Vedtatt av: Vedtatt: Erstatter: Saksnr: Brv 1316/02
|
|
- Aleksander Bråten
- 8 år siden
- Visninger:
Transkript
1 Rundskriv Vedtatt av: Vedtatt: Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: ansvarlig: Versjon: 1 Bemyndiget: /Utviklings- og kompetanseetaten Dok.nr: R-18/2002 REVIDERT INSTRUKS FOR INFORMASJONSSIKKERHET Oslo kommune har hatt retningslinjer for informasjonssikkerhet siden Revidert Instruks for informasjonssikkerhet i Oslo kommune med veiledning ble vedtatt av byrådet den og gjøres gjeldende for alle kommunale virksomheter og foretak fra og med denne dato. Den reviderte instruksen med veiledning erstatter med det Instruks for informasjonssikkerhet i Oslo kommune av , rundskriv 26/97. Byrådets vedtakskompetanse i denne sammenheng er hjemlet i IT-reglement for Oslo kommune 4, videredelegert byråden for service- og organisasjonsutvikling ved byrådssak 1194/1998. Av hensyn til sakens betydning på tvers av de respektive byrådenes arbeidsområder, ble saken allikevel fremmet for byrådet. Byråden for service- og organisasjonsutvikling er gitt myndighet til å gjøre mindre endringer og tilføyelser til revidert Instruks for informasjonssikkerhet i Oslo kommune med veiledning. Revisjon av Instruks for informasjonssikkerhet hadde sin bakgrunn i et ønske om harmonisering med personopplysningsloven av med forskrifter og sikkerhetsloven av I tillegg til harmonisering med de nevnte lover og forskrifter, er den tidligere instruksen nå delt inn i instruks og veiledning for å klargjøre hva som er absolutte krav og hva som er hjelp i form av kommentarer. Det gjøres i denne omgang også oppmerksom på at det i forskrift til personopplysningsloven Kap. 10 sies bla. For behandlinger som foretas i medhold av konsesjon etter personregisterloven 9, og som er melde- eller konsesjonspliktig etter personopplysningsloven, er fristen for å sende melding eller søke konsesjon 1. januar Instruksens innhold og omfang Instruksen angir minimumskrav til informasjonssikkerhet for manuell såvel som for elektronisk informasjon i Oslo kommune. Dette omfatter fysisk-, systemteknisk- og organisatorisk sikring. Fysisk sikring innebærer blant annet å sikre informasjonssystemenes omgivelser mot tyveri og brann. Systemteknisk sikring innebærer blant annet å sikre teknologikomponentene (ITutstyr, kommunikasjonslinjer og -utstyr, programvare) og informasjonen ved hjelp av program- eller maskintekniske sikkerhetsmekanismer/-barrierer. Organisatorisk sikring fokuserer på det menneskelige element og det ansvar ledere og medarbeidere har i sikkerhetssammenheng. Sikringstiltakene kan være knyttet til
2 administrative rutiner for behandling av informasjon, ansvars- og arbeidsdeling, opplæring/motivasjon og kontroll/sanksjoner. Harmoniseringen med personopplysningsloven innebærer blant annet ivaretakelse av krav til internkontroll/revisjon på sikkerhetsområdet, implementering av behandlingsansvarlig som nytt begrep og endringer i forhold til melde- og konsesjonsplikt. Ved behov for skjerming av informasjon som kan være utsatt for spionasje, sabotasje eller terrorhandlinger, er det henvist til den nye sikkerhetsloven. Internkontroll/sikkerhetsrevisjon innebærer en etterprøving av virksomhetens sikkerhetsarbeid for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og at de fungerer etter sin hensikt. Behandlingsansvarlig er definert som den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Denne vil være formelt ansvarlig for at informasjon behandles og forvaltes i henhold til lover og forskrifter. Hovedregelen for melde- og konsesjonsplikt er nå at behandling av personopplysninger etter personopplysningsloven er meldepliktig, mens behandling av sensitive opplysninger er konsesjonspliktig. Vedlagt følger et eksemplar av revidert instruks for informasjonssikkerhet i Oslo kommune med veiledning. Instruksen med veiledning er også å finne på kommunens intranett under: Wenche Hagan Kommunaldirektør Helene Solbakken Seksjonssjef 2
3 INSTRUKS FOR INFORMASJONSSIKKERHET I OSLO KOMMUNE 1 BAKGRUNN 1.1 Formål Denne instruksen fastlegger Oslo kommunes overordnede krav til beskyttelse av informasjon som samles inn, lagres, bearbeides, overføres og formidles såvel manuelt som elektronisk ved hjelp av IKT-systemer. Instruksen tar i spesiell grad hensyn til kravene til organisatoriske, fysiske og systemtekniske sikkerhetstiltak i forskriftene til Personopplysningsloven (POL). Instruksen er også harmonisert med anbefalingene i den internasjonale sikkerhetsstandarden ISO Kravene til informasjonssikkerhetstiltak i denne instruks skal tjene som basis for det praktiske arbeid med informasjonssikkerhet i den enkelte virksomhet. For å lette dette arbeidet er det utviklet en veiledning til Instruksen og et sentralt malverk for informasjonssikkerhet. Instruksen, veiledningen og malverket utgjør et felles rammeverk for det praktiske arbeidet med informasjonssikkerhet i kommunens virksomheter, og skal benyttes a) til å skape en felles sikkerhetskultur gjennom økt forståelse av behovet for informasjonssikkerhet b) som grunnlag for å etablere lokale sikkerhetsregelverk c) som utgangspunkt for å iverksette lokale fysiske, organisatoriske og systemtekniske sikkerhetstiltak d) som grunnlag for meldinger og konsesjonssøknader til Datatilsynet 1.2 Gyldighetsområde Instruksen har gyldighet for samtlige virksomheter i Oslo kommune. Kommunerevisjonen BYSTYRET Bystyrets organer og sekretariat 25 bydelsutvalg BYRÅDET OG BYRÅDSAVDELINGER 25 bydelsforvaltninger Etater, bedrifter.. Figur 1.1 Organisasjonskart for Oslo Kommune 1 Den internasjonale standardiseringsorganisasjonen 3
4 I den grad aksjeselskaper, kommunale foretak, interkommunale virksomheter, stiftelser eller andre privatrettslige subjekter gis anledning til å anvende kommunens teknologiske infrastruktur, skal sikkerhetskravene i denne instruksen legges til grunn. 2 INFORMASJONSSIKKERHET I OSLO KOMMUNE 2.1 Mål og overordnede sikkerhetskrav Målet for informasjonssikkerhet i Oslo kommune er rett informasjon til rette vedkommende til rett tid. Kommunens overordnede krav til virksomhetene for å oppnå dette målet er som følger: 1. Informasjonssikkerhet er et kollektivt ansvar, men først og fremst et lederansvar som følger linjen. Dette innebærer at hver enkelt medarbeider har et personlig ansvar, mens ansvaret formelt sett påhviler virksomhetens øverste ledelse. 2. Tilfredsstillende sikkerhetsnivå skal etableres gjennom en fornuftig avveining mellom ulike tiltak for å sikre informasjonens kvalitet, tilgjengelighet og konfidensialitet. Tilgjengelighetsfremmende tiltak skal generelt tillegges like sterk vekt som tiltak for å sikre integritet og konfidensialitet. Blant alternative tiltak med tilstrekkelig sikkerhetsmessig verdi (nytte), bør det tiltak som har lavest kost/nytte-forhold velges (mest sikkerhet pr. krone). 3. Sikkerhetsarbeidet skal ivareta lover og forskrifter og kommunens øvrige regelverk og instrukser for behandling av informasjon samt hensynet til kommunale effektivitetskrav. 4. Sikkerhetsarbeidet skal rette særlig oppmerksomhet mot interne trusler. Interne trusler utgjør generelt en overveiende andel av en virksomhets truselbilde. 5. Sikkerhetsarbeidet skal omfatte både fysiske, systemtekniske og organisatoriske sikringstiltak. Tiltakene skal omfatte informasjonssystemenes omgivelser, systemene selv og kommunens personell (ansvarsfordeling/administrative rutiner.) 6. Sikkerhetstiltak skal forebygge, oppdage og reparere skade eller forringelse av informasjon forårsaket av uhell og feil såvel som overlagte handlinger. Det skal rettes fokus på å innarbeide sikkerhet i den enkelte medarbeiders tanke- og handlingsmønster, dvs. å skape en sikkerhetskultur. 4
