Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet"

Transkript

1 Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet for kartlegging av sikkerhetsstandarder. Og videre av behandlingen i standardiseringssekretariatet, med saksfremlegg til Standardiseringsrådet. Rådet ga tilslutning og en anbefaling om å utrede ISO/IEC og ISO/IEC Disse to standardene har vært tilgjengelige i mange år, men i ulike versjoner, og er godt kjent også innen offentlig sektor. Informasjonssikkerhet er et ledelsesansvar, og det må forventes at virksomhetene arbeider metodisk og målrettet med utfordringene. I dette ligger det et særlig ansvar når det behandles sensitiv 1 eller gradert 2 informasjon, eller ved drift og forvaltning av kritisk IKT- infrastruktur. Virksomheter blir i lovog regelverket pålagt å ivareta informasjons- eller IKT-sikkerheten, uten derved alltid å få klare krav og føringer. Det er virksomhetens leder som er ansvarlig for å vurdere egen risikoeksponering og iverksette tilstrekkelig sikringstiltak. Det er observert at Riksrevisjonen har avdekket mangler ved føringer og krav gitt fra eksempelvis departementer vedrørende krav til informasjonssikkerhet hos underliggende etater, og ved oppfølging av sikkerhetsarbeidet hos disse. Revisjons- og tilsynsarbeid kan underlettes og effektiviseres ved at det i virksomhetene benyttes anerkjente standarder og/eller veiledninger. Standardene kan da legges til grunn som måleparametre for om kravene til informasjonssikkerhet blir ivaretatt. Rapportens konklusjoner Utredningen foreslår å gjøre ISO/IEC og ISO/IEC til forvaltningsstandarder for informasjonssikkerhet i offentlig sektor. Utredningen peker ut noen viktige anvendelsesområder innen informasjonssikkerhet, og avhengig av området er det foreslått ulik styrke i kravet om å følge standardene. Standardene foreslås enten som anbefalte eller obligatoriske, og i noen sammenhenger kreves det også at virksomheten skal være sertifisert iht. standarden. Det er i forbindelse med drift av samfunns- eller virksomhetskritiske systemer, at det foreslås å kreve sertifisering av styringssystemet iht. ISO Eks. sensitive personopplysninger 2 Sikkerhets- eller beskyttelsesgradert 1

2 Innspill til rapporten Utkast til rapporten om utredning av standarder for styring av informasjonssikkerhet, ble publisert på Standardiseringsportalen, og har vært tilgjengelig for kommentarer i nærmere 3 uker. Det ble åpnet for både kommentarer på nettstedet og innspill per e-post. Det er også avholdt to møter med Standardiseringsrådets arbeidsgruppe for sikkerhet. Difi har ikke mottatt noen kommentarer på rapporten i høringsperioden, men har mottatt ett innspill fra Oslo Kommune, som også er en del av arbeidsgruppen, i etterkant. Hovedbudskapet i Oslo Kommunes innspill er: I det store og hele støttes de konklusjoner som nå fremgår av utredingen. Intern ressurstilgang og kompetanse er en nødvendighet for å kunne beholde eventuell sertifisering og for å kunne forvalte ISMS tilfredsstillende over tid anbefale standardene som obligatorisk for store deler av offentlig sektor slik at det er mulig å opparbeide seg en helhetlig oversikt over sikkerhetsnivå, - og tillitsnivå for respektive samhandlingspartnere og aktører på vegne av både borgere, brukere, kunder og leverandører. Arbeidsgruppen har diskutert rapporten nøye og det er gjort noen justeringer i rapporten som følge av diskusjonene i arbeidsgruppen. Det har kommet et innspill fra NAV om å lette på kravet til ISO Et forslag resten av arbeidsgruppen ikke gav sin tilslutning til og som derfor ikke er tatt inn i forslaget. Det ble foreslått at i stedet for å sette krav til at selve ISO standarden skal følges, så burde det settes krav til at virksomhetene skal følge anerkjente prinsipper for styring av informasjonssikkerhet. Hvorav ISO er et eksempel på slike anerkjente prinsipper, men at også tilsvarende prinsipper kan benyttes. Arbeidsgruppens anbefaling til Standardiseringsrådet Arbeidsgruppen støtter rapportens konklusjoner og mener at anviste standarder bør gjøres anbefalte på alle skisserte anvendelsesområder i neste del-versjon av referansekatalogen og at det gjennomføres en konsekvensanalyse av å gjøre standardene obligatoriske og kreve sertifisering på angitte anvendelsesområder. Arbeidsgruppen synes det er en god regel at man ikke krever mer sikkerhet enn nødvendig, og synes derfor det er nyttig å definere konkret hvilke anvendelsesområder som gjelder i stedet for å komme med et veldig bredt pålegg som treffer alle. De områdene som ligger der i dag er derimot delvis overlappene, og rådet bør vurdere om alle eller enkelte av anvendelsesområdene bør samordnes. Inndelingen som foreligger gir derimot god innsikt i hvilke områder som vil bli berørt av pålegget og gir en god oversikt i forhold til å vurdere om det er rett nivå på kravene på alle områder. Vi ber rådet spesielt om å vurdere kravene om sertifisering internt i offentlig sektor, et krav som delvis bryter med vanlig praksis i dag. Rådet bør vurdere om en konsekvensvurdering av et obligatorisk krav om bruk av standardene, samt konsekvens av krav til sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før en eventuell slik utredning med tanke på å gjøre kravene 2

