Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet"

Transkript

1 Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet for kartlegging av sikkerhetsstandarder. Og videre av behandlingen i standardiseringssekretariatet, med saksfremlegg til Standardiseringsrådet. Rådet ga tilslutning og en anbefaling om å utrede ISO/IEC og ISO/IEC Disse to standardene har vært tilgjengelige i mange år, men i ulike versjoner, og er godt kjent også innen offentlig sektor. Informasjonssikkerhet er et ledelsesansvar, og det må forventes at virksomhetene arbeider metodisk og målrettet med utfordringene. I dette ligger det et særlig ansvar når det behandles sensitiv 1 eller gradert 2 informasjon, eller ved drift og forvaltning av kritisk IKT- infrastruktur. Virksomheter blir i lovog regelverket pålagt å ivareta informasjons- eller IKT-sikkerheten, uten derved alltid å få klare krav og føringer. Det er virksomhetens leder som er ansvarlig for å vurdere egen risikoeksponering og iverksette tilstrekkelig sikringstiltak. Det er observert at Riksrevisjonen har avdekket mangler ved føringer og krav gitt fra eksempelvis departementer vedrørende krav til informasjonssikkerhet hos underliggende etater, og ved oppfølging av sikkerhetsarbeidet hos disse. Revisjons- og tilsynsarbeid kan underlettes og effektiviseres ved at det i virksomhetene benyttes anerkjente standarder og/eller veiledninger. Standardene kan da legges til grunn som måleparametre for om kravene til informasjonssikkerhet blir ivaretatt. Rapportens konklusjoner Utredningen foreslår å gjøre ISO/IEC og ISO/IEC til forvaltningsstandarder for informasjonssikkerhet i offentlig sektor. Utredningen peker ut noen viktige anvendelsesområder innen informasjonssikkerhet, og avhengig av området er det foreslått ulik styrke i kravet om å følge standardene. Standardene foreslås enten som anbefalte eller obligatoriske, og i noen sammenhenger kreves det også at virksomheten skal være sertifisert iht. standarden. Det er i forbindelse med drift av samfunns- eller virksomhetskritiske systemer, at det foreslås å kreve sertifisering av styringssystemet iht. ISO Eks. sensitive personopplysninger 2 Sikkerhets- eller beskyttelsesgradert 1

2 Innspill til rapporten Utkast til rapporten om utredning av standarder for styring av informasjonssikkerhet, ble publisert på Standardiseringsportalen, og har vært tilgjengelig for kommentarer i nærmere 3 uker. Det ble åpnet for både kommentarer på nettstedet og innspill per e-post. Det er også avholdt to møter med Standardiseringsrådets arbeidsgruppe for sikkerhet. Difi har ikke mottatt noen kommentarer på rapporten i høringsperioden, men har mottatt ett innspill fra Oslo Kommune, som også er en del av arbeidsgruppen, i etterkant. Hovedbudskapet i Oslo Kommunes innspill er: I det store og hele støttes de konklusjoner som nå fremgår av utredingen. Intern ressurstilgang og kompetanse er en nødvendighet for å kunne beholde eventuell sertifisering og for å kunne forvalte ISMS tilfredsstillende over tid anbefale standardene som obligatorisk for store deler av offentlig sektor slik at det er mulig å opparbeide seg en helhetlig oversikt over sikkerhetsnivå, - og tillitsnivå for respektive samhandlingspartnere og aktører på vegne av både borgere, brukere, kunder og leverandører. Arbeidsgruppen har diskutert rapporten nøye og det er gjort noen justeringer i rapporten som følge av diskusjonene i arbeidsgruppen. Det har kommet et innspill fra NAV om å lette på kravet til ISO Et forslag resten av arbeidsgruppen ikke gav sin tilslutning til og som derfor ikke er tatt inn i forslaget. Det ble foreslått at i stedet for å sette krav til at selve ISO standarden skal følges, så burde det settes krav til at virksomhetene skal følge anerkjente prinsipper for styring av informasjonssikkerhet. Hvorav ISO er et eksempel på slike anerkjente prinsipper, men at også tilsvarende prinsipper kan benyttes. Arbeidsgruppens anbefaling til Standardiseringsrådet Arbeidsgruppen støtter rapportens konklusjoner og mener at anviste standarder bør gjøres anbefalte på alle skisserte anvendelsesområder i neste del-versjon av referansekatalogen og at det gjennomføres en konsekvensanalyse av å gjøre standardene obligatoriske og kreve sertifisering på angitte anvendelsesområder. Arbeidsgruppen synes det er en god regel at man ikke krever mer sikkerhet enn nødvendig, og synes derfor det er nyttig å definere konkret hvilke anvendelsesområder som gjelder i stedet for å komme med et veldig bredt pålegg som treffer alle. De områdene som ligger der i dag er derimot delvis overlappene, og rådet bør vurdere om alle eller enkelte av anvendelsesområdene bør samordnes. Inndelingen som foreligger gir derimot god innsikt i hvilke områder som vil bli berørt av pålegget og gir en god oversikt i forhold til å vurdere om det er rett nivå på kravene på alle områder. Vi ber rådet spesielt om å vurdere kravene om sertifisering internt i offentlig sektor, et krav som delvis bryter med vanlig praksis i dag. Rådet bør vurdere om en konsekvensvurdering av et obligatorisk krav om bruk av standardene, samt konsekvens av krav til sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før en eventuell slik utredning med tanke på å gjøre kravene 2