5 7. Sikringsområder skal prioriteres basert på risiko- og sårbarhetsvurdering. Det skal foretas en løpende vurdering av trusler, skadesannsynlighet og konsekvenser. Risiko- og sårbarhetsvurderingen skal resultere i en rapport som skal oppbevares for videre bruk i det interne sikkerhetsarbeidet. Slike rapporter skal også vedlegges eventuelle konsesjonssøknader til Datatilsynet. (Oslo kommune er i henhold til Personopplysningsloven i all hovedsak meldepliktig, men opplysninger knyttet til barnevern er fremdeles konsesjonspliktig). 8. Den enkelte virksomhet må selv beskrive og iverksette nødvendige sikkerhetstiltak som en oppfølging av risiko- og sårbarhetsvurderingen. 9. Kommunens virksomheter skal etablere og dokumentere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten. 10. Det skal etableres rutiner for internkontroll i samsvar med kravene i Personopplysningsloven. Egenkontroller/sikkerhetsrevisjoner skal utføres jevnlig og helst årlig og skal omfatte alle enheter som behandler personopplysninger i kommunen. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er tilfredsstillende, skal dette behandles som avvik. 2.2 Krav til fysisk, systemteknisk og organisatorisk sikring Virksomhetene skal etablere et tilfredsstillende sikkerhetsnivå for såvel fysiske som systemtekniske og organisatoriske forhold. De overordnede krav til sikkerhet i kommunens virksomheter på disse områdene, er som følger: Fysiske sikringstiltak Det skal treffes nødvendige tiltak mot uautorisert adgang til virksomhetens lokaliteter. IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans, m.v. IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive opplysninger, datarom/arkivrom og andre kritiske rom skal være avlåst når de ikke er bemannet. 5
6 Systemtekniske sikringstiltak Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og på felles systemer. Det skal foretas stikkprøvekontroller av at backup- /reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll. IT-systemene skal inneholde funksjoner for logging i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. o Registrering av uautorisert bruk, forsøk på slik bruk og eventuelle andre hendelser som har eller kan ha betydning for informasjonssikkerheten, skal lagres i minst 3 måneder. Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort. Kommunens virksomheter skal etablere tilfredsstillende kommunikasjonssikkerhet: o Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av SRE. o Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere som bl.a. skal sikre at brukere i intern eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. o Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv informasjon som sendes over OKDN. Det er lignende sikringskrav til internkommunikasjon dersom denne (ifølge Datatilsynet) skjer mellom bygg hvor avstanden er lengre enn ca. 300 m. Organisatoriske sikringstiltak 6
7 Ved planlegging av nye, lokale IT-systemer skal krav knyttet til informasjonssikkerhet vurderes. Ved større anskaffelser, skal krav til systemtekniske tiltak innarbeides i den kravspesifikasjon som følger tilbudsforespørselen. For alle IT-anvendelser i Oslo kommune, også virksomhetsspesifikke, skal standardløsninger som hovedregel velges. For øvrig skal rammekontrakter og vedtatte felles og sektorvise standardiseringskrav mht. teknologi og IT-anvendelser følges. Pålegg knyttet til bruk av felles rammeavtaler med leverandører innen ulike produkt- og tjenesteområder skal følges. Det skal være etablert virksomhetsspesifikke instrukser/rutiner for administrasjon av alle IT-systemer. For felles- og sektorsystemer, skal all systemadministrasjon koordineres av systemansvarlig instans for disse systemene. Det skal være etablert rutiner for å sikre en enkel, effektiv og sikker drift av ITsystemene, uansett om driftsoppgavene utføres internt eller eksternt. Det skal føres oversikt (inventarliste) over alt IT-utstyr og bruken av dette. Det skal likeledes være etablert rutiner for administrasjon av programvarelisenser. For hvert system skal det utarbeides og vedlikeholdes en datamodell som beskriver hvor dataene kommer fra, hvilke bearbeidende prosesser de inngår i og hvor de avgis. Det skal føres oversikt over alle personopplysninger som behandles i virksomheten og tiltak for å sikre tilfredsstillende behandling av disse skal dokumenteres. Denne dokumentasjonen skal være tilgjengelig for de den måtte angå. Personopplysninger skal uansett ikke behandles før evt. nødvendig samtykke er innhentet iht. kravene i personopplysningslovens 8. Det skal være etablert rutiner for rapportering, registrering og oppfølging av avvik og feilsituasjoner. Det skal være utarbeidet en plan over tiltak som skal iverksettes dersom det oppstår en situasjon som kan eller er i ferd med å utvikle seg til et større uhell eller en katastrofe for virksomheten og for IT-systemene. Medarbeidere på alle nivåer skal gjennomgå behovstilpasset opplæring i bruk av IT innen eget arbeidsområde generelt og informasjonssikkerhet spesielt. Alle eksterne rådgivere, konsulenter og leverandører av IT-tjenester skal gjøres kjent med de reguleringer IT-området i virksomheten er underlagt. Oppdragstaker må forplikte seg til å etterkomme disse generelt, og dokumentere at krav til informasjonssikkerhet spesielt, er tilfredsstilt. Taushetserklæring skal undertegnes før arbeid igangsettes. Det skal være utarbeidet rutiner for administrasjon av den taushetsplikt som påhviler kommunens ansatte og eksterne oppdragstakere. 7
8 Det skal være utarbeidet rutiner for håndtering av innsynsrett i forhold til innsynsbegjæringer knyttet til personopplysningslovens 18, forvaltningslovens kap. IV og V og offentlighetsloven. Alvorlige brudd på sikkerhetsbestemmelsene skal rapporteres til nærmeste overordnede. 8