3 obligatorisk gjennomføres. Alternativt om standardene i første omgang kun bør gjøres obligatorisk for en mindre gruppe offentlige virksomheter (for eksempel de som tilgjengeliggjør sensitiv informasjon gjennom elektroniske tjenester mot innbyggere og næringsliv), for deretter og breddes ytterligere avhengig av erfaringer. Nedenfor ligger teksten som er tenkt å gå inn i referansekatalogen på sikt når eventuelt konsekvenser er vurdert. Det er foreslått 2 ulike alternativer, et alternativ der alle utpekte anvendelsesområder er skissert hver for seg og et der anvendelsesområdene er slått sammen i størst mulig grad. Alternativ 1 tekst til fremtidig referansekatalog Krav til standarder for styring av informasjonssikkerhet 1. Styring av informasjonssikkerhet ved informasjonsbehandling Anvendelsesområdet som her omtales gjelder offentlige virksomheters behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er regulert gjennom regelverket og annen informasjon med særlig behov for beskyttelse. I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det avgrenses mot krav som følge av sikkerhetsloven med forskrifter. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved informasjonsbehandling. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC Styring av informasjonssikkerhet i elektronisk kommunikasjon og samhandling Avendelsesområder må her forstås som sikker kommunikasjon og samhandling med og i offentlig sektor. I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved elektronisk kommunikasjons og samhandling med og i offentlig sektor. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC

4 3. Styring av informasjonssikkerhet ved ekstern IKT-drift og forvaltning (Gjelder alle 3 underområder) Anvendelsesområdet gjelder ekstern drift, som er når offentlige virksomheter har satt driften ut til en privat aktør. Anvendelsesområdet gjelder drift av systemer som den offentlige virksomhet selv har klassifisert som kritiske for samfunnet, sin egen virksomhet eller ikke kritisk. Anvendelsesområdet dekker informasjonssikkerhetsmekanismene konfidensialitet, tilgjengelighet og integritet. Hensikten er å kunne oppnå en sikker og forsvarlig drift hos ekstern kommersiell driftspartner gjennom avtaler og krav. I dette inngår primært å sikre driftsmiljøet hos denne, både administrativ, organisatorisk og systemteknisk. a) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved ekstern IKT-drift av samfunnskritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i og vurdere sikkerhetstiltakene listet i standarden. b) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved ekstern IKT-drift av virksomhetskritisk infrastruktur eller c) Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved ekstern IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i og vurdere 4. Styring av informasjonssikkerhet ved intern IKT-drift og forvaltning i offentlig sektor (Gjelder alle 6 underområder) Anvendelsesområdet er intern drift i det offentlige av IKT- systemer eller -infrastruktur som den offentlige virksomheten selv har klassifisert som kritiske for samfunnet, offentlig sektor, sin egen virksomhet eller ikke kritisk. Anvendelsesområdet dekker informasjonssikkerhetsmekanismene konfidensialitet, tilgjengelighet og integritet. I anvendelsesområdet inngår både virksomhetsintern og felles intern drift på vegene av flere offentlige virksomheter, samt drift av nasjonale felleskomponenter. Hensikten er å oppnå en sikker og forsvarlig intern drift på vegene av fellesskapet. I dette inngår primært å sikre driftsmiljøet hos den offentlige virksomheten, både administrativt, organisatorisk og systemteknisk. a) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av samfunnskritisk infrastruktur eller b) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av virksomhetskritisk infrastruktur eller 4