3 obligatorisk gjennomføres. Alternativt om standardene i første omgang kun bør gjøres obligatorisk for en mindre gruppe offentlige virksomheter (for eksempel de som tilgjengeliggjør sensitiv informasjon gjennom elektroniske tjenester mot innbyggere og næringsliv), for deretter og breddes ytterligere avhengig av erfaringer. Nedenfor ligger teksten som er tenkt å gå inn i referansekatalogen på sikt når eventuelt konsekvenser er vurdert. Det er foreslått 2 ulike alternativer, et alternativ der alle utpekte anvendelsesområder er skissert hver for seg og et der anvendelsesområdene er slått sammen i størst mulig grad. Alternativ 1 tekst til fremtidig referansekatalog Krav til standarder for styring av informasjonssikkerhet 1. Styring av informasjonssikkerhet ved informasjonsbehandling Anvendelsesområdet som her omtales gjelder offentlige virksomheters behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er regulert gjennom regelverket og annen informasjon med særlig behov for beskyttelse. I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det avgrenses mot krav som følge av sikkerhetsloven med forskrifter. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved informasjonsbehandling. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC Styring av informasjonssikkerhet i elektronisk kommunikasjon og samhandling Avendelsesområder må her forstås som sikker kommunikasjon og samhandling med og i offentlig sektor. I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved elektronisk kommunikasjons og samhandling med og i offentlig sektor. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC

4 3. Styring av informasjonssikkerhet ved ekstern IKT-drift og forvaltning (Gjelder alle 3 underområder) Anvendelsesområdet gjelder ekstern drift, som er når offentlige virksomheter har satt driften ut til en privat aktør. Anvendelsesområdet gjelder drift av systemer som den offentlige virksomhet selv har klassifisert som kritiske for samfunnet, sin egen virksomhet eller ikke kritisk. Anvendelsesområdet dekker informasjonssikkerhetsmekanismene konfidensialitet, tilgjengelighet og integritet. Hensikten er å kunne oppnå en sikker og forsvarlig drift hos ekstern kommersiell driftspartner gjennom avtaler og krav. I dette inngår primært å sikre driftsmiljøet hos denne, både administrativ, organisatorisk og systemteknisk. a) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved ekstern IKT-drift av samfunnskritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i og vurdere sikkerhetstiltakene listet i standarden. b) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved ekstern IKT-drift av virksomhetskritisk infrastruktur eller c) Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved ekstern IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i og vurdere 4. Styring av informasjonssikkerhet ved intern IKT-drift og forvaltning i offentlig sektor (Gjelder alle 6 underområder) Anvendelsesområdet er intern drift i det offentlige av IKT- systemer eller -infrastruktur som den offentlige virksomheten selv har klassifisert som kritiske for samfunnet, offentlig sektor, sin egen virksomhet eller ikke kritisk. Anvendelsesområdet dekker informasjonssikkerhetsmekanismene konfidensialitet, tilgjengelighet og integritet. I anvendelsesområdet inngår både virksomhetsintern og felles intern drift på vegene av flere offentlige virksomheter, samt drift av nasjonale felleskomponenter. Hensikten er å oppnå en sikker og forsvarlig intern drift på vegene av fellesskapet. I dette inngår primært å sikre driftsmiljøet hos den offentlige virksomheten, både administrativt, organisatorisk og systemteknisk. a) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av samfunnskritisk infrastruktur eller b) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av virksomhetskritisk infrastruktur eller 4