9 VEILEDNING til Instruks for informasjonssikkerhet i Oslo kommune Mai
10 INNHOLDSFORTEGNELSE 1 INNLEDNING 12 2 HVORDAN OPPNÅ TILSTREKKELIG INFORMASJONSSIKKERHET Risiko- og sårbarhetsvurderinger Internkontroll/sikkerhetsrevisjon Sikkerhetstiltak Krav til sikkerhetstiltak 16 3 KRAV TIL FYSISK SIKRING Adgangskontroll Sikring mot brann, vannlekkasje og strømstans Utstyrsplassering Utstyrsmerking Informasjonshåndtering 19 4 KRAV TIL SYSTEMTEKNISK SIKRING Sikkerhetskopiering Aktivitetslogging Sikringstiltak mot ondsinnet kode (datavirus etc.) Sletting av data ved avhending av IT-utstyr Logisk tilgangskontroll Brukeridentifikasjon Autentisering og autorisasjonskontroll Kommunikasjonssikring Generelle regler Internett 24 5 KRAV TIL ORGANISATORISK SIKRING Ansvar for informasjonsikkerheten Byrådet Byrådsavdeling for service- og organisasjonsutvikling, (SOU) Systemeier for sektor- og fellessystemer Systemansvarlig instans, (SAI), for sektor- og fellessystemer Byarkivaren Den enkelte virksomhet Administrative og driftsmessige sikringstiltak Systemplanlegging og -anskaffelse Systemadministrasjon 32 10
11 5.2.3 Ressursadministrasjon Dataadministrasjon Avviksbehandling/hendelsesregistrering Katastrofe-/avbruddsplan Personellsikkerhet Kompetanseutvikling Krav til eksterne oppdragstakere Taushetsplikt Innsynsrett Tiltak ved brudd på sikkerhetsbestemmelsene 36 VEDLEGG 1 Lover, forskrifter og regler 38 Generelle lover 38 Generelle regler og forskrifter 38 Interne regler og retningslinjer for Oslo kommune 39 VEDLEGG 2 Sikkerhetsrelaterte ord og definisjoner 40 11
12 1 Innledning God informasjonssikkerhet knyttet til såvel papirbaserte som elektroniske dokumenter og annen elektronisk eller muntlig formidlet informasjon vil være en grunnleggende betingelse for en effektiv og pålitelig kommunal forvaltning og for at lovverket skal etterleves. God informasjonssikkerhet innebærer rett informasjon til rette vedkommende til rett tid; dette stiller store krav til at informasjonen sikres den nødvendige grad av kvalitet, konfidensialitet og tilgjengelighet. Kravene i Oslo kommunes Instruks for informasjonssikkerhet skal tjene som basis for det praktiske arbeid med informasjonssikkerhet i den enkelte virksomhet. For å lette dette arbeidet er denne veiledning til instruksen samt et sentralt malverk for informasjonssikkerhet utviklet. Disse inneholder bl.a. praktiske eksempler på gjennomføring av risikovurderinger, eksempler på avviksrutiner, hvordan meldeskjema og konsesjonssøknader til Datatilsynet skal fylles ut, og en rekke andre prosedyrer, oversikter og rutiner. (Malverket vil være tilgjengelig på kommunens intranett.) I denne Veiledning til Instruks for informasjonssikkerhet i Oslo kommune er det skissert forslag til sikkerhetstiltak for virksomhetenes arbeid med å etablere og opprettholde en tilfredsstillende informasjonssikkerhet. 12
13 2 Hvordan oppnå tilstrekkelig informasjonssik kerhet En stadig større avhengighet av IKT i Oslo kommune innebærer også at kommunen blir mer sårbar for ulike trusler som datasvindel/hacking, datavirus, sensitiv informasjon på avveie, at viktig informasjon sendes til feil person, tyveri, brann, osv. Å sikre seg 100% mot slike og lignende trusler vil ikke være mulig, men gjennom et bevisst og systematisk fokus på arbeidet med informasjonssikkerhet, vil sannsynligheten og muligheten for at ulike trusler skal realiseres, bli betydelig redusert. Et viktig moment i dette arbeidet vil være en metodisk vurdering av sikkerhetsrisiko/-svakheter i de respektive virksomheter for å få klarlagt hvor sikkerhetstiltak bør settes inn; i malverket finnes eksempler på hvordan resultater fra dette arbeidet kan rapporteres. Personopplysningsloven krever at slike vurderinger skal gjennomføres. En risikovurdering vil gi en viktig pekepinn over hvilke sannsynlige trusler virksomheten står overfor, hvilke mulige skader truslene kan medføre dersom de oppstår - og hvilke sikkerhetstiltak som mangler. Ressursene som brukes på å iverksette tiltak bør være resultat av en avveiing av hvilke sikkerhetstiltak som må iverksettes og hvilken risiko virksomheten godt kan leve med. Sikkerhetstiltakene vil normalt være av både fysisk, systemteknisk og organisatorisk karakter; enkelte av disse vil ha som formål å forebygge skade - andre å oppdage eller reparere. 2.1 Risiko- og sårbarhetsvurderinger Sikkerhet innebærer håndtering av risiko. Risiko- og sårbarhetsvurdering innebærer en vurdering av effektiviteten av iverksatte sikringstiltak i forhold til mulige trusler/svakheter, og en beskrivelse av tiltak dersom sikkerheten ikke er tilfredsstillende ivaretatt. Sikkerhetstiltakene skal stå i rimelig forhold til antatt sannsynlighet og konsekvens av mulige sikkerhetsbrudd. Eksempler på slike brudd kan være manglende kompetanse hos personell, svakheter knyttet til IT-systemenes tilgangskontroll, manglende eller for dårlig adgangskontroll, manglende brannsikkerhet, feil eller mangler i IT-systemer, dårlig sikkerhet i forhold til bruk av Internett, manglende kontroll i forhold til datavirus, osv. I Personopplysningsloven (POL) m/forskrifter kreves det at risiko- og sårbarhetsvurderinger (også benevnt ROS-analyser) skal gjennomføres før behandling av personopplysninger settes i gang og alltid dersom det skjer endringer som avviker fra vilkårene i tidligere gitte konsesjoner og meldinger. Her dreier det seg om endringer som har eller vil kunne ha innvirkning på sikkerheten, herunder endret teknologi og endret drifts- og bruksmønster. Formålet med slike vurderinger er primært å avdekke personvernrisiko, f.eks. forhold knyttet til liv/helse, økonomi eller anseelse for enkeltmennesker. Resultatet av risiko- og sårbarhetsvurderingen skal benyttes som del av grunnlaget for å velge hvilke konkrete sikkerhetstiltak som må etableres i virksomheten. 13