5 c) Det er anbefalt å benytte ISO/IEC for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også anbefalt å følge kravstrukturen i og vurdere d) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved felles offentlig IKT-drift av samfunnskritisk infrastruktur eller e) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC for styring av informasjonssikkerhet ved felles offentlig IKT-drift av virksomhetskritisk infrastruktur eller f) Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved felles offentlig IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i og vurdere 5. Informasjonssikkerhetskrav i styringsdialogen Anvendelsesområdet gjelder offentlige virksomheters overordnede utøvelse av ansvaret for informasjonssikkerhet i underliggende virksomhet (-er). Virksomhetene bør i sin styringsdialog med underliggende virksomheter be om rapportering om sikkerhetstilstanden og arbeidet med styringssystem for informasjonssikkerhet og iverksatte sikringstiltak. Dette iht. til kravene i denne referansekatalogen. Det skal settes krav til underliggende virksomheter om å rapportere om sikkerhetstilstanden og arbeidet med informasjonssikkerhet iht. referansekatalogens krav på ulike anvendelsesområder til ISO/IEC og ISO/IEC Sikkerhetskrav og strukturering Anvendelsesområdet gjelder strukturering av sikkerhetskrav og vurdering av aktuelle sikringstiltak i tilknytning til informasjonssikkerhetsarbeid i offentlig sektor. 5

6 Det er anbefalt å følge kravstrukturen i ISO/IEC 27002, og vurdere alle de foreslåtte sikringstiltakene. Alternativ 2 tekst til fremtidig referansekatalog Krav til standarder for styring av informasjonssikkerhet 1. Styring av informasjonssikkerhet ved informasjonsbehandling Anvendelsesområdet som her omtales gjelder sikker offentlig behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er regulert gjennom regelverket og annen informasjon med særlig behov for beskyttelse (for eksempel informasjon som blir ansett som samfunnskritisk eller virksomhetskritisk). I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det avgrenses mot krav som følge av sikkerhetsloven med forskrifter. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. Anvendelsesområdet inkluderer styring av informasjonssikkerheten ved samhandling og elektronisk kommunikasjon med og i offentlig sektor og styring av informasjonssikkerheten knyttet til ekstern og intern drift av beskyttelsesverdig informasjon. I tillegg inkluderer anvendelsesområdet krav om rapportering på sikkerhetstilstanden og arbeidet med informasjonssikkerhet iht. disse kravene i styringsdialogen til underliggende virksomhet. Det er obligatorisk å benytte ISO/IEC for styring av informasjonssikkerhet ved behandling av informasjon. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC Når det gjelder de delene av dette anvendelsesområdet, som omhandler styring av informasjonssikkerheten ved ekstern, offentlig sektor intern og offentlig virksomhetsintern IKT-drift, så er det også pålagt å sertifisere seg selv eller kreve sertifisering av ekstern driftsleverandøren iht. ISO Sikkerhetskrav og strukturering Anvendelsesområdet gjelder strukturering av sikkerhetskrav og vurdering av aktuelle sikringstiltak i tilknytning til informasjonssikkerhetsarbeid i offentlig sektor. 6