5 c) Det er anbefalt å benytte ISO/IEC for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også anbefalt å følge kravstrukturen i og vurdere d) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved felles offentlig IKT-drift av samfunnskritisk infrastruktur eller e) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved felles offentlig IKT-drift av virksomhetskritisk infrastruktur eller f) Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved felles offentlig IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i og vurdere 5. Informasjonssikkerhetskrav i styringsdialogen Anvendelsesområdet gjelder offentlige virksomheters overordnede utøvelse av ansvaret for informasjonssikkerhet i underliggende virksomhet (-er). Virksomhetene bør i sin styringsdialog med underliggende virksomheter be om rapportering om sikkerhetstilstanden og arbeidet med styringssystem for informasjonssikkerhet og iverksatte sikringstiltak. Dette iht. til kravene i denne referansekatalogen. Det skal settes krav til underliggende virksomheter om å rapportere om sikkerhetstilstanden og arbeidet med informasjonssikkerhet iht. referansekatalogens krav på ulike anvendelsesområder til ISO/IEC og ISO/IEC Sikkerhetskrav og strukturering Anvendelsesområdet gjelder strukturering av sikkerhetskrav og vurdering av aktuelle sikringstiltak i tilknytning til informasjonssikkerhetsarbeid i offentlig sektor. 5

6 Det er anbefalt å følge kravstrukturen i ISO/IEC 27002, og vurdere alle de foreslåtte sikringstiltakene. Alternativ 2 tekst til fremtidig referansekatalog Krav til standarder for styring av informasjonssikkerhet 1. Styring av informasjonssikkerhet ved informasjonsbehandling Anvendelsesområdet som her omtales gjelder sikker offentlig behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er regulert gjennom regelverket og annen informasjon med særlig behov for beskyttelse (for eksempel informasjon som blir ansett som samfunnskritisk eller virksomhetskritisk). I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det avgrenses mot krav som følge av sikkerhetsloven med forskrifter. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. Anvendelsesområdet inkluderer styring av informasjonssikkerheten ved samhandling og elektronisk kommunikasjon med og i offentlig sektor og styring av informasjonssikkerheten knyttet til ekstern og intern drift av beskyttelsesverdig informasjon. I tillegg inkluderer anvendelsesområdet krav om rapportering på sikkerhetstilstanden og arbeidet med informasjonssikkerhet iht. disse kravene i styringsdialogen til underliggende virksomhet. Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved behandling av informasjon. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC Når det gjelder de delene av dette anvendelsesområdet, som omhandler styring av informasjonssikkerheten ved ekstern, offentlig sektor intern og offentlig virksomhetsintern IKT-drift, så er det også pålagt å sertifisere seg selv eller kreve sertifisering av ekstern driftsleverandøren iht. ISO Sikkerhetskrav og strukturering Anvendelsesområdet gjelder strukturering av sikkerhetskrav og vurdering av aktuelle sikringstiltak i tilknytning til informasjonssikkerhetsarbeid i offentlig sektor. 6

7 Det er anbefalt å følge kravstrukturen i ISO/IEC 27002, og vurdere alle de foreslåtte sikringstiltakene. Unntak (gjelder begge alternativene over) Foreløpig er det ikke identifisert behov for unntak. Behov for unntak kan imidlertid fremkomme i konsekvensutredningen. Ikrafttredelse og forberedelse (gjelder begge alternativene over) Det anbefales at standardene gjøres anbefalte våren/sommeren 2011, ved publisering av neste del versjon av referansekatalogen. Rådet bør vurdere om en konsekvensvurdering av et obligatorisk krav om bruk av standardene, samt konsekvens av krav til sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før et eventuelt obligatorisk tiltak. Alternativt om standardene kun gjøres obligatorisk for en mindre gruppe offentlige virksomheter (for eksempel de som tilgjengeliggjør sensitiv informasjon gjennom elektroniske tjenester mot innbyggere og næringsliv). 7