14 Datatilsynet understreker at risiko- og sårbarhetsvurderinger ikke bør være mer omfattende eller formaliserte enn strengt tatt nødvendig, og de oppfordrer således virksomhetene til å bruke sunn fornuft i dette arbeidet. Risikovurdering innebærer kartlegging og vurdering av følgende forhold: Hvilke personopplysninger og øvrige verdier må skjermes mot uvedkommende og sikres nødvendig konfidensialitet, integritet og tilgjengelighet? (Uvedkommende kan i denne sammenheng også være egne ansatte.) Er disse opplysningene og verdiene tilfredsstillende sikret i dag i forhold til relevante interne svakheter/trusler og eksterne trusler? Stikkord: er det f.eks. mulighet for at uvedkommende kan ta seg inn til områder/kontor hvor sensitive eller taushetsbelagte personopplysninger behandles/lagres? Hva er muligheten for datainnbrudd/hacking, datavirus, etc.? Kan viktig informasjon komme på avveie eller i hendene på uvedkommende på annen måte? Er dagens drifts- og nettverksløsning(er) i samsvar med sikkerhetskravene i Instruks for informasjonssikkerhet i Oslo kommune og øvrig lov-/regelverk? Er brannsikkerheten god nok? Har vi nødvendig kontroll med innleid personell (teknikere, konsulenter, renhold, osv.)? Er det tilfredsstillende rutiner knyttet til makulering av følsomme utskrifter og dokumenter? Er skrivere etc. plassert slik at uvedkommende ikke har adgang til dem? Hvor lang nedetid på våre IT-systemer kan vi akseptere/leve med før konsekvensene blir (for) store? Følger medarbeiderne de etablerte sikkerhetskrav og -rutiner? Osv. Hvor sannsynlig (svært høy, høy, moderat, lav) vil det være at sikkerhetssvikt (feil, uhell, data på avveie etc.) kan inntreffe i vår virksomhet og hvilke mulige negative følger/konsekvenser (katastrofal, stor, moderat eller liten) kan dette få? Hvilke sikkerhetsmessige forbedringer må iverksettes for å redusere de sikkerhetssvakheter som måtte avdekkes og for å tilfredsstille kommunens og øvrige, lovpålagte sikkerhetskrav? Hvilket risikonivå kan vi akseptere å leve med? Hvilke kostnader vil de aktuelle forbedringer kunne innebære og vil det være gjennomførbart eller må vi vurdere alternative og rimeligere sikkerhetsløsninger? Definér så klart som mulig hvilke områder og hvilke elementer som skal vurderes. Forkast de trusler som ansees som irrelevante og konsentrer arbeidet om relevante trusler/forhold. Det bør utpekes en intern ansvarlig for dette arbeidet ( prosjektleder ). Det tas stilling til hvilke personer/funksjoner som skal være med i vurderingen for at den skal kunne gi et bredest og mest mulig realistisk bilde av situasjonen. Arbeidet vil dels skje gjennom intervju med relevante personer (ledere, viktige brukere, IT-ansvarlig etc.) og dels gjennom vurderinger og undersøkelser. Risiko- og sårbarhetsvurderingen skal resultere i en rapport som skal oppbevares for videre bruk i det interne sikkerhetsarbeidet. Slike rapporter skal også vedlegges eventuelle konsesjonssøknader til Datatilsynet. (Oslo kommune er i henhold til Personopplysningsloven i all hovedsak meldepliktig, men opplysninger knyttet til barnevern er fremdeles konsesjonspliktig). 14
15 2.2 Internkontroll/sikkerhetsrevisjon Sikkerhetsrevisjon innebærer en etterprøving av virksomhetens sikkerhetsarbeid for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og at de fungerer etter sin hensikt. Revisjonen skal omfatte vurdering av så vel fysiske som organisatoriske og systemtekniske sikkerhetsforhold. I dette arbeidet kan eksempelvis verktøyet ISAP benyttes. Ved sikkerhetsrevisjon av felles- og sektorsystemer, vil systemansvarlig instans være ansvarlig for revisjon av sentrale komponenter mens virksomheten selv er ansvarlig for revisjon av den lokale implementasjonen. Ifølge Personopplysningsloven m/forskrifter skal sikkerhetsrevisjoner gjennomføres jevnlig og helst årlig og skal omfatte alle enheter som behandler personopplysninger i kommunen. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt eller tilfredsstillende, skal dette behandles som avvik. (For avviksbehandling, se kap ) 2.3 Sikkerhetstiltak Med sikkerhetstiltak menes her tiltak som settes i verk for å beskytte informasjonssystemet (dvs. program, data og IT-utstyr/-infrastruktur m/nettverk) mot såvel overlagt som tilfeldig skade eller forringelse med hensyn til sikkerhetsaspektene integritet, konfidensialitet og tilgjengelighet. Iverksetting av sikkerhetstiltak vil som tidligere nevnt, være basert på en gjennomført risikovurdering og tiltakene kan inndeles i følgende kategorier: fysisk sikring systemteknisk sikring organisatorisk sikring innebærer å sikre informasjonssystemenes omgivelser mot tyveri, brann etc. innebærer å sikre teknologikomponentene (IT-utstyr, kommunikasjonslinjer og -utstyr, programvare osv.) og informasjonen (registre osv.) ved hjelp av program- eller maskintekniske sikkerhetsmekanismer/-barrierer. fokuserer på det menneskelige element og det ansvar ledere og medarbeidere har i sikkerhetssammenheng. Sikringstiltakene kan være knyttet til administrative rutiner for behandling av informasjon, ansvars- og arbeidsdeling, opplæring/motivasjon, kontroll/sanksjoner, osv. Uansett kategori skal tiltakene ha som formål å forebygge, oppdage eller reparere skade eller forringelse. Mens tiltak mot overlagt skade forutsetter kontroll og sanksjoner, er oppmerksomhetsøkende og kompetanseutviklende tiltak viktige redskaper for å håndtere problemer som skyldes feil eller uhell. Arbeidet med informasjonssikkerhet har tradisjonelt vært konsentrert om tiltak for å sikre informasjonens konfidensialitet, spesielt med tanke på vern av sensitive og/eller taushetsbalagte personopplysninger. For Oslo kommune har informasjonens kvalitet og tilgjengelighet minst like stor betydning. Tilgjengelighet innebærer at aktuell informasjon er 15
16 tilgjengelig for alle medarbeidere med tjenstlig behov, samtidig som brukerne av virksomhetens tjenester gis tilfredsstillende service og informasjon. Dersom arbeidsstasjoner stilles til rådighet for allmennheten, må utfordringer som sikkerheten for at kun autorisert aksess til de forskjellige datasystemer/registre er mulig, at ikke brukerne på noen måte kan misbruke virksomhetens identitet og sikkerheten for at ikke senere bruker kan få tilgang til data fra tidligere bruker, ivaretas. Tilgjengelighet forutsetter dessuten at dokumentasjon av vesentlig forvaltningsmessig, rettslig eller kulturell/historisk verdi blir bevart og forvaltet slik at den er tilgjengelig også for ettertiden. En større vektlegging av integritet/kvalitet og tilgjengelighet harmonerer med retningslinjene i sikkerhetsstandarden ISO og kravene i Personopplysningsloven. 2.4 Krav til sikkerhetstiltak Kommunens virksomheter skal, med utgangspunkt i foreliggende instruks, denne veiledning og malverket, etablere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten i egen virksomhet. Dette skal dokumenteres og være en del av virksomhetens internkontrollsystem. Systemeiere for sektor- og fellessystemer vil ved behov også etablere særskilte regler, instrukser og rutiner for ivaretakelse av informasjonssikkerheten i og rundt kommunens felles IT-systemer og infrastruktur. Pålegg om å gjennomføre særskilte tiltak kan gis av overordnet kommunal myndighet (byrådet eller systemeier for sektor- eller fellessystem) eller i form av lov eller forskrift. Dersom det ikke foreligger slikt pålegg, skal valg av sikkerhetstiltak ta utgangspunkt i virksomhetsspesifikke forhold mht. trusselbilde, risiko og sårbarhet samt kost/nytteaspekter. 16
