

SAMARBEIDSAVTALE mellom Kongsvinger kommune og NAV Hedmark SAMARBEIDSAVTALE mellom Kongsvinger kommune og NAV Hedmark 1. Samarbeidsparter Samarbeidsavtalen er inngått mellom Kongsvinger kommune og Arbeids- og velferdsetaten i Hedmark. Avtalen gjelder drift av

Detaljer

Aggregering av risiko - behov og utfordringer i risikostyringen

Aggregering av risiko - behov og utfordringer i risikostyringen Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning

Detaljer

Retningslinje for Sikring innen Sikkerhetsstyring

Retningslinje for Sikring innen Sikkerhetsstyring Retningslinje for Sikring innen Sikkerhetsstyring 1. Hensikt Som infrastrukturforvalter har Bane NOR ansvaret for sikker utforming og sikker drift av infrastrukturen, herunder etablering og implementering

Detaljer

Direktiv Krav til sikkerhetsstyring i Forsvaret

Direktiv Krav til sikkerhetsstyring i Forsvaret Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef

Detaljer

2006/560 I // Samarbeidsavtale. mellom. Ørland kommune og NAV Sør-Trøndelag

2006/560 I // Samarbeidsavtale. mellom. Ørland kommune og NAV Sør-Trøndelag 2006/560 I // Samarbeidsavtale mellom Ørland kommune og NAV Sør-Trøndelag Evaluert 2016 Innhold..\. ". Samarbeidsparter Formål Styring og ledelse av NAV-kontoret Medbestemmelse Mâl- og resultatkrav Informasjonsstrategi

Detaljer

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Sikkerhet og personvern i skole og klasserom

Sikkerhet og personvern i skole og klasserom Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Nr. Vår ref Dato I - 2/2013 13/1641 28.05.2013

Nr. Vår ref Dato I - 2/2013 13/1641 28.05.2013 Rundskriv Nr. Vår ref Dato I - 2/2013 13/1641 28.05.2013 LEDERANSVARET I SYKEHUS 1. INNLEDNING Sykehusets hovedoppgaver er å yte god pasientbehandling, utdanne helsepersonell, forskning og opplæring av

Detaljer

INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD

INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD Instruksen er fastsatt av Klima- og miljødepartementet i medhold av 3 i Reglement for økonomistyring i

Detaljer

Krav til informasjonssikkerhet i nytt personvernregelverk

Krav til informasjonssikkerhet i nytt personvernregelverk Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Har du kontroll på verdiene dine

Har du kontroll på verdiene dine Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1 Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter

Detaljer

STYRINGSDOKUMENT FOR PERSONVERN OG INFORMASJONSSIKKERHET

STYRINGSDOKUMENT FOR PERSONVERN OG INFORMASJONSSIKKERHET STYRINGSDOKUMENT FOR PERSONVERN OG INFORMASJONSSIKKERHET Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen Lovlig journalbruk Oppslag i og bruk av Pasientjournalen 1 Oppslag i og bruk av pasientjournalen Journalen er et viktig verktøy for tilgang til og deling av informasjon mellom samhandlende helsepersonell.

Detaljer

Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016

Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016 Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016 Vedtatt i styremøte 13. mars 2014 1. Formål med instruksen Denne instruksen omhandler administrerende direktørs oppgaver, plikter og rettigheter.

Detaljer

Planlegging og gjennomføring av brukerundersøkelser

Planlegging og gjennomføring av brukerundersøkelser Planlegging og gjennomføring av brukerundersøkelser overfor etatens brukere Operativ sikkerhetsdokumentasjon Fokusområde Personvern og taushetsplikt Sikkerhetskrav Personopplysninger skal primært innhentes

Detaljer

I I. Samarbeidsavtale. mellom. Bjugn kommune og NAV Sør-Trøndelag Gjelder perioden 01.05.14-01.05.17

I I. Samarbeidsavtale. mellom. Bjugn kommune og NAV Sør-Trøndelag Gjelder perioden 01.05.14-01.05.17 I I Samarbeidsavtale mellom Bjugn kommune og NAV Sør-Trøndelag Gjelder perioden 01.05.14-01.05.17 Samarbeidsparter Avtalen er inngått mellom Bjugn kommune og NAV Sør-Trøndelag. Avtalen gjelder drift av