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet 02.06.10 ELMER for innbyggerskjemaer Skal ELMER gjøres til obligatorisk/anbefalt forvaltningsstandard for offentlige skjemaer på Internett,

Detaljer

Standardiseringsarbeidet

Standardiseringsarbeidet Standardiseringsarbeidet Kristian Bergem 10.02.2010 Standardiseringsportalen Dato Totaloversikt standard.difi.no http://standard.difi.no/forvaltningsstandarder Dato 1. Ver av referansekatalogen Kom i desember

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Revisjonsnotat høsten 2014

Revisjonsnotat høsten 2014 Revisjonsnotat høsten 2014 16.10.2014 Bakgrunn Referansekatalog for IT-standarder i offentlig sektor er en liste over anbefalte og obligatoriske tverrsektorielle krav til bruk av IT-standarder i offentlig

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011

Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011 Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011 Innhold 1 Sammendrag... 3 2 Innledning... 6 2.1 Bakgrunn... 6 2.2 Formål... 7 2.3 Mandatet... 7 2.4 Arbeidsmetodikk...

Detaljer

STANDARDISERINGSRÅDETS ARBEID

STANDARDISERINGSRÅDETS ARBEID S ARBEID OLAF ØSTENSEN STATENS KARTVERK ANDRE BAKGRUNNSDOKUMENTER Arkitektur for elektronisk samhandling i offentlig sektor Bruk av åpne IT-standarder og åpen kildekode i offentlig sektor FAD OPPRETTER

Detaljer

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Standardiseringsrådsmøte #4 i November 2015

Standardiseringsrådsmøte #4 i November 2015 Standardiseringsrådsmøte #4 i 2015 12. November 2015 Revisjon av referansekatalogen høsten 2015 Kristian Bergem 12. November 2015 Revisjon av referansekatalogen høsten 2015 Difi gjennomfører en årlig vurdering

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Revisjonsnotat Beslutningssak i det 25. standardiseringsrådsmøte

Revisjonsnotat Beslutningssak i det 25. standardiseringsrådsmøte Revisjonsnotat 2010 Beslutningssak i det 25. standardiseringsrådsmøte 22.11.10 Om revisjonsnotat 2010 STI har utført den årlige gjennomgang av de anvendelsesområder som er inkludert i forskrift om IT-standarder

Detaljer

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 1 Innhold 1. Bakgrunn og innledning... 3 2. Standarder for publisering av nettleserbaserte

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioritering 2011 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioriteringsnotat 2011 Gjennomgang av forslag til standardiseringsarbeidet Prioritering i henhold til kriterier Utkast til prioriteringsnotat

Detaljer

«Standard for begrepsbeskrivelser»

«Standard for begrepsbeskrivelser» «Standard for begrepsbeskrivelser» Standardiseringsrådet, 13. mars 2012 Steinar Skagemo Tema Bakgrunn Behovet for standarder innenfor området metadata/semantikk/begrepsarbeid Spesielt om behovet for standard

Detaljer

Metodikk for arbeidet i Standardiseringsrådet

Metodikk for arbeidet i Standardiseringsrådet Metodikk for arbeidet i Standardiseringsrådet 1. Bakgrunn Dette er et notat som beskriver Standardiseringsrådets arbeidsmetodikk, og som klargjør rollen Standardiseringsrådet har i forhold til Fornyings-,

Detaljer

Sikkert nok - Informasjonssikkerhet som strategi

Sikkert nok - Informasjonssikkerhet som strategi Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet Versjonshåndtering Versjonsnr. Endret Beskrivelse av endring: Endret av: dato: 0.7 08.02.2011 Godkjenning av alle endringer KrB 1 Innhold 1

Detaljer

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag

Detaljer

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010 Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for dokumentformater Møte i Standardiseringsrådet 16. mars 2010 Disposisjon Kort historikk behandling av rapporten Forberedende

Detaljer

Olje- og energidepartementet

Olje- og energidepartementet Olje- og energidepartementet 1 Olje- og energidepartementets forvaltning og gjennomføring av budsjettet for 2009 1.1 Generelt om resultatet av revisjonen Tabell 1.1 (tall i mill. kroner)* Utgifter Inntekter