17 3 KRAV TIL FYSISK SIKRING Formålet med de fysiske sikringstiltak generelt i Oslo kommune er: å verne om liv og helse til ansatte, klienter og andre som måtte befinne seg i kommunens lokaler å sikre eiendeler og verdier som kommunen forvalter eller formidler, herunder bygninger, lokaler, inventar, IT-utstyr og annet utstyr, mot tap eller verdiforringelse å sikre mot tap av såvel papirbaserte som elektroniske dokumenter og annen elektronisk informasjon gjennom tyveri etc. å hindre eller forsinke inntrenger eller annen uautorisert adgang gjennom tilfredsstillende låsemekanismer og alarmsystemer Arealer, lokaler eller eiendeler skal ha tilstrekkelig fysisk sikring. Kommunens lokaler skal imidlertid i nødvendig grad også være tilgjengelig for tjenestebrukere og besøkende. Samtidig må kommunens brukere og egne ansatte kunne stole på at følsomme opplysninger om dem selv er sikret på tilfredsstillende måte. Omfanget av de fysiske sikringstiltak vil være avhengig av mulige/aktuelle trusler og risiko, samt aktiviteten på stedet. Ansvaret for at nødvendige fysiske sikringstiltak vurderes og iverksettes på kommunens tjenestesteder følger linjen. 3.1 Adgangskontroll Følgende retningslinjer gjelder for adgangskontroll i kommunens virksomheter: ikke-ansatt personell skal som hovedregel ikke oppholde seg uten tilsyn i lokaler som ikke er åpne for publikum, klienter og pårørende; dette omfatter også møtedeltakere, osv. og gjelder i kommunen generelt i kontorsoner der uvedkommende vil kunne oppholde seg, skal kontordører være avlåst når de ikke er bemannet teknikere, håndverkere, rengjøringspersonale etc. som må inn på tekniske rom og lignende, skal som hovedregel alltid følges av autorisert personell fra kommunen. Tilsvarende gjelder dersom det er behov for at teknikere, håndverkere, rengjøringspersonell etc. er tilstede i kommunens lokaler etter normal arbeidstid Adgangskontrollen vil omfatte såvel egne ansatte som eksterne oppdragstakere og publikum (tjenestebrukere og besøkende). Som utgangspunkt for å bestemme hvilke tiltak som skal treffes, kan det foretas en soneinndeling som angir varierende sikringsbehov. Tiltak som bør vurderes er f.eks. resepsjonsvakt, bruk av kortlesere/adgangskort evt. med PIN-kode for dører og heiser samt bygningstekniske tiltak av ulik karakter. Besøkende Det bør være etablert nødvendige rutiner for registrering og oppfølging av besøkende i kommunens virksomheter. Besøkende bør som hovedprinsipp føres inn i besøksprotokoll i virksomhetens resepsjon, og vente der til de blir hentet av rette vedkommende. 17
18 Kommunens ulike virksomheter skal være lett tilgjengelige for publikum. Samtidig er det viktig både for kommunen selv og dens brukere at sensitiv eller taushetsbelagt informasjon beskyttes mot tilgang og innsyn fra uvedkommende. Ved besøk, møter etc. som foregår innen soner der det behandles sensitive eller taushetsbelagte personopplysninger, pålegger Personopplysningsloven virksomhetene å etablere rutiner som sikrer at uvedkommende personell ikke har adgangsmulighet til kontor, datautstyr, arkiv, etc. dersom de ikke følges av autorisert personell. 3.2 Sikring mot brann, vannlekkasje og strømstans IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans m.v. For sikring av arkivlokaler finnes det egne krav nedfelt i forskrift til Arkivloven kap. IV; Oppbevaring og sikring av offentlige arkiv. Brannsikring Brannsikring generelt i kommunens lokaler innebærer tiltak som skal: - forebygge brann og branntilløp - redde liv og avverge skade på person dersom brann har oppstått - redusere eventuelle skadevirkninger og veilede/hjelpe medarbeidere og annet personell som oppholder seg i kommunens lokaler - sørge for opplæring av medarbeidere i brannforebyggende tiltak herunder jevnlige brannøvelser Ved brann/branntilløp skal evt. åpne vinduer og dører lukkes umiddelbart for å redusere lufttilførsel og dermed brannutviklingen. Mindre branner/branntilløp forsøkes slokket med håndslukkeapparat, som skal forefinnes på datarom, i eller ved alle koblingsskap, i eller i nærheten av printrom - og ellers på sentralt sted i hver etasje. Ved større brann- og røykutvikling skal lokalene forlates i henhold til den interne branninstruksen. Det skal være montert et nødvendig antall røyk-/varmedetektorer i hver etasje i virksomhetens lokaler - med intern melding og automatisk melding til brannvesenet (110-sentralen), etter normal kontortid; dette vil kunne redusere de negative konsekvenser ved en eventuell brann i betydelig grad. Ekstra sikkerhetskopier av viktige data skal lagres i safe plassert på annet sted (i fjernlager, i annen bygning, hos vaktselskap eller lignende). Branninstrukser skal være oppslått i hver etasje, likeså oversikter over plassering av håndslokkeapparat, vannslanger og nødutganger. Nødutganger skal til enhver tid være ryddet. Sikring mot vann og fukt Datarom og tekniske installasjoner skal sikres i nødvendig grad mot vann og fukt. Dette bør tas hensyn til allerede ved plassering av slike rom og installasjoner. Overrislingsanlegg må ikke forefinnes i tekniske rom. 18
19 Sikring mot strømavbrudd For å sikre mot mindre spenningsvariasjoner på strømnettet og kortere strømbrudd - og dermed mot mulig strømsvikt og overbelastning på viktig IT-utstyr ( viktige PC er, servere og nettverksutstyr), skal slikt utstyr tilkobles avbruddsfri strømforsyning (UPS = Uninterrupted Power Supply). I tillegg til å jevne ut spenningsforskjeller, vil UPS sørge for at IT-systemene tas ned på kontrollert vis i situasjoner hvor nett-strømmen blir borte over en viss tid. Det bør også vurderes å knytte data- og kommunikasjonsutstyr til egen strømkurs. Alt datautstyr skal være tilkoblet jordet kontakt. 3.3 Utstyrsplassering IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Sentralressurser (f.eks. servere) skal plasseres på eget datarom med særlig adgangssikring. Kommunikasjonsutstyr skal plasseres enten på datarom eller i låsbare koblingsskap e.l. Kontorer med PC er, brukerterminaler, printere o.l. i lokaler der uvedkommende vil kunne oppholde seg uten nødvendig kontroll, skal være låst når de ikke er bemannet. Dette gjelder også ved kortere fravær som møter, lunsjpauser, osv. Felles periferutstyr som f.eks. printere, bør ikke plasseres i åpne arealer/korridorer, men i egne låsbare rom; dette gjelder i særlig grad i lokaler der kontrollen med uvedkommende ikke er tilfredsstillende. Det samme gjelder kopimaskiner, telefaksutstyr, osv. 3.4 Utstyrsmerking IT-utstyr bør merkes for å forebygge tyveri og dermed øke sjansen for å få bortkommet utstyr tilbake. Det er særlig viktig å merke løst og lett omsettelig utstyr som f.eks. bærbare PC er o.l. 3.5 Informasjonshåndtering Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive eller taushetsbelagte opplysninger, datarom/arkivrom og andre kritiske rom, skal være avlåst når de ikke er bemannet. Arkivdokumenter, utskrifter etc. som inneholder personsensitiv eller annen taushetsbelagt informasjon skal ikke ligge fremme på kontorer eller andre steder slik at uvedkommende kan få tilgang til informasjonen. Ved avsluttet arbeidsdag skal bruker logge seg av IT-systemet. Ved kortere fravær vil bruk av skjermsparerfunksjon (med passord) hindre uautorisert innsyn. Utlån av saksdokumenter med sensitiv informasjon skal kun skje via den person som er ansvarlig for oppbevaringen, slik at lånet blir registrert. 19
