Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02
|
|
- Tron Birkeland
- 7 år siden
- Visninger:
Transkript
1 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: ansvarlig: Versjon: 1 Bemyndiget: Dok.nr: A-0039 INSTRUKS FOR INFORMASJONSSIKKERHET 1 BAKGRUNN 1.1 Formål Denne instruksen fastlegger Oslo kommunes overordnede krav til beskyttelse av informasjon som samles inn, lagres, bearbeides, overføres og formidles såvel manuelt som elektronisk ved hjelp av IKT-systemer. Instruksen tar i spesiell grad hensyn til kravene til organisatoriske, fysiske og systemtekniske sikkerhetstiltak i forskriftene til Personopplysningsloven (POL). Instruksen er også harmonisert med anbefalingene i den internasjonale sikkerhetsstandarden ISO 17799(1) [1]. Kravene til informasjonssikkerhetstiltak i denne instruks skal tjene som basis for det praktiske arbeid med informasjonssikkerhet i den enkelte virksomhet. For å lette dette arbeidet er det utviklet en veiledning til Instruksen og et sentralt malverk for informasjonssikkerhet. Instruksen, veiledningen og malverket utgjør et felles rammeverk for det praktiske arbeidet med informasjonssikkerhet i kommunens virksomheter, og skal benyttes a) til å skape en felles sikkerhetskultur gjennom økt forståelse av behovet for informasjonssikkerhet b) som grunnlag for å etablere lokale sikkerhetsregelverk c) som utgangspunkt for å iverksette lokale fysiske, organisatoriske og systemtekniske sikkerhetstiltak d) som grunnlag for meldinger og konsesjonssøknader til Datatilsynet 1.2 Gyldighetsområde Instruksen har gyldighet for samtlige virksomheter i Oslo kommune.
2 2 Figur 1.1 Organisasjonskart for Oslo Kommune I den grad aksjeselskaper, kommunale foretak, interkommunale virksomheter, stiftelser eller andre privatrettslige subjekter gis anledning til å anvende kommunens teknologiske infrastruktur, skal sikkerhetskravene i denne instruksen legges til grunn. 2 INFORMASJONSSIKKERHET I OSLO KOMMUNE 2.1 Mål og overordnede sikkerhetskrav Målet for informasjonssikkerhet i Oslo kommune er rett informasjon til rette vedkommende til rett tid. Kommunens overordnede krav til virksomhetene for å oppnå dette målet er som følger: 1. Informasjonssikkerhet er et kollektivt ansvar, men først og fremst et lederansvar som følger linjen. Dette innebærer at hver enkelt medarbeider har et personlig ansvar, mens ansvaret formelt sett påhviler virksomhetens øverste ledelse. 2. Tilfredsstillende sikkerhetsnivå skal etableres gjennom en fornuftig avveining mellom ulike tiltak for å sikre informasjonens kvalitet, tilgjengelighet og konfidensialitet. Tilgjengelighetsfremmende tiltak skal generelt tillegges like sterk vekt som tiltak for å sikre integritet og konfidensialitet. Blant alternative tiltak med tilstrekkelig sikkerhetsmessig verdi (nytte), bør det tiltak som har lavest kost/nytte-forhold velges (mest sikkerhet pr. krone). 3. Sikkerhetsarbeidet skal ivareta lover og forskrifter og kommunens øvrige regelverk og instrukser for behandling av informasjon samt hensynet til kommunale effektivitetskrav. 4. Sikkerhetsarbeidet skal rette særlig oppmerksomhet mot interne trusler. Interne trusler utgjør generelt en overveiende andel av en virksomhets truselbilde.