7 Det er anbefalt å følge kravstrukturen i ISO/IEC 27002, og vurdere alle de foreslåtte sikringstiltakene. Unntak (gjelder begge alternativene over) Foreløpig er det ikke identifisert behov for unntak. Behov for unntak kan imidlertid fremkomme i konsekvensutredningen. Ikrafttredelse og forberedelse (gjelder begge alternativene over) Det anbefales at standardene gjøres anbefalte våren/sommeren 2011, ved publisering av neste del versjon av referansekatalogen. Rådet bør vurdere om en konsekvensvurdering av et obligatorisk krav om bruk av standardene, samt konsekvens av krav til sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før et eventuelt obligatorisk tiltak. Alternativt om standardene kun gjøres obligatorisk for en mindre gruppe offentlige virksomheter (for eksempel de som tilgjengeliggjør sensitiv informasjon gjennom elektroniske tjenester mot innbyggere og næringsliv). 7

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet 02.06.10 ELMER for innbyggerskjemaer Skal ELMER gjøres til obligatorisk/anbefalt forvaltningsstandard for offentlige skjemaer på Internett,

Detaljer

Standardiseringsarbeidet

Standardiseringsarbeidet Standardiseringsarbeidet Kristian Bergem 10.02.2010 Standardiseringsportalen Dato Totaloversikt standard.difi.no http://standard.difi.no/forvaltningsstandarder Dato 1. Ver av referansekatalogen Kom i desember

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

STANDARDISERINGSRÅDETS ARBEID

STANDARDISERINGSRÅDETS ARBEID S ARBEID OLAF ØSTENSEN STATENS KARTVERK ANDRE BAKGRUNNSDOKUMENTER Arkitektur for elektronisk samhandling i offentlig sektor Bruk av åpne IT-standarder og åpen kildekode i offentlig sektor FAD OPPRETTER

Detaljer

Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011

Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011 Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011 Innhold 1 Sammendrag... 3 2 Innledning... 6 2.1 Bakgrunn... 6 2.2 Formål... 7 2.3 Mandatet... 7 2.4 Arbeidsmetodikk...

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioritering 2011 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioriteringsnotat 2011 Gjennomgang av forslag til standardiseringsarbeidet Prioritering i henhold til kriterier Utkast til prioriteringsnotat

Detaljer

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010 Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for dokumentformater Møte i Standardiseringsrådet 16. mars 2010 Disposisjon Kort historikk behandling av rapporten Forberedende

Detaljer

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner

Detaljer

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 1 Innhold 1. Bakgrunn og innledning... 3 2. Standarder for publisering av nettleserbaserte

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet Versjonshåndtering Versjonsnr. Endret Beskrivelse av endring: Endret av: dato: 0.7 08.02.2011 Godkjenning av alle endringer KrB 1 Innhold 1

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Dato: 30. september Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor

Dato: 30. september Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor Dato: 30. september 2011 Byrådssak 1435/11 Byrådet Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor BJOL SARK-03-201103312-52 Hva

Detaljer

Dokumentformater 23. møte i Standardiseringsrådet

Dokumentformater 23. møte i Standardiseringsrådet Dokumentformater 23. møte i Standardiseringsrådet Difi, avdeling for IKT styring og samordning (ITS) 3. Juni 2010 Agenda Repetisjon av anbefalinger og aksjonspunkter fra forrige møte Rapporten fra Bouvet

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Nasjonal arbeidsgruppe IPv6

Nasjonal arbeidsgruppe IPv6 Nasjonal arbeidsgruppe IPv6 IPv6 i offentlig sektor 25.08.2015 Anbefalte og obligatoriske ITstandarder i offentlig sektor Underbygge god samhandling mellom offentlige virksomheter Underbygge god samhandling

Detaljer

Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning

Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning Hjemmel: Fastsatt ved kgl.res. 24.06 2011 med hjemmel i lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven)

Detaljer

Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet?

Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet? Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet? Samdok konferansen 2013 Gardermoen, 3. desember 2013 Kristian Bergem, Difi Målbildet for offentlig sektor Brukerorientert

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem Høring av Referansekatalogen v. 3.1. Marit Grønntun og Kristian Bergem 16.05.2012 Generelle kommentarer Positive til standardisering Flertallet mener de følger standardene Viktig med konsekvensvurderinger,

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Hvordan lage gode offentlige nettsider?