20 Ved eventuell bruk av bærbart/håndholdt utstyr skal dette i nødvendig grad sikres mot tyveri og eventuelt innsyn fra uvedkommende. Det er ikke tillatt lagret sensitive eller taushetsbelagte opplysninger på slikt utstyr. Utskrifter på felles printere skal ikke ligge tilgjengelig for uvedkommende og skal hentes umiddelbart. Fortrolige utskrifter skal skrives ut på lokal printer helt avskjermet for uvedkommende. Tilsvarende gjelder ved kopiering av fortrolig informasjon. Informasjon som er av fortrolig karakter, skal som hovedregel ikke formidles pr. telefaks eller telefon. Ved bruk av e-post, se gjeldende e-postinstruks for Oslo kommune. Fortrolige datautskrifter og dokumenter skal aldri kastes i papirkurv, men makuleres på den måte som er fastsatt i gjeldende regelverk. Jf. bl.a. Forskrift om offentlige arkiv kap. III og 2-11 i forskriftene til Personopplysningsloven. Ved forsendelse av saker og dokumenter med sensitiv informasjon, skal prosedyrene fastsatt av byarkivaren følges. Ulovlig kopiering eller modifisering av produkter beskyttet i henhold til Åndsverkloven skal ikke finne sted. For retningslinjer ved behov for skjerming av informasjon som kan være utsatt for spionasje, sabotasje eller terrorhandlinger, se Sikkerhetslovens bestemmelser. 20
21 4 KRAV TIL SYSTEMTEKN ISK SIKRING 4.1 Sikkerhetskopiering Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og i felles systemer. Rutinen bør være automatisert, og skal være innarbeidet i normale driftsrutiner. I lokalnett bør det tas reservekopier på alle tilknyttede noder i én og samme sikkerhetskopirutine. Lokal lagring av program og data på PC-harddisk er ikke tillatt, såfremt det ikke er godkjente én-brukerløsninger. Backup av data/program på slike PC er skal gjøres i henhold til virksomhetens rutiner for dette. Datalagringsmediene skal merkes med innhold og dato og oppbevares slik at de beskyttes mot tyveri, skade, magnetisk stråling og brann/høy temperatur. Sikkerhetskopier (CD er, disketter, kassetter og taper), som inneholder viktig informasjon som programkode, systemdokumentasjon etc. av driftsmessig betydning, skal oppbevares i brannsikre skap utilgjengelig for uvedkommende. Ekstra sikkerhetskopier skal oppbevares på annet sted ( fjernlager ). Det skal foretas stikkprøvekontroller av at backup-/reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Ref. også forskrift om offentlige arkiv 2-10:... Kvar dag skal det takast tryggingskopi av databasen på elektronisk lagringsmedium. Tryggingskopiane skal lagrast på einingar som er fysisk åtskilde frå dei einingane der databasen ligg. 4.2 Aktivitetslogging IT-systemene skal inneholde funksjoner for logging av aktivitet i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. Det er de respektive autorisasjonsansvarlige som i samarbeid med IT-funksjonen - har ansvaret for å vurdere behovet for logging, iverksettelse av rutiner for dette, og nødvendig kontroll og oppfølging i ettertid. Registrering av uautorisert bruk og eventuelle forsøk på slik bruk, skal ifølge Datatilsynet lagres i minst 3 måneder. Tilsvarende gjelder registrering av mulige andre hendelser som har eller kan ha betydning for informasjonssikkerheten i kommunens virksomheter. Eksempler på relevante aktiviteter som kan/bør logges: inn-/utlogging transaksjoner sletting/gjenoppretting (restore) av data 21
22 endring av kodeverk og nøkkeldata Logging av gjenopprettings-/restore-aktiviteter kan muliggjøre kontroll av om noen forsøker å få tilgang til slettede data. 4.3 Sikringstiltak mot ondsinnet kode (datavirus etc.) Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. ved f.eks. oppkobling mot eksterne databaser og Internett. Bærbare lagringsmedia (CD er, disketter, bærbare PC er, PDA er, etc.) som benyttes i kommunens virksomheter skal kontrolleres for datavirus og lignende. Lagringsmedia som måtte sendes fra eller til kommunens virksomheter skal kontrolleres for eventuell slik ondsinnet kode. Dataviruskontroll skal foretas automatisk ved oppstart av PC/klient og ved pålogging mot virksomhetens lokalnettverk. Likeså bør det være automatisk viruskontroll ved aktivisering av diskett-/cd-stasjon og ved synkronisering mot PC i lokalnettverket. Ved oppkobling mot Internett via OKDN foretas nødvendig og automatisk viruskontroll. Dersom bruker oppdager eller får mistanke om datavirus, skal IT-funksjonen kontaktes umiddelbart og PC/klientterminal skal ikke brukes før IT-funksjonen gir klarsignal om dette. Eventuelle virusinfiserte disketter, CD er osv. skal tas hånd om og uskadeliggjøres på tilfredsstillende måte. 4.4 Sletting av data ved avhending av IT-utstyr Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Ved forsendelse i forbindelse med teknisk service bør sletting vurderes. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort. Ved ødeleggelse (krasj) av harddisk på PC/server skal disken demonteres og deretter destrueres. Ved avhending av utstyr benyttet til lagring av personsensitive data skal tilstrekkelig sletting dokumenteres skriftlig, eksempelvis ved et slettesertifikat. Det er viktig å være klar over at vanlig delete -funksjon ikke sletter data fysisk, men bare usynliggjør dataene for brukeren/brukerprogrammene. Etter en behovsvurdering bør data - etter at sikkerhetskopi er tatt - enten overskrives med nye, nøytrale data ved hjelp av spesielle sletteprogrammer, eller slettes ved hjelp av spesielt utstyr, f.eks. apparat for avmagnetisering. Virksomhetens IT-funksjon er ansvarlig for at sikkerheten i forbindelse med avhending av IT-utstyr ivaretas på tilfredsstillende måte. 4.5 Logisk tilgangskontroll Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll, og skal omfatte nødvendig brukeridentifikasjon, autentisering og autorisasjonskontroll. 22