3 3 5. Sikkerhetsarbeidet skal omfatte både fysiske, systemtekniske og organisatoriske sikringstiltak. Tiltakene skal omfatte informasjonssystemenes omgivelser, systemene selv og kommunens personell (ansvarsfordeling/administrative rutiner.) 6. Sikkerhetstiltak skal forebygge, oppdage og reparere skade eller forringelse av informasjon forårsaket av uhell og feil såvel som overlagte handlinger. Det skal rettes fokus på å innarbeide sikkerhet i den enkelte medarbeiders tanke- og handlingsmønster, dvs. å skape en sikkerhetskultur. 7. Sikringsområder skal prioriteres basert på risiko- og sårbarhetsvurdering. Det skal foretas en løpende vurdering av trusler, skadesannsynlighet og konsekvenser. Risiko- og sårbarhetsvurderingen skal resultere i en rapport som skal oppbevares for videre bruk i det interne sikkerhetsarbeidet. Slike rapporter skal også vedlegges eventuelle konsesjonssøknader til Datatilsynet. (Oslo kommune er i henhold til Personopplysningsloven i all hovedsak meldepliktig, men opplysninger knyttet til barnevern er fremdeles konsesjonspliktig). 8. Den enkelte virksomhet må selv beskrive og iverksette nødvendige sikkerhetstiltak som en oppfølging av risiko- og sårbarhetsvurderingen. 9. Kommunens virksomheter skal etablere og dokumentere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten. 10. Det skal etableres rutiner for internkontroll i samsvar med kravene i Personopplysningsloven. Egenkontroller/sikkerhetsrevisjoner skal utføres jevnlig og helst årlig og skal omfatte alle enheter som behandler personopplysninger i kommunen. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er tilfredsstillende, skal dette behandles som avvik. 2.2 Krav til fysisk, systemteknisk og organisatorisk sikring Virksomhetene skal etablere et tilfredsstillende sikkerhetsnivå for såvel fysiske som systemtekniske og organisatoriske forhold. De overordnede krav til sikkerhet i kommunens virksomheter på disse områdene, er som følger: Fysiske sikringstiltak
4 4 Det skal treffes nødvendige tiltak mot uautorisert adgang til virksomhetens lokaliteter. IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans, m.v. IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive opplysninger, datarom/arkivrom og andre kritiske rom skal være avlåst når de ikke er bemannet. Systemtekniske sikringstiltak Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og på felles systemer. Det skal foretas stikkprøvekontroller av at backup-/reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll. IT-systemene skal inneholde funksjoner for logging i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. o Registrering av uautorisert bruk, forsøk på slik bruk og eventuelle andre hendelser som har eller kan ha betydning for informasjonssikkerheten, skal lagres i minst 3 måneder. Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort. Kommunens virksomheter skal etablere tilfredsstillende kommunikasjonssikkerhet: o Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av SRE. o Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere som bl.a. skal sikre at brukere i intern eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. o Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv
5 5 informasjon som sendes over OKDN. Det er lignende sikringskrav til internkommunikasjon dersom denne (ifølge Datatilsynet) skjer mellom bygg hvor avstanden er lengre enn ca. 300 m. Organisatoriske sikringstiltak Ved planlegging av nye, lokale IT-systemer skal krav knyttet til informasjonssikkerhet vurderes. Ved større anskaffelser, skal krav til systemtekniske tiltak innarbeides i den kravspesifikasjon som følger tilbudsforespørselen. For alle IT-anvendelser i Oslo kommune, også virksomhetsspesifikke, skal standardløsninger som hovedregel velges. For øvrig skal rammekontrakter og vedtatte felles og sektorvise standardiseringskrav mht. teknologi og IT-anvendelser følges. Pålegg knyttet til bruk av felles rammeavtaler med leverandører innen ulike produktog tjenesteområder skal følges. Det skal være etablert virksomhetsspesifikke instrukser/rutiner for administrasjon av alle IT-systemer. For felles- og sektorsystemer, skal all systemadministrasjon koordineres av systemansvarlig instans for disse systemene. Det skal være etablert rutiner for å sikre en enkel, effektiv og sikker drift av IT-systemene, uansett om driftsoppgavene utføres internt eller eksternt. Det skal føres oversikt (inventarliste) over alt IT-utstyr og bruken av dette. Det skal likeledes være etablert rutiner for administrasjon av programvarelisenser. For hvert system skal det utarbeides og vedlikeholdes en datamodell som beskriver hvor dataene kommer fra, hvilke bearbeidende prosesser de inngår i og hvor de avgis. Det skal føres oversikt over alle personopplysninger som behandles i virksomheten og tiltak for å sikre tilfredsstillende behandling av disse skal dokumenteres. Denne dokumentasjonen skal være tilgjengelig for de den måtte angå. Personopplysninger skal uansett ikke behandles før evt. nødvendig samtykke er innhentet iht. kravene i personopplysningslovens 8. Det skal være etablert rutiner for rapportering, registrering og oppfølging av avvik og feilsituasjoner. Det skal være utarbeidet en plan over tiltak som skal iverksettes dersom det oppstår en situasjon som kan eller er i ferd med å utvikle seg til et større uhell eller en katastrofe for virksomheten og for IT-systemene. Medarbeidere på alle nivåer skal gjennomgå behovstilpasset opplæring i bruk av IT innen eget arbeidsområde generelt og informasjonssikkerhet spesielt. Alle eksterne rådgivere, konsulenter og leverandører av IT-tjenester skal gjøres kjent med de reguleringer IT-området i virksomheten er underlagt. Oppdragstaker må forplikte seg til å etterkomme disse generelt, og dokumentere at krav til informasjonssikkerhet spesielt, er tilfredsstilt. Taushetserklæring skal undertegnes før arbeid igangsettes.