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

definisjonsarbeid Anbefalinger til standardiseringsrådet

definisjonsarbeid Anbefalinger til standardiseringsrådet Utredning om standarder for definisjonsarbeid Anbefalinger til standardiseringsrådet Disposisjon Bakgrunn Om utredningen Behandlingen av utredningen i sekretariatet t t Utfordringer Relaterte aktiviteter

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Dato: 30. september Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor

Dato: 30. september Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor Dato: 30. september 2011 Byrådssak 1435/11 Byrådet Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor BJOL SARK-03-201103312-52 Hva

Detaljer

Velkommen til Tegnsett seminar

Velkommen til Tegnsett seminar Velkommen til Tegnsett seminar Kristian Bergem, Difi Avdeling for IT-styring og samordning, ITS Faggruppe for standardisering og interoperabilitet, STI 6. desember 2011 Dagens agenda Difi Standardiseringsarbeidet

Detaljer

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013 Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Nasjonal arbeidsgruppe IPv6

Nasjonal arbeidsgruppe IPv6 Nasjonal arbeidsgruppe IPv6 IPv6 i offentlig sektor 25.08.2015 Anbefalte og obligatoriske ITstandarder i offentlig sektor Underbygge god samhandling mellom offentlige virksomheter Underbygge god samhandling

Detaljer

Standarder for en tjenesteorientert arkitektur

Standarder for en tjenesteorientert arkitektur Standarder for en tjenesteorientert arkitektur Forslag til anbefalinger Standardiseringsrådet 16. mars 2010 Bakgrunn Standardiseringssekretariatet har fått utarbeidet en rapport om mulige standarder for

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Dokumentformater 23. møte i Standardiseringsrådet

Dokumentformater 23. møte i Standardiseringsrådet Dokumentformater 23. møte i Standardiseringsrådet Difi, avdeling for IKT styring og samordning (ITS) 3. Juni 2010 Agenda Repetisjon av anbefalinger og aksjonspunkter fra forrige møte Rapporten fra Bouvet

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet,

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Veikart Standardiseringsrådet

Veikart Standardiseringsrådet Veikart Standardiseringsrådet 17.03.2016 Kristian Bergem Direktoratet for forvaltning og IKT Avdeling for digital forvaltning Seksjon for nasjonal arkitektur Mål (endepunkt) Følgende mål er foreslått for

Detaljer

Difis og Skates bidrag til mer, bedre og samordnet digitalisering

Difis og Skates bidrag til mer, bedre og samordnet digitalisering Difis og Skates bidrag til mer, bedre og samordnet digitalisering Partnerforums vårkonferanse 3. juni 2016 Birgitte Egset Fagdirektør, avdeling digital forvaltning, Difi Digital agenda Stortingsmeldingen

Detaljer

Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet?

Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet? Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet? Samdok konferansen 2013 Gardermoen, 3. desember 2013 Kristian Bergem, Difi Målbildet for offentlig sektor Brukerorientert

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning

Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning Hjemmel: Fastsatt ved kgl.res. 24.06 2011 med hjemmel i lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven)

Detaljer

Ny postregulering - høringsuttalelse

Ny postregulering - høringsuttalelse Vår dato Vår referanse 23.1.2015 14/00873-3 Deres dato Deres referanse Samferdselsdepartementet Postboks 8010 Dep 0030 OSLO Saksbehandler: Birgitte Jensen Egset Ny postregulering - høringsuttalelse Det

Detaljer

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og

Detaljer

Politikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006

Politikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006 Politikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006 Jørund Leknes, politisk rådgiver 1 Politiske målsetninger (utdrag fra Soria Moria) Fornye og utvikle offentlig sektor ved

Detaljer

Regelverk. Endringer i regelverk for digital forvaltning

Regelverk. Endringer i regelverk for digital forvaltning Regelverk Endringer i regelverk for digital forvaltning Offentlig sektors dataforum Oslo 28. november 2013 Nina Fladsrud Sikkerhet, robusthet og personvern rege Sikkerhet, robusthet og personvern Digital

Detaljer

«Standard for begrepsbeskrivelser»

«Standard for begrepsbeskrivelser» «Standard for begrepsbeskrivelser» Standardiseringsrådet, 16. mai 2012 Steinar Skagemo Innhold Oppsummering av bakgrunn Utvikling av standarden Gjennomgang av dokumentet «Standard for begrepsbeskrivelser»

Detaljer

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen. Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM"