23 Tilgangskontroll-rutinene skal sikre at informasjon kun er tilgjengelig for autorisert personell og at de ikke utilsiktet kan leses, endres eller slettes av andre. Autorisasjonsansvarlige skal i samarbeid med IT-funksjonen sørge for at kun rettmessige brukere til enhver tid anvender IT-systemene Brukeridentifikasjon Hver enkelt IT-bruker skal tildeles en unik kode for identifikasjon i forbindelse med pålogging til PC, server og nettverk. IT-funksjonen tildeler slik brukeridentifikasjon Autentisering og autorisasjonskontroll Autentisering (identitetsbekreftelse) ved pålogging til IT-systemene skjer ved bruk av bruker-id koblet mot passord. IT-funksjonen sørger for tildeling av dette ved første gangs bruk deretter er brukeren selv ansvarlig for endring og hemmelighold av eget passord. Ved ansettelsesopphør skal brukertilgangen slettes Regler vedrørende bruk av passord og påloggingsrutiner Passordet er brukerens egen personlige sikkerhetsnøkkel, som skal sikre at uvedkommende ikke får tilgang til IT-systemene. Følgende regler gjelder: alle brukere må taste inn brukernavn og passord ved oppkobling mot PC og mot server; enkelte systemer krever i tillegg egen påloggingsrutine nettverkspassord bør være minimum 6 tegn langt og en kombinasjon av tall, bokstaver og eventuelle spesialtegn nettverkspassordet bør byttes minimum hver 3. måned; ved bytte av passord skal det ikke være mulig å gjenbruke noen av de 5 sist brukte passord ved 3 ukorrekte forsøk på pålogging til nettverket, skal videre forsøk sperres; brukeren må kontakte IT-funksjonen for å få logget seg på igjen utlån av brukernavn eller passord er å anse som brudd på kommunens sikkerhetsbestemmelser dersom PC blir stående lengre enn f.eks. 10 minutter uten aktivitet, bør skjermbildet sperres av med passordbeskyttet skjermsparer Autorisasjonskontroll Autorisasjon innebærer en godkjenning som gir brukerne tilgang til en bestemt type informasjon basert på en vurdering av de rettigheter den enkelte bruker skal ha. (Bruker kan her også være eksterne kunder dersom systemene og sikkerheten forøvrig er lagt opp slik at allmennheten kan få innsyn.) Autorisasjonen (eller autorisasjonsprofilen), skal angi hvilke IT-systemer, programrutiner og dataelementer vedkommende bruker har lovlig tilgang til, og hvilke operasjoner (lese, skrive, oppdatere osv.), brukeren har lov til å utføre. Det er virksomhetens autorisasjonsansvarlige som tildeler brukerne disse tilgangsrettigheter, mens 23
24 IT-funksjonen eller evt. autorisasjonsansvarlig selv, sørger for at godkjente rettigheter blir registrert i de respektive systemer. Ved ansettelsesopphør skal tilgangsrettighetene til vedkommende bruker slettes snarest. Rutiner for dette bør utarbeides lokalt. 4.6 Kommunikasjonssikring Generelle regler Kommunens og virksomhetenes rutiner for kommunikasjonssikring skal sikre at: nettverk, dvs. linjer, utstyr og program, fungerer stabilt og med tilfredsstillende svarstider sikkerheten ved oppkobling mot for eksempel Internett eller andre eksterne nett ivaretas på tilfredsstillende måte uvedkommende ikke har fysisk adgang til nettverksutstyr, modem, koblingsskap, osv. - uten nødvendig kontroll Personopplysningslovens (POL) krav til sikring etterleves (se under) For kommunale virksomheter som behandler opplysninger underlagt POL skal følgende sikkerhetskrav tilfredsstilles: Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere (brannmurløsning eller lignende) som bl.a. skal sikre at brukere i intern sone eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv informasjon som sendes over OKDN. Det er lignende sikringskrav til internkommunikasjon dersom denne (ifølge Datatilsynet) skjer mellom bygg hvor avstanden er lengre enn ca. 300 m. (Dette gjelder selv om det er fiberkabler mellom bygningene.) Øvrige regler for kommunikasjonssikkerhet i Oslo kommune: Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av System- og regnskapsetaten, SRE. Mellom virksomhetens lokalnett og andre kommunale enheter skal det benyttes router i henhold til kommunens valgte standard Internett Kommunale virksomheter som ikke behandler og/eller lagrer sensitive eller taushetsbelagte personopplysninger i sine datasystemer kan - etter en intern vurdering og godkjenning av SRE - koble seg opp mot eksterne nett (f.eks. Internett) via OKDN fra eget lokalnett. Det er 24
25 utarbeidet et enkelt søknads-/ egenkontroll -skjema for dette, som skal undertegnes av virksomhetsleder og sendes SRE. Eksempel på skjema finnes i malverket. På dette skjema skal virksomheten bl.a. bekrefte at den ikke behandler eller lagrer sensitive eller taushetsbelagte personopplysninger, at den har et internt sikkerhetsregelverk, at nødvendige fysiske kontroller i forhold til adgang fra uvedkommende er etablert osv. Utenom konfigurasjonskart og systemoversikt, skal dokumentasjon ikke vedlegges søknadsskjemaet, men være tilgjengelig for SRE ved eventuelle senere avklaringer/kontroller. Etter mottak av skjema, vil SRE foreta en vurdering og starte arbeidet med oppkobling - forutsatt at forholdene i virksomheten fremstår som tilfredsstillende. SRE vil prioritere disse søknadene og vil sørge for en behandlingstid på maksimum 2 uker, dersom ikke spesielle omstendigheter skulle kreve lengre behandlingstid. Bekreftelse på godkjent løsning, evt. avslag m/begrunnelse, sendes virksomhetsleder så snart SRE har behandlet søknaden. Forutsetningen for slik oppkobling er altså at virksomheten ikke behandler eller lagrer sensitive eller taushetsbelagte personopplysninger på utstyr tilknyttet lokalnettet, da dette stiller strenge krav både til fysiske, systemtekniske og organisatoriske sikkerhetsløsninger. For virksomheter som behandler eller lagrer sensitive eller taushetsbelagte personopplysninger, skal en eventuell søknad om åpning mot eksterne nett sendes via Byrådsavdeling for service- og organisasjonsutvikling, SOU, etter at virksomheten kan dokumentere at den tilfredsstiller grunnleggende krav til informasjonssikkerhet. SOU sender søknaden videre til Datatilsynet. 25
26 5 KRAV TIL ORGANISATO RISK SIKRING 5.1 Ansvar for informasjonsikkerheten Figur 5.1 på neste side gir oversikt over fordelingen av ansvar for informasjonssikkerhet i Oslo kommune Byrådet Byrådet fastlegger etter IT-reglementets 4 strategi, retningslinjer og standarder innen ITområdet. Ansvaret er administrativt plassert i Byrådsavdeling for service- og organisasjonsutvikling, SOU Byrådsavdeling for service- og organisasjonsutvikling, (SOU) SOU har ansvar for å utarbeide og ajourholde overordnede regler for informasjonssikkerhet som en del av de generelle kommunale rammebetingelser innen IT-området. Som systemeier for kommunens konsernnettverk for data og telefoni, har SOU det overordnede styringsansvar for informasjonssikkerheten knyttet til kommunens felles teknologiske infrastruktur (jf. pkt ) Systemeier for sektor- og fellessystemer Systemeier er etter IT-reglementets 6 b hovedansvarlig for sektor- og fellessystemer i kommunen, noe som inkluderer styringsansvaret for informasjonssikkerheten knyttet til disse systemene. Systemeier skal fastlegge krav til sikkerhetsnivå innen eget ansvarsområde generelt og det enkelte system spesielt Systemansvarlig instans, (SAI), for sektor- og fellessystemer Systemansvarlig instans skal etter IT-reglementets 7 forvalte de aktuelle sektor- og fellessystemer på vegne av og i samråd med respektive systemeiere. Herunder hører ansvaret for at systemet tilfredsstiller informasjonssikkerhetsmessige krav. Systemansvarlig instans skal således påse at nødvendige tiltak implementeres, slik at systemene til enhver tid tilfredsstiller det fastlagte krav til sikkerhetsnivå. Systemansvarlig instans har ansvar for uttesting og dokumentasjon av systemenes sikkerhet, og for at nødvendige sikkerhetsdokumentasjonen (inkl. resultatet fra sentral sikkerhetsrevisjon) blir stilt til 26
Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02
Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:
DetaljerInformasjonssikkerhet i Nordre Land kommune
Informasjonssikkerhet i Nordre Land kommune Informasjon ansatte i Nordre Land 2007 Informasjonssikkerhet i Nordre Land kommune Rådmannens forord Det er knapt en arbeidsplass i Nordre Land kommune som i
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerSikkerhetshåndbok for Utdanningsetaten. kortversjon
Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerVEILEDNING TIL INSTRUKS FOR INFORMASJONSSIKKERHET
Veiledning Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/2002 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr: A-0042
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerSIKKERHETSINSTRUKS - Informasjonssikkerhet
SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en
DetaljerFagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)
Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling
DetaljerIKT-reglement for Norges musikkhøgskole
IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse
DetaljerSikkerhetsinstruks bruker
Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
DetaljerNettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.
SØR-TRØNDELAG FYLKESKOMMUNE RETNINGSLINJE FOR INFORMASJONSSIKKERHET Nettvett i STFK Retningslinjer og etiske regler for bruk av datanett i STFK Erstatter: - Utarbeidet ved: IKT-tjenesten Vedtatt/godkjent
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerSikkerhetsmål og -strategi
Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
Detaljer4.2 Sikkerhetsinstruks bruker
4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerKrav til informasjonssikkerhet
Krav til informasjonssikkerhet Innhold Informasjonssikkerhet vs personvern Eksempler på sårbarheter MTU og Normen Krav til informasjonssikkerhet i Normen 17.03.2018 2 Informasjonssikkerhet - begrep Behandler
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert
Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:
DetaljerSikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer
Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II
DetaljerDatabehandleravtale. Kommunenes Sentralforbund - Databehandler
U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerDatabehandleravtale digitale arkiv og uttrekk for deponering
/X,4 finnmark IXS - J.Ki2tfinmarkun IXS - I3C finnmcirku IXS Deanu gielda - Tana kommune Rådhusveien 24 9845 TANA Vår ref Deres ref Saksbehandler Dato 2017/247-2 Gunnhild Engstad 07.12.2017 direkte tlf.:92671905
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerVeilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.
Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerAvviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerDatabehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale
tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere
Detaljer2.4 Bruk av datautstyr, databehandling
2.4 Bruk av datautstyr, databehandling Formål Denne prosedyren skal beskrive generelle krav til informasjonssikkerhet ved bruk av datautstyr i Midt-Telemarkkommunene. Den skal leses av alle medarbeidere,
DetaljerInternkontroll i mindre virksomheter - introduksjon
Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette
DetaljerRUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS
Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS
Detaljer2.12 Sikkerhetsinstruks bruker
2.12 Sikkerhetsinstruks bruker Side 1 av 7 2.12 Sikkerhetsinstruks bruker Denne instruksen erstatter tidligere Databrukeravtale ref http://www.svk.no/getfile.php/160353.652/databrukerkontrakt++svk+v+01.pdf
Detaljerheretter kalt Operatøren.
Bilag 1 til Oppdragsbeskrivelsen Databehandleravtale Mellom: Ruter As (Ruter) som Oppdragsgiver Og heretter kalt Operatøren. Innholdsfortegnelse: Bilag 1 til Oppdragsbeskrivelsen... 1 Databehandleravtale...
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerBrukerinstruks Informasjonssikkerhet
STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...
DetaljerROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte
ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte - Styret - Rektor - Leder for Organisasjonsavdelingen -
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
Detaljer1 Våre tiltak. Norsk Interaktivs arbeid med personvern
Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerArbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6
Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt
DetaljerOverordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune
Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...
DetaljerIfølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:
Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerIT-reglement Aurskog-Høland kommune for ansatte og politikere
IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger
DetaljerAVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]
V1.0 AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON i henhold til kraftberedskapsforskriften mellom Org.nr.: 000 000 000 og Org.nr.: 000 000 000 Dato: 20xx-xx-xx Side 1 av 5 1. Om avtalen
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerIKT-reglement for NMBU
IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)
DetaljerREGLEMENT FOR BRUK AV IT-INFRASTRUKTUR
REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.
DetaljerRisikovurdering av cxstafettloggen
Risikovurdering Side 1 av 6 Risikovurdering av cxstafettloggen Haugesund kommune har gjennomført ei risikovurdering av informasjonssikkerheten i forbindelse med plan om oppstart av CX Stafettloggen. I
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerKontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord
Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerRisiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering
Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
Detaljer