6 6 Det skal være utarbeidet rutiner for administrasjon av den taushetsplikt som påhviler kommunens ansatte og eksterne oppdragstakere. Det skal være utarbeidet rutiner for håndtering av innsynsrett i forhold til innsynsbegjæringer knyttet til personopplysningslovens 18, forvaltningslovens kap. IV og V og offentlighetsloven. Alvorlige brudd på sikkerhetsbestemmelsene skal rapporteres til nærmeste overordnede.
Vedtatt av: Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02
Rundskriv Vedtatt av: Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: /Utviklings- og kompetanseetaten
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerDatabehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale
tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere
DetaljerVeilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.
Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerSikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer
Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II
DetaljerSIKKERHETSINSTRUKS - Informasjonssikkerhet
SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerDatabehandleravtale. Kommunenes Sentralforbund - Databehandler
U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerVEILEDNING TIL INSTRUKS FOR INFORMASJONSSIKKERHET
Veiledning Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/2002 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr: A-0042
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerDatabehandleravtale digitale arkiv og uttrekk for deponering
/X,4 finnmark IXS - J.Ki2tfinmarkun IXS - I3C finnmcirku IXS Deanu gielda - Tana kommune Rådhusveien 24 9845 TANA Vår ref Deres ref Saksbehandler Dato 2017/247-2 Gunnhild Engstad 07.12.2017 direkte tlf.:92671905
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerVeileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?
Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerArbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6
Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerHelseforskningsrett med fokus på personvern
Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte
ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte - Styret - Rektor - Leder for Organisasjonsavdelingen -
DetaljerInformasjonssikkerhet i Nordre Land kommune
Informasjonssikkerhet i Nordre Land kommune Informasjon ansatte i Nordre Land 2007 Informasjonssikkerhet i Nordre Land kommune Rådmannens forord Det er knapt en arbeidsplass i Nordre Land kommune som i
DetaljerOverordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune
Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerRUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS
Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS
DetaljerROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert
Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerRETNINGSLINJE for klassifisering av informasjon
RETNINGSLINJE for klassifisering av informasjon Fastsatt av: Universitetsstyret Dato: 5.4.19 Ansvarlig enhet: Avdeling for IT Id: UiT.ITA.infosec.ret01 Sist endret av: -- Dato: 5.4.19 Erstatter: Kap. 3
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:
DetaljerSikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret
INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to
DetaljerSikkerhetsmål og -strategi
Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
Detaljer1 Våre tiltak. Norsk Interaktivs arbeid med personvern
Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerBEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017
BEHANDLING AV PERSONOPPLYSNINGER Tone Tenold 2017 PERSONVERNLOVGIVNINGEN - bygger på en kjerne av grunnleggende personvernprinsipper Disse springer ut fra et ideal om at alle skal ha bestemmelsesrett over
DetaljerAvtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet
Side 1 av 7 Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet Avtale mellom Osen kommune og Arbeids- og velferdsetaten ved NAV Trøndelag Side 2 av 7 INNHOLDSFORTEGNELSE:
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale Mellom (behandlingsansvarlig) og Nasjonalt senter for læringsmiljø
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerAvtale mellom. om elektronisk utveksling av opplysninger
Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE
DetaljerForvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune
Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og
DetaljerForvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune
Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerPersonvern i Dødsårsaksregisteret Lysebu, 7. november 2011
Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Hva betyr egentlig personvern? Enkeltindividets rett til å bestemme over seg selv og sin egen kropp og retten til kontrollere hvem som skal få
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerInformasjon interesseorganisasjoner
Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet
DetaljerVeileder for virksomheters håndtering av uønskede hendelser. Versjon: 1
Veileder for virksomheters håndtering av uønskede hendelser Versjon: 1 Nasjonal sikkerhetsmyndighet (NSM) er fagorgan for forebyggende sikkerhet, og sikkerhetsmyndighet etter lov om nasjonal sikkerhet
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerPersonvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen
Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av
DetaljerBergen kommunes strategi for informasjonssikkerhet 2011-2014
Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerOm personopplysningslovens betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO
Om personopplysningslovens l betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO Generelt Personopplysningsloven er (nesten) alltid relevant ved utvikling
DetaljerRisikoanalysemetodikk
Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering
DetaljerVEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE
VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE Prinsippet i behandling av alle personopplysninger er med utgangspunkt i det nye regelverket er at alle har rett til å bestemme over opplysninger
DetaljerPERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om
PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS Sist endret: 20.07.2018 Denne personvernerklæringen gjelder for Larsen Advokatfirma AS («vi»). Vi er behandlingsansvarlige for behandlingen av personopplysninger
Detaljer