Hvordan lage gode offentlige nettsider? Hvordan lage gode offentlige nettsider? Oslo 11. nov 2009 Direktoratet for forvaltning og IKT Velkommen Kristian Bergem 12.11.2009 11. nov 2009 Direktoratet for forvaltning og IKT Direktoratet for forvaltning

Detaljer

Regelverk. Endringer i regelverk for digital forvaltning

Regelverk. Endringer i regelverk for digital forvaltning Regelverk Endringer i regelverk for digital forvaltning Offentlig sektors dataforum Oslo 28. november 2013 Nina Fladsrud Sikkerhet, robusthet og personvern rege Sikkerhet, robusthet og personvern Digital

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Barne- og likestillingsdepartementet

Barne- og likestillingsdepartementet Barne- og likestillingsdepartementet 1 Barne- og likestillingsdepartementets budsjett og regnskap for 2015 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2015 (nysaldert budsjett) Samlet bevilgning

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen Norm for Informasjonssikkerhet i Helsesektoren Tor Ottersen Dilemma Konfidensialitet Ivareta pasientens integritet ved å beskytte alle opplysninger. Tilgjengelighet Pasienten skal sikres forsvarlig (best

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Kristian Bergem. Direktoratet for forvaltning og IKT 05.11.2012

Kristian Bergem. Direktoratet for forvaltning og IKT 05.11.2012 Kristian Bergem Direktoratet for forvaltning og IKT 05.11.2012 Regjeringens mål Et bedre møte med offentlig sektor Frigjøre ressurser til de store oppgavene Norge skal ligge i front internasjonalt 2 På

Detaljer

Prioritering 2012. Møte i Standardiseringsrådet 24. november 2011

Prioritering 2012. Møte i Standardiseringsrådet 24. november 2011 Prioritering 2012 Møte i Standardiseringsrådet 24. november 2011 Prioritering 21 forslag, mottatt gjennom innspill og utredninger Forslagene vurderes i henhold til kriterier i Standardiseringsrådets arbeidsmetodikk

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Strategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode

Strategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode Dokumentasjon fra Skate Veikartarbeidet for nasjonale felleskomponenter og -løsninger i offentlig sektor periode 2016-2018 Versjon 1.0 17.11.15 for nasjonale felleskomponenter og løsninger i offentlig

Detaljer

VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM"

VEILEDER OM KRAVET TIL SKOLEEIERS FORSVARLIGE SYSTEM VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM" I HENHOLD TIL OPPLÆRINGSLOVEN 13-10 ANDRE LEDD OG PRIVATSKOLELOVEN 5-2 TREDJE LEDD Innhold 1. Forord...2 2. Innledning...3 3. Elementer i et forsvarlig

Detaljer

HOVEDINSTRUKS FOR HELSEDIREKTORATET

HOVEDINSTRUKS FOR HELSEDIREKTORATET HOVEDINSTRUKS FOR HELSEDIREKTORATET Fastsatt av Helse- og omsorgsdepartementet den 31.01.2012 1. Innledning Formal med instruksen og forhold til øvrig regelverk Formålet med instruksen er å angi myndigheten

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Kommunal- og regionaldepartementet

Kommunal- og regionaldepartementet Kommunal- og regionaldepartementet 1 Kommunal- og regionaldepartementets budsjett og regnskap for 2012 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2012 Samlet bevilgning Regnskap Overført

Detaljer

FORSLAG OM INNFØRING AV OBLIGATORISK ELEKTRONISK FAKTURA I STATEN HØRINGSUTTALELSE

FORSLAG OM INNFØRING AV OBLIGATORISK ELEKTRONISK FAKTURA I STATEN HØRINGSUTTALELSE TOLL- O G A V G I F T S D I R E K T O R A T E T Innk r e v i n g - o g r e g n s k a p s a v d e li n g e n V å r d a t o V å r r e f e r a n s e A r k i v n u m m e r 30.09. 0 8 2008/01717 1 7 4 S a k