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017 GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,

Detaljer

Retningslinje for Risikostyring trafikksikkerhet innen Sikkerhetsstyring

Retningslinje for Risikostyring trafikksikkerhet innen Sikkerhetsstyring Retningslinje for Risikostyring trafikksikkerhet innen 1. Hensikt Som infrastrukturforvalter har Bane NOR ansvaret for sikker utforming og sikker drift av infrastrukturen, herunder etablering og implementering

Detaljer

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert,

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID. (HMS - plan) for Norsk Biokraft AS 2015-2016

DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID. (HMS - plan) for Norsk Biokraft AS 2015-2016 DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID (HMS - plan) for Norsk Biokraft AS 2015-2016 januar 2015 Rev.nr.1.0 Erstatter plan av oktober 2012 Utarbeidet av Norsk Biokraft AS

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av Instruks for Konsernrevisjonen Helse Sør-Øst Erstatter instruks av 26.02.2009 Fastsatt av styret i Helse Sør-Øst RHF 07.02.2012 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet...

Detaljer

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Kjell Arne Knutsen Direktør DSS NSM sikkerhetskonferanse mars 2015 Formål Formidle noen nyttige erfaringer fra DSS 1. Innledning Kort om

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Policy for informasjonssikkerhet ved HSN

Policy for informasjonssikkerhet ved HSN Policy for informasjonssikkerhet ved HSN Side 1 av 15 Versjonskontroll Versjon Dato Endringsbeskrivelse HSN 1.0 16.09 2016 Policy for informasjonssikkerhet for HSN basert på Uninett/HiT-dokumenter bearbeidet

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning Om Ikomm Lillehammer Hamar Askim 85 Ansatte ISO 9001 ISO 27001 30 000 Brukere 500+ Applikasjoner Norge Sverige Finland

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen. Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Lov om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven)

Lov om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven) LOV 2006-06-16 nr 20: Lov om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven) [NAV-loven]. DATO: LOV-2006-06-16-20 DEPARTEMENT: AD (Arbeidsdepartementet) PUBLISERT: I 2006 hefte

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Innsynsrett - Brukers rett til innsyn

Innsynsrett - Brukers rett til innsyn Innsynsrett - Brukers rett til innsyn Operativ sikkerhetsdokumentasjon Ved håndtering av innsynsbegjæringer skal etaten overholde krav gitt i offentleglova, forvaltningsloven INNHOLDSFORTEGNELSE 1. HENSIKT...

Detaljer

Om Arbeidstilsynet. Arbeidstilsynet

Om Arbeidstilsynet. Arbeidstilsynet 19.09.201 7 1 Om er en statlig etat med ca 600 ansatte på landsbasis. Etatens hovedoppgave er å føre tilsyn med at virksomhetene følger arbeidsmiljølovens krav. s utadrettede virksomhet foregår hovedsakelig

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Lovlig journalbruk Oppslag i og bruk av pasientjournalen

Lovlig journalbruk Oppslag i og bruk av pasientjournalen Lovlig journalbruk Oppslag i og bruk av pasientjournalen Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet OPPSLAG I OG BRUK AV PASIENTJOURNALEN Journalen er et viktig verktøy

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Objektsikkerhet i praksis Scandic Helsfyr hotell, 26. november 2015, kl 10.50 11.30. Trusselsituasjonen, fysisk utforming og sikring av NAV-kontor

Objektsikkerhet i praksis Scandic Helsfyr hotell, 26. november 2015, kl 10.50 11.30. Trusselsituasjonen, fysisk utforming og sikring av NAV-kontor Objektsikkerhet i praksis Scandic Helsfyr hotell, 26. november 215, kl 1.5 11.3 Trusselsituasjonen, fysisk utforming og sikring av NAV-kontor - Konsekvenser av uønsket hendelse Lotte Ekornes, Arbeids-

Detaljer