VEILEDER OM KRAVET TIL SKOLEEIERS FORSVARLIGE SYSTEM VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM" I HENHOLD TIL OPPLÆRINGSLOVEN 13-10 ANDRE LEDD OG PRIVATSKOLELOVEN 5-2 TREDJE LEDD Innhold 1. Forord...2 2. Innledning...3 3. Elementer i et forsvarlig

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Barne- og likestillingsdepartementet

Barne- og likestillingsdepartementet Barne- og likestillingsdepartementet 1 Barne- og likestillingsdepartementets budsjett og regnskap for 2015 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2015 (nysaldert budsjett) Samlet bevilgning

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

for prosjektet Digital kontaktinformasjon og fullmakter for virksomheter planleggingsfasen

for prosjektet Digital kontaktinformasjon og fullmakter for virksomheter planleggingsfasen Prosjektbegrunnelse for prosjektet Digital kontaktinformasjon og fullmakter for virksomheter planleggingsfasen Denne fylles ut ved behandling Prosjektnummer: Saksnummer: Versjon 1.0 11.11.2015 Behandlet

Detaljer

SELVDEKLARERING for IKT-relaterte satsingsforslag

SELVDEKLARERING for IKT-relaterte satsingsforslag SELVDEKLARERING for IKT-relaterte satsingsforslag Versjon 6 25.08.2014 Som ansvarlig for regjeringens IKT- og fornyingspolitikk, skal Kommunal- og moderniseringsdepartementet (KMD) vurdere departementenes

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem Høring av Referansekatalogen v. 3.1. Marit Grønntun og Kristian Bergem 16.05.2012 Generelle kommentarer Positive til standardisering Flertallet mener de følger standardene Viktig med konsekvensvurderinger,

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Kristian Bergem. Direktoratet for forvaltning og IKT 05.11.2012

Kristian Bergem. Direktoratet for forvaltning og IKT 05.11.2012 Kristian Bergem Direktoratet for forvaltning og IKT 05.11.2012 Regjeringens mål Et bedre møte med offentlig sektor Frigjøre ressurser til de store oppgavene Norge skal ligge i front internasjonalt 2 På

Detaljer

Høgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle (http://www.hist.no/content.ap?thisid=131)

Høgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle (http://www.hist.no/content.ap?thisid=131) Høgskolen i Sør-Trøndelag Høgskolestyret Vedtakssak Dato: 22.02.09 Til: Høgskolestyret Fra: Rektor Sak: HS-V-002/09 Intern kontroll og revisjon, retningslinjer for Høgskolen i Sør- Trøndelag Saksbehandler/-sted:

Detaljer

Forslag til oppfølgingsansvar

Forslag til oppfølgingsansvar Innspill til oppfølging av internrevisjonens anbefalinger i rapport om Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og Tiltak nr Internrevisjonens anbefaling Oppfølgingsansvar

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen Norm for Informasjonssikkerhet i Helsesektoren Tor Ottersen Dilemma Konfidensialitet Ivareta pasientens integritet ved å beskytte alle opplysninger. Tilgjengelighet Pasienten skal sikres forsvarlig (best

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Hvordan lage gode offentlige nettsider?

Hvordan lage gode offentlige nettsider? Hvordan lage gode offentlige nettsider? Oslo 11. nov 2009 Direktoratet for forvaltning og IKT Velkommen Kristian Bergem 12.11.2009 11. nov 2009 Direktoratet for forvaltning og IKT Direktoratet for forvaltning

Detaljer

Riktig bidrag til rett tid: Råd om fellesføringer for deltakelse i arbeidet med helhetlig vannforvaltning

Riktig bidrag til rett tid: Råd om fellesføringer for deltakelse i arbeidet med helhetlig vannforvaltning Til: Departementsgruppen for vannforskriften og vanndirektivet Fra: Direktoratsgruppen for vannforskriften og vanndirektivet Dato: 17 juni 2016 Riktig bidrag til rett tid: Råd om fellesføringer for deltakelse

Detaljer

HOVEDINSTRUKS FOR HELSEDIREKTORATET

HOVEDINSTRUKS FOR HELSEDIREKTORATET HOVEDINSTRUKS FOR HELSEDIREKTORATET Fastsatt av Helse- og omsorgsdepartementet den 31.01.2012 1. Innledning Formal med instruksen og forhold til øvrig regelverk Formålet med instruksen er å angi myndigheten

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Veiledning for praktisering av dokumentinnsyn i samsvar med lov og instruks for Riksrevisjonen

Veiledning for praktisering av dokumentinnsyn i samsvar med lov og instruks for Riksrevisjonen Veiledning for praktisering av dokumentinnsyn i samsvar med lov og instruks for Riksrevisjonen Utarbeidet av Riksrevisjonen mars 2010 Forord Riksrevisjonen må som uavhengig revisjons- og kontrollorgan

Detaljer

Akkumulert risikovurdering oktober 2015

Akkumulert risikovurdering oktober 2015 Akkumulert risikovurdering oktober 201 Sannsynlighet 1 Risiko for driftsstans i PRO og NISSY som følge av svakheter i løsning levert fra (6) Risiko for at Mine pasientreiser blir levert forsinket med redusert

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Kommunal- og regionaldepartementet

Kommunal- og regionaldepartementet Kommunal- og regionaldepartementet 1 Kommunal- og regionaldepartementets budsjett og regnskap for 2012 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2012 Samlet bevilgning Regnskap Overført

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Konsekvensutredning av ELMER som obligatorisk forvaltningsstandard for innbyggerskjemaer. Beslutningssak i det 25. standardiseringsrådsmøte

Konsekvensutredning av ELMER som obligatorisk forvaltningsstandard for innbyggerskjemaer. Beslutningssak i det 25. standardiseringsrådsmøte Konsekvensutredning av ELMER som obligatorisk forvaltningsstandard for innbyggerskjemaer Beslutningssak i det 25. standardiseringsrådsmøte 22.11.10 Konsekvensutredning I rådsmøtet i juni ble det vurdert

Detaljer

Prioritering 2012. Møte i Standardiseringsrådet 24. november 2011

Prioritering 2012. Møte i Standardiseringsrådet 24. november 2011 Prioritering 2012 Møte i Standardiseringsrådet 24. november 2011 Prioritering 21 forslag, mottatt gjennom innspill og utredninger Forslagene vurderes i henhold til kriterier i Standardiseringsrådets arbeidsmetodikk

Detaljer

Referat fra møtet i Standardiseringsrådet mai 2012

Referat fra møtet i Standardiseringsrådet mai 2012 Referat fra møtet i Standardiseringsrådet mai 2012 Tid: 16. mai 2012, kl. 10.00-15.30 Sted: Difi, Grev Wedels plass 9, Oslo Møteleder: Olaf Østensen, Kartverket Referent: Kristian Bergem (Difi) Tilstede:

Detaljer

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Tekniske, semantiske og organisatoriske utfordringer for samhandling i offentlig sektor. Endre Grøtnes FINF 4001 høst 2011

Tekniske, semantiske og organisatoriske utfordringer for samhandling i offentlig sektor. Endre Grøtnes FINF 4001 høst 2011 Tekniske, semantiske og organisatoriske utfordringer for samhandling i offentlig sektor Endre Grøtnes Endre.grotnes@difi.no FINF 4001 høst 2011 Et liten (forsknings)advarsel Informasjonen dere får i dag

Detaljer

Fiskeri- og kystdepartementet

Fiskeri- og kystdepartementet Fiskeri- og kystdepartementet 1 Fiskeri- og kystdepartementets forvaltning og gjennomføring av budsjettet for 2006 1.1 Generelt om resultatet av revisjonen Fiskeri- og kystdepartementet består av ett programområde:

Detaljer

Kravet til skoleeiers «forsvarlige system»

Kravet til skoleeiers «forsvarlige system» Veileder om Kravet til skoleeiers «forsvarlige system» i henhold til opplæringsloven 13-10 Innhold Forord 4 Innledning 5 Elementer i et forsvarlig system 6 Systemkrav som virkemiddel for kvalitetsutvikling

Detaljer

«Bruk av internrevisjon i staten» - høringssvar

«Bruk av internrevisjon i staten» - høringssvar Norges Interne Revisorers Forening Postboks 1417 Vika 0115 OSLO Oslo, 14. oktober 2014 Til: Det Kongelige Finansdepartement Ref: 14/3305 «Bruk av internrevisjon i staten» - høringssvar Norges Interne Revisorers

Detaljer