Detaljer

Referat fra det 24. møtet i Standardiseringsrådet

Referat fra det 24. møtet i Standardiseringsrådet Referat fra det 24. møtet i Standardiseringsrådet Tid: 16. mars 2011, kl 10.00-15.30 Sted: Grev Wedelsplass 9 Møteleder: Olaf Østensen, Statens kartverk Referent: Standardiseringssekretariatet (Difi) Tilstede:

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor IKT-konferansen Høgskolen i Buskerud 4. november 2010 Kristin Kopland (Difi) (kristin.kopland@difi.no) Agenda Hvilke oppgaver

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

Akkumulert risikovurdering oktober 2015

Akkumulert risikovurdering oktober 2015 Akkumulert risikovurdering oktober 201 Sannsynlighet 1 Risiko for driftsstans i PRO og NISSY som følge av svakheter i løsning levert fra (6) Risiko for at Mine pasientreiser blir levert forsinket med redusert

Detaljer

Fiskeri- og kystdepartementet

Fiskeri- og kystdepartementet Fiskeri- og kystdepartementet 1 Fiskeri- og kystdepartementets forvaltning og gjennomføring av budsjettet for 2006 1.1 Generelt om resultatet av revisjonen Fiskeri- og kystdepartementet består av ett programområde:

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Veiledning for praktisering av dokumentinnsyn i samsvar med lov og instruks for Riksrevisjonen

Veiledning for praktisering av dokumentinnsyn i samsvar med lov og instruks for Riksrevisjonen Veiledning for praktisering av dokumentinnsyn i samsvar med lov og instruks for Riksrevisjonen Utarbeidet av Riksrevisjonen mars 2010 Forord Riksrevisjonen må som uavhengig revisjons- og kontrollorgan

Detaljer

Arbeidsgruppas behandling av rapporten

Arbeidsgruppas behandling av rapporten Arbeidsgruppas behandling av rapporten Redigerbare dokumentformater Anbefaling om sammensetning produsert av Bouvet ASA Innledning Bouvet ASA har på oppdrag fra Standardiseringssekretariatet gjort en utredning

Detaljer

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017 Informasjonsstrategi med overordnet handlingsplan for Normen i perioden 2015 til 2017 Utarbeidet med støtte av: Versjon 2.0 www.normen.no 1 INNHOLD 1 INNLEDNING... 3 2 BAKGRUNN... 3 2.1 FORMÅL... 3 2.2

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 SANDNES KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : S. Haugen Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 RAPPORT ETTER FORVALTNINGSREVISJON - ELEKTRONISK

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

Revisjon av styring og kontroll

Revisjon av styring og kontroll Revisjon av styring og kontroll Møte nettverk virksomhetsstyring 12. desember 2014 Direktoratet for økonomistyring Side 1 Agenda 09:00 09:15 10:00 10:15 11:00 11.30 Velkommen og innledning v/ DFØ Revisjon

Detaljer

Strategi 2011 2015. IKT-strategi for justissektoren

Strategi 2011 2015. IKT-strategi for justissektoren Strategi 2011 2015 IKT-strategi for justissektoren Forord Jeg er opptatt av økt samhandling innad i justissektoren og med andre i forvaltningen for å oppnå målsettingen om en mer effektiv justissektor.

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert,

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter Prosjektplan/engagement letter September 2013 Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier...

Detaljer

Referat fra møtet i Standardiseringsrådet september 2014

Referat fra møtet i Standardiseringsrådet september 2014 Referat fra møtet i Standardiseringsrådet september 2014 Tid: 11. september 2014, kl. 10.00-14.15 Sted: Difi, Grev Wedels plass 9, Oslo Møteleder: Olaf Østensen, Statens kartverk Referent: Kristian Bergem

Detaljer

Kravet til skoleeiers «forsvarlige system»

Kravet til skoleeiers «forsvarlige system» Veileder om Kravet til skoleeiers «forsvarlige system» i henhold til opplæringsloven 13-10 Innhold Forord 4 Innledning 5 Elementer i et forsvarlig system 6 Systemkrav som virkemiddel for kvalitetsutvikling

Detaljer

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Delområde av styringssystem for informasjonssikkerhet i UH -sektoren Versjon 1.0 1 Innholdsfortegnelse Forord...

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Retning for arbeidet med et nytt kvalitetssikringssystem ved NMBU

Retning for arbeidet med et nytt kvalitetssikringssystem ved NMBU SU-sak 16/2014 Retning for arbeidet med et nytt kvalitetssikringssystem ved NMBU Studieutvalget Saksansvarlig: Saksbehandler: Arkiv nr: Ole-Jørgen Torp Katarina Klarén Forslag til vedtak: Studieutvalget

Detaljer

Standarder for sikker bruk av VPN med og i offentlig sektor

Standarder for sikker bruk av VPN med og i offentlig sektor Standarder for sikker bruk av VPN med og i offentlig sektor Standardiseringsrådsmøte 23.-24. november 2011 beslutningssak Bakgrunn Grønn IKT (Hjemmekontor, videokonferanser) Fjernarbeid og distribuert

Detaljer

Veikart for nasjonale felleskomponenter

Veikart for nasjonale felleskomponenter Sesjon 3A Veikart for nasjonale felleskomponenter Nokios 2014 30.10.14 vidar.holmane@difi.no Introduksjonen Felleskomponenter som tema 2006 2007 2008 2009 2010 2011 Hva det handler om Noen digitale tjenester

Detaljer

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015 SAK NR 54-2015 Samlet risikovurdering av pasientreiseområdet 2015 Forslag til vedtak: 1.

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Strategi for eid og e-signatur i offentlig sektor. KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling

Strategi for eid og e-signatur i offentlig sektor. KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling Strategi for eid og e-signatur i offentlig sektor KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling Hvorfor ny strategi for eid og e-signatur? Kravspesifikasjon for PKI i offentlig sektor

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Høringsnotat for nye anbefalte IT-standarder i offentlig sektor mars Høringsnotat for nye anbefalte IT-standarder i offentlig sektor

Høringsnotat for nye anbefalte IT-standarder i offentlig sektor mars Høringsnotat for nye anbefalte IT-standarder i offentlig sektor Høringsnotat for nye anbefalte IT-standarder i offentlig sektor 1 Innhold 1. Bakgrunn og innledning... 4 2. Språkkoder... 4 2.1. Mer om forslaget... 5 2.2. Utredninger knyttet til forslaget... 5 2.3. Økonomiske

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Friluftslivets farer - sikkerhetsforskriften og regelverkets særlige vinkling mot ansvaret for eier, leder og VTA

Friluftslivets farer - sikkerhetsforskriften og regelverkets særlige vinkling mot ansvaret for eier, leder og VTA Friluftslivets farer - sikkerhetsforskriften og regelverkets særlige vinkling mot ansvaret for eier, leder og VTA Presentasjon på EBLs temadag 29.10.2009 Jørund Krogsrud juridisk seksjon, NVE Følgende

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 SAK NR 54-2016 Samlet risikovurdering for pasientreiseområdet 2016 Forslag til vedtak: 1.

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Prosjektmandat Hovedprosjekt. Informasjonssikkerhet

Prosjektmandat Hovedprosjekt. Informasjonssikkerhet Prosjektmandat Hovedprosjekt Informasjonssikkerhet Side 2 av 6 Innhold 1 Innledning...3 2 Mål og rammer...3 2.1 Mål... 3 2.2 Rammer... 4 3 Omfang og avgrensning...4 4 Organisering...4 5 Beslutningspunkter

Detaljer

Høring om forslag til ny forskrift om krav til internkontrollsystem for måleredskap og målinger

Høring om forslag til ny forskrift om krav til internkontrollsystem for måleredskap og målinger Høring om forslag til ny forskrift om krav til internkontrollsystem for måleredskap og målinger 1. Innledning Forslag til ny forskrift om krav til internkontrollsystem for måleredskap og målinger sendes

Detaljer

Norm for informasjonssikkerhet i helsesektoren

Norm for informasjonssikkerhet i helsesektoren Norm for informasjonssikkerhet i helsesektoren Tor Ottersen Hvorfor en Norm? Få en felles forståelse av informasjonssikkerhet i sektoren Få et felles minimumsnivå for sikkerheten Skape trygghet ved elektronisk

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer