Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang
|
|
- Kurt Holen
- 8 år siden
- Visninger:
Transkript
1 Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang
2
3 Innhold 1 Innledning Formål og definisjon Hva er tilgangskontroll Målgruppen for dokumentet Ansvar Oversikt over aktuell lovgivning og standarder Virksomhetens organisering (for å håndtere tilgangskontroll) Ledelsens styring og kontroll Sikkerhetspolicy og retningslinjer for tilgangskontroll Informasjonssikkerhetssjef (CISO) Eierskap til informasjon og systemer Nærmeste leder Virksomhetens holdninger og sikkerhetskultur Tekniske tiltak Identitet i IT-systemer Autentisering Rollestyring og systemtilgang Aktivitetsoppfølging (logging og oppfølging)... 9 Referanser
4 Innledning 1.1 Formål og definisjon Formålet med denne anbefalingen er å bidra til å konkretisere krav til tilgangskontroll som norske virksomheter bør oppfylle for å imøtekomme kravene i det rettslige begrepet betryggende kontroll, de krav som stilles i lover, forskrifter og allment 1 aksepterte standarder. 1.2 Hva er tilgangskontroll Virksomhetsprosesser er i dagens samfunn helt avhengig av rettidig tilgang til IT-systemer. Samtidig representerer informasjon som lagres og behandles ofte store verdier. Effektiv kontroll med tilgang til informasjon er derfor en viktig forutsetning for å sikre virksomhetens verdier og drift. Større grad av distribuerte ressurser medfører utvidede muligheter for tilgang til informasjon for flere personer gjennom nettverk og kommunikasjonskanaler fra omverdenen, for eksempel Internett. Med tilgangskontroll menes metoder for å tildele, endre, slette og føre kontroll med autorisasjon for tilgang til IT-ressursene for å opprettholde konfidensialitet, integritet og tilgjengelighet til informasjon. Dette gjelder så vel interne brukere i virksomheten som eksterne brukere/kunder som får tilgang til virksomhetens informasjon gjennom webbaserte tjenester på internett. Tilgangskontroll er en viktig forutsetning for å sikre forsvarlig utvikling/anskaffelse, drift, bruk, vedlikehold og avvikling av virksomhetens informasjonssystemer og skal forhindre at IT-ressursene blir brukt eller påvirket på en ukontrollert måte. God tilgangskontroll kan føre til: Kontroll med at informasjon ikke kommer på avveie Redusert risiko for svindel og interne misligheter Reduserte økonomiske tap som følge av ukontrollert nedetid Redusert risiko for misbruk av informasjon, systemer og ressurser som ikke fremmer virksomhetens interesse Redusert risiko for svekket omdømme og tillit Informasjon kan i mange tilfeller være virksomhetens beslutningsgrunnlag og konkurransefortrinn og på den måten være avgjørende for dens eksistens. 1.3 Målgruppen for dokumentet Beslutningstakere med et Sørge-for -ansvar De som beslutter investeringene, de som definerer krav til virksomheten og de forretningsenhetene som bruker og/ eller har eierskap til IT-tjenestene. Aktører som har et Utføre-ansvar Interne eller eksterne interessenter som tilbyr IT-tjenester. Dette kan være IT-linjeledere, prosjektledere, prosessledere, utviklere eller driftspersonell med ansvar for daglig drift. De med et Påse -ansvar Interne og eksterne interessenter som har ansvar for kontroll og risikohåndtering. Dette kan være personell med oppgaver innen sikkerhet, kontroll med behandling av personopplysninger samt personell med ansvar for risikohåndtering For personell med ansvar for internkontroll og revisjon anbefales i tillegg ISACAs G38 Access Controls, se referanseliste. 1.4 Ansvar Det er styret og den daglige ledelsen som har ansvaret for at et tilfredsstillende nivå av tilgangskontroll innføres og opprettholdes. Ansvar for å ivareta sikkerhet i en virksomhet er både i privat og offentlig sektor regulert i lov. Dersom deler av virksomhetens IT-behandling utføres av eksterne leverandører, fritar ikke dette ledelsen for kontrollansvaret. 4
5 Virksomhetens organisering 1.5 Oversikt over aktuell lovgivning og standarder. Det er viktig å ha oversikt over aktuell lovgivning som gir føring for tilgangskontroll i din virksomhet og din sektor og som gir føringer for forsvarlig implementering av tilgangskontroll. Personopplysningsloven med forskrifter gjelder på tvers av sektorer og virksomheter i Norge. Andre viktige lover som gir føringer for tilgangskontroll er: Sikkerhetsloven med forskrifter (for offentlig sektor og enkelte andre virksomheter som er underlagt denne) Økonomireglementet i staten 1 Offentleglova IKT-forskriften (for finanssektoren) Helseregisterloven med forskrifter (for helsesektoren) Mange norske virksomheter er også underlagt sektorspesifikt lovverk med taushetsbestemmelser Det finnes også standarder som gir informasjon om tilgangskontroll, for eksempel NS ISO serien og ISACAs G38 Access Controls. 2 Virksomhetens organisering (for å håndtere tilgangskontroll) 2.1 Ledelsens styring og kontroll Det er virksomhetens ledelse som er ansvarlig for at det innføres hensiktsmessige retningslinjer, rutiner og egnede tekniske løsninger for tilgangskontroll. Ledelsen skal sørge for at gode holdninger til tilgangskontroll er en integrert del av virksomhetens kultur og at det er kjent for brukerne hvilke regler som gjelder. Basert på virksomhetens vurdering av egen profil rundt åpenhet, risikovurdering og krav i lover og forskrifter, må virksomheten fastsette og opprettholde et ønskelig nivå for sikring av informasjon og ressurser. Ønsket nivå for virksomhetens sikring av informasjon og ressurser kan endre seg over tid. Det må derfor etableres hensiktsmessige rutiner for å fange opp dette slik at nødvendige tiltak kan iverksettes. Ledelsen må gjøre kjent i organisasjonen hvilke reaksjoner som kan bli iverksatt ved brudd eller forsøk på brudd på virksomhetens sikkerhetsretningslinjer. Dette kan for eksempel innarbeides i ansettelsesvilkårene eller i annen styrende dokumentasjon. 1 Hovedprinsippet er offentlighet, men at restriksjoner kan settes. 5
6 2.2 Sikkerhetspolicy og retningslinjer for tilgangskontroll En virksomhet bør ha en overordnet sikkerhetspolicy og i tillegg et eller flere mer detaljerte dokumenter som beskriver de konkrete retningslinjene (standarder, rutiner og retningslinjer) for tilgangskontroll. Sikkerhetspolicy er et overordnet dokument som beskriver ledelsens og organisasjonens ansvar og målsetninger for å sikre selskapets informasjon og ressurser. Dokumentet skal kommunisere ledelsens holdninger til sikkerhet og kan også omfatte forhold utenfor ITområdet. Overordnet sikkerhetspolicy skal formelt godkjennes av virksomhetens styre. De konkrete retningslinjene for tilgangskontroll må gjenspeile intensjon og målsetninger fastsatt i overordnet sikkerhetspolicy. Konsekvenser av brudd på retningslinjene skal være reflektert i disse. Retningslinjene for tilgangskontroll skal formelt godkjennes på riktig nivå i den aktuelle virksomhet. Målsetninger for tilgangskontroll bør være målbare, slik at det er mulig å få til god oppfølging og rapportering på disse. Normalt er det virksomhetens informasjonssikkerhetssjef (se neste kap.) som har ansvar for å utarbeide de konkrete retningslinjene for tilgangskontroll. 2.3 Informasjonssikkerhetssjef (CISO) Informasjonssikkerhetssjef skal vedlikeholde den delen av virksomhetens sikkerhetspolicy som gjelder informasjonssikkerhet, gjøre den kjent i organisasjonen samt å se til at virksomhetens retningslinjer for informasjonssikkerhet blir fulgt. Inkludert i dette er retningslinjene for tilgangskontroll. Retningslinjene for etablering, endring og sletting av tilgangsrettigheter bør blant annet inneholde: regler om at tildelte tilgangsrettigheter skal være formelt godkjent og legitimert på en slik måte at tildelingen kan kontrolleres i ettertid regler om meldeplikt ved fratreden, nyansettelse og endring av stilling regler for vurdering av tilgangsrettigheter i oppsigelsesperioden regler om at bruker skal bekrefte ansvar for alle handlinger foretatt med egen brukeridentifikasjon Informasjonssikkerhetssjef skal sørge for at virksomheten har: etablerte funksjoner i linjen som sørger for løpende/periodisk kontroll av gitte tilganger etablerte retningslinjer for rapportering av brudd på virksomhetens retningslinjer for tilgangskontroll Informasjonssikkerhetssjef skal rapportere brudd på selskapets retningslinjer samt avvik avdekket under løpende /periodiske kontroller til riktig nivå i egen virksomhet. Informasjonssikkerhetssjef må ha et nært samarbeid med informasjonseiere, systemeiere og ledere. Vedkommende vil også være ansvarlig overfor toppledelsen for å sørge for at aktivitetene blir tilfredsstillende utført. 2.4 Eierskap til informasjon og systemer Det er viktig å definere eierskap til selve informasjonen. Informasjonseier har ansvar for informasjonsarkitektur og skal sørge for datakvalitet og kontroll med hvilke systemer som bruker den aktuelle informasjonen. Gjenbruk av samme informasjon i flere systemer er i dag vanlig. Likeledes kan et system inneholde informasjon fra flere informasjonseiere. Informasjon som flyter gjennom flere systemer kan skifte eier underveis i prosessen. Det er viktig å ha rutiner for å håndtere slike skifter i eierskap på en ryddig måte. Alle systemer skal ha en ansvarlig systemeier. Systemeier skal sørge for at det er implementert tilgangkontroll for systemet, i tråd med virksomhetens generelle tilgangskontrollregime. Ansvaret ivaretas i større virksomheter normalt ved å benytte etablerte funksjoner i linjen. Systemeier er ansvarlig for å påse at det føres kontroll med tilganger i systemet gjennom regelmessig gjennomgang/ revisjon som sikrer at kun autoriserte brukere har tilgang og at tilganger er gitt i henhold til tjenstlig behov. I større virksomheter vil normalt slike gjennomganger utføres ved å benytte etablerte funksjoner i linjen. Systemeieren har ansvaret for å sørge for at nødvendige kontroller er innebygget i systemet og prosessen, for eksempel, sporbarhet og etterprøvbarhet. 6
7 3 Tekniske tiltak 2.5 Nærmeste leder Nærmeste leder skal sørge for at egne medarbeidere har riktige rettigheter i systemene. Lederen har ansvar for tildeling, fjerning og endring av brukers rettigheter, herunder at tilgang til ressurser fjernes når brukeren slutter eller går over i annen funksjon/stiling. Nærmeste leder har også en oppgave med å utføre regelmessig tilgangsrevisjon for egne medarbeidere, 2.6 Virksomhetens holdninger og sikkerhetskultur Virksomhetens holdninger og sikkerhetskultur er avgjørende for virksomhetens informasjonssikkerhet. Ledelsen bør derfor vektlegge tiltak for å informere og skape en god sikkerhetskultur og gode holdninger til sikring av og tilgang til informasjon. 3 Tekniske tiltak 3.1 Identitet i IT-systemer For oppfølging og kontroll av tilgang til informasjon og administrasjon av IT-ressurser er det nødvendig å knytte bruken opp mot personlige og unike brukeridentifikatorer. Det kan forenkle oppfølging og administrasjon dersom man i så stor utstrekning som mulig klarer å knytte den enkelte bruker til en og samme brukeridentifikator (brukerident) på tvers av systemer, for eksempel ved hjelp av katalogtjenester som Microsoft Active Directory og/eller andre LDAP (Lightweight Directory Access Protocol) -kataloger. Gjenbruk av den ansattes identitet (ansattident) kan være et godt utgangspunkt. Det anbefales å ha en gjennomtenkt standard for brukeridentifikator som skiller på egne ansatte, driftsbrukere, eksternt/ innleid personell samt brukere av virksomhetens eventuelle webbaserte tjenester på internett. Av hensyn til personvernet bør fødselsnummer ikke benyttes som identifikator. Eventuell bruk av fødselsnummer som identifikator må begrunnes særskilt. 7
8 3.2 Autentisering Brukeridentifikator og passord er per i dag mest utbredt for autentisering av brukere i interne IT-systemer. Dette betegnes som en enfaktor-løsning, hvor passordet er sikkerhetsfaktoren. Andre autentiseringsmekanismer er for eksempel tofaktorløsninger der passord kombineres med bruk av smartkort, engangspassord og biometri. Autentisering av bruker kan gjøres ved en eller flere av: noe bruker vet (f.eks. passord, PIN-kode) noe bruker har (f.eks. nøkkel, magnetstripekort) noe bruker er (biometrisk signatur) hvor brukeren befinner seg Fysiske tilgangsnøkler og biometrisk gjenkjennelse kan også benyttes sammen med passord. Ved biometrisk gjenkjennelse identifiseres brukeren på grunnlag personlige karaktertrekk som for eksempel stemme, fingeravtrykk og signatur; og er en Brukeridentifikator og ingen sikkerhetsfaktor. Ideelt sett må derfor Brukerident og biometrisk gjenkjennelse ikke brukes alene, men sammen med en av de andre nevnte sikkerhetsfaktorene. Sikkerhetsretningslinjene må gjøre kjent brukerens personlige ansvar for hemmeligholdelse av egne passord/- PIN-koder. Passord må ikke enkelt kunne gjettes eller assosieres med brukeren. Brukeren skal være ansvarlig for all bruk av IT-ressursene foretatt med brukerens brukeridentifikator. Den enkelte ressurs betydning for virksomheten avgjør hvilke krav som må settes til autentisering. Skifte av passord bør fremtvinges av systemet, men den enkelte bruker må også gis anledning til selv å endre passord etter behov. I sikkerhetsretningslinjene må det tas stilling til: passordlengde og innhold (tegnsammensetning) hvor ofte passord skal skiftes (endringsfrekvens) regler for gjenbruk av passord (eksempelvis antall generasjoner/tid før gjenbruk) hvor mange tegn som må være ulike for nytt og gammelt passord rutiner for automatisk nedkobling av tilgang til ressurser ved inaktivitet (f.eks. avlogging av bruker eller låsing av arbeidsstasjon) antall mislykkede autentiseringsforsøk som skal aksepteres med tilhørende sanksjoner (f.eks. sperring av brukeridentifikasjon). Graden av sikkerhet øker vanligvis ved passordets lengde og endringsfrekvens. Man skal imidlertid være oppmerksom på at for lange og kompliserte passord samt for hyppig endringsfrekvens lett kan føre til at brukeren må skrive ned passord for å være i stand til å huske det. Kravene bør tilpasses de rettigheter og tilganger brukerne har. Eksempelvis må det være strenge krav til passordlengde og endringsfrekvens for brukere med omfattende tilgang til sensitive ressurser. Spesielle sikringstiltak kan være bruk av engangspassord og/eller prosedyrer der passord oppbevart i forseglet konvolutt utkvitteres ved akutt behov. Dersom brukere har tilgang til operativsystemets kommandolinje og/eller andre systemkommandoer, kan dette innebære en høyere risiko fordi dette kan gi brukeren tilgang til å endre, slette eller kopiere data. I slike miljøer må det legges spesiell vekt på å begrense den tilgang til ressurser som kan oppnås gjennom direkte bruk av systemkommandoer. 8
9 3.3 Rollestyring og systemtilgang Tilgangen til IT-ressurser må styres ut fra prinsippet om at en medarbeider kun skal ha tilgang til de ressurser / systemer 2 vedkommende trenger for å utføre sine ordinære arbeidsoppgaver. Dette prinsippet kalles minste privilegiums prinsipp. Vellykket implementering av minste privilegiums prinsipp i en virksomhet krever meget god forståelse av virksomheten, risikobildet knyttet til den informasjonen som behandles, lover og regler som gir føringer for tilgangskontrollen og de ITsystemene virksomheten benytter. Ved implementering av tilgangskontroll i virksomheten, må en ha en praktisk tilnærming til hvordan minste privilegiums prinsipp best realiseres. Systematisk forståelse for risikobildet knyttet til informasjonen som behandles, forutsetter at virksomheten har et klassifiseringssystem for informasjon. Eksempler på informasjonsklasser i et slikt system kan være åpen informasjon og taushetsbelagt informasjon. Vi deler ofte opp tilgangskontroll i mandatory, discretionary og rollebasert. Rollebasert tilgangskontroll er etter hver blitt det mest vanlige. De ulike brukerne tildeles roller, for eksempel som selger, rådgiver eller IT-plattformdrift. Rollene kan også knyttes mot hvilke kunder man behandler, for eksempel kunder tilhørende spesielle kundesegmenter eller kunder i et geografisk område i landet. Ulike roller gis tilgang til den informasjonen som er nødvendig for å utføre aktuelle oppgaver basert på virksomhetens organisering og forretningsprosesser. Det kan også være nødvendig å gjennomføre organisasjonsmessige grep for å hindre for brede tilganger til spesielt sensitiv informasjon som utredninger om enkeltpersoners helsesituasjon. For eksempel ved å opprette spesialrådgiverfunksjoner som behandler denne type opplysningene i virksomheten. Omorganiseringer og /eller endring av virksomhetsprosesser kan medføre behov for å endre tilgangskontrollregimet i virksomheten. For å oppnå god intern kontroll bør man innrette seg slik at kritiske arbeidsoppgaver deles mellom to eller flere personer. Ved å begrense den enkeltes rettigheter, kan man sikre en slik ansvars- og arbeidsdeling (- på engelsk kjent som Segregation of duties ). Personene vil da kontrollere hverandre og på denne måten bidra til korrekt behandling. Det anbefales å etablere deling av kritiske arbeidsoppgaver der dette har praktisk betydning for sikring av virksomhetens verdier og der kostnaden ved en slik kontroll står i forhold til risiko og tapspotensial. Tilgangskontroller på et riktig nivå vil også være en beskyttelse for brukeren i en situasjon der det er mistanke om sikkerhetsbrudd eller det kan gi en viss beskyttelse der noen ønsker å misbruke brukerens rettigheter i kriminelle handlinger. Ved for eksempel å kryss-sjekke brukerens aktivitetslogg mot bygningens adgangssystem kan man ekskludere en bruker som ikke fysisk var tilstede dersom aktiviteten spores tilbake til en spesiell arbeidsstasjon eller arbeidsplass Aktivitetsoppfølging (logging og oppfølging) Her beskrives krav til sikkerhetslogger på brukernivå. I tillegg vil det i de fleste systemer være krav til driftslogging blant annet til bruk ved feilsøking i forbindelse med driftshendelser. Så langt det er mulig, skal det være sporing på brukernivå gjennom alle lag i systemet. Systemet skal ha godkjent referanseklokke for å sikre riktig tid i loggen. Det skal for alle vesentlige hendelser være mulig å identifisere tidspunkt, bruker og hva som er utført. Både vellykkede og mislykkede påloggingsforsøk, leseoperasjoner og endringer skal logges. Loggen skal gi tilstrekkelig informasjon til å følge opp eventuelle sikkerhetsbrudd. Logger skal oppbevares i henhold til krav i lover og forskrifter. Både minste og lengste oppbevaringstid av logger skal normalt fastsettes. Loggene skal revideres jevnlig og unormale hendelser skal rapporteres og følges opp. Sikkerhetsrelaterte hendelser eller brudd bør saksbehandles i et eget hendelsessystem hvor kun høyt betrodde ansatte har tilgang. Når man implementerer loggfunksjonalitet, må man ta høyde for den lasten logging av hendelser påfører systemet når det kommer i drift. Virksomheten må sørge for å etablere tilstrekkelige mekanismer for å sikre integritet i loggen. Sekvensnummerering av logghendelser, signering av loggen og/eller overføring til sikrere lagringsområder kan være aktuelle tilleggsmekanismer. 2 På engelsk omtales dette som Need to access -prinsippet som et alternativ til Need to know -prinsipp som vil gi større privilegier enn det som er ønskelig for enkelte brukere. 3 Se for eksempel NIST sin RBAC-site: 9
10 Referanser ISACAs G38 Access Controls. Lov om rett til innsyn i dokument i offentleg verksemd (Offentleglova) IKT-forskriften (for finanssektoren) 4 Helseregisterloven med forskrifter (for helsesektoren) COBIT versjon 4.1 Cobit Assurance Guide Cobit Control Practices Enterprise Value: Governance of IT Investments; The Val IT Framework 2.0 ITIL versjon 3 NS ISO og NS ISO NS ISO 9001 Software Engineering Institute: Capability Maturity Model CISA Review Manual 2009 Helhetlig risikostyring et integrert rammeverk COSO 2 Sikkerhetsloven med forskrifter Aksjeloven med forskrifter Personopplysningsloven med forskrifter Bokføringsloven med forskrifter Økonomireglementet i staten Hvitvaskingsloven med forskrifter Kapitalkravsforskriften Høringsnotat Om endring av internkontrollforskriften av 20. juni 1997 nr. 1057, Kredittilsynet COSO (the Committee of Sponsoring Organisations of the Treadway Commission) sitt rammeverk COSO ERM 4 4 Hovedprinsippet er offentlighet, men at restriksjoner kan settes. 10
11 ISACA-medlemmer som har deltatt i arbeidet: Åshild Johnsen,Kredittilsynet, CISA Andrew Aus. Ernst & Young AS, CISA, CITP, MBCS, MIBC, ARCS Jan T. Bjørnsen, Ageto Råggivning, CISA, CISM, CGEIT Kåre Prestun, Mnemonic, CISSP, CISA, PCI-QSAP, PCI-PA-QSAP Eirik Thormodsrud, Ernst & Young AS, CISA, GSOC Kjetil Kvernflaten, CIBER Norge AS, CISA, ITIL Service Manager Camilla Olsen, FFI, CISA Liubov Kokorina, Oslo kommunerevisjon Gaute Brynildsen, DnB NOR ASA, CISA Øivind Høiem, Statoil ASA, CISA Mari Grini, SpareBank 1, CISA, CISSP
12
Revisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette
DetaljerLaget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016
Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerAnvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk
Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk Innhold Innledning... IT Governance... Kjennetegn ved et godt rammeverk for IT Governance... Forretningsorientert... Prosessorientert...
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerRisiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering
Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerVeiledning- policy for internkontroll
Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerIKT-reglement for Norges musikkhøgskole
IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerFelles datanett for kommunene Inderøy, Verran og Steinkjer
IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.
DetaljerHelhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.
Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerIT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde
IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle
DetaljerStyring og intern kontroll.
Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerVEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE
VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE Prinsippet i behandling av alle personopplysninger er med utgangspunkt i det nye regelverket er at alle har rett til å bestemme over opplysninger
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerSikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO
Sikkerhet ved outsourcing Espen Grøndahl IT-sikkerhetssjef UiO Agenda Sikkerhet - hva er det egentlig? Uønskede hendelser Hva må en huske på? Tør vi dette da? Sikkerhet "Sikkerhet kan defineres som en
DetaljerDiabetesforbundet. Personvernerklæring
Diabetesforbundet Personvernerklæring Versjon Dato Utarbeidet av Godkjent av 1.0 01.06.2018 NN Sekretariatet 1.1 22.06.2018 GDPR-ansvarlig Sekretariatet INNHOLD 1 KRAV TIL PERSONVERNERKLÆRING... 2 1.1
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerAvtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet
Side 1 av 7 Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet Avtale mellom Osen kommune og Arbeids- og velferdsetaten ved NAV Trøndelag Side 2 av 7 INNHOLDSFORTEGNELSE:
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerNTNU Retningslinje for tilgangskontroll
Retningslinje for tilgangskontroll Type dokument Retningslinje Forvaltes av Leder av IT-avdelingen Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerSIKKERHETSINSTRUKS - Informasjonssikkerhet
SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerInternkontroll i Gjerdrum kommune
Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerEnhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring
Side 1 av 5 Enhet for Intern Revisjon REVISJONSRAPPORT IT-tilgangsstyring Distribusjon: IT-direktøren OPA Kopi: Universitetsdirektøren Gjennomført februar - september 2013 Revisorer: Morten Opsal Blindern,
DetaljerINNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE
INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerTilgang til helseinformasjon: Praksis, lov, behov og system
Tilgang til helseinformasjon: Praksis, lov, behov og system Helseinformatikkuka i Trondheim 2006 Prosjektet iaccess, presentasjon 27. september iaccess, integrert tilgangskontroll Et bredt perspektiv på
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerVET DU NOK OM SIKRINGEN OG BESKYTTELSEN AV PERSONOPPLYSNINGENE DINE? PERSONOPPLYSNINGER OG HVORDAN VI BEHANDLER DEM
VET DU NOK OM SIKRINGEN OG BESKYTTELSEN AV PERSONOPPLYSNINGENE DINE? Telia Finance setter pris på din tillit til hvordan vi behandler personopplysningene dine. Vi vil her forklare hvordan vi behandler
DetaljerRetningslinjer for LYN Fotball Varslingsordning
Retningslinjer for LYN Fotball Varslingsordning Vedtatt av styret i LYN Fotball 7. november 2017 1. Innledning Lovendring i arbeidsmiljøloven som trådte i kraft 01.07.2017 innebærer at alle arbeidsplasser
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang
DetaljerVEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN
VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens
DetaljerPrinsipper for virksomhetsstyring i Oslo kommune
Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerRisikovurdering for folk og ledere Normkonferansen 2018
Risikovurdering for folk og ledere Normkonferansen 2018 Åsmund Ahlmann Nyre Informasjonssikkerhetsrådgiver Helse Midt-Norge IT Risiko «Effekten av usikkerhet knyttet til mål» (ISO 27001) «Antatt sannsynlighet
DetaljerSikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret
INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to
Detaljer4.2 Sikkerhetsinstruks bruker
4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til
DetaljerIKT-reglement for NMBU
IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap
DetaljerRisikostyring og internkontroll
Risikostyring og internkontroll Bankenes sikringsfond Høstkonferanse 2009 Arne H Sæther Statsutorisert revisor KPMG AS DnB Nor DnB Nor brøt loven, bløffet og overdrev..brudd på verdipapirhandelloven og
DetaljerVeileder for behandling av personopplysninger og informasjonssikkerhet i idretten
Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten Vedtatt av Generalsekretæren 20.12.2017 20. desember 2017 Side 1 av 7 Bakgrunn Digitalisering og bruk av IT-løsninger i
DetaljerHva betyr «Just-in-time» privileger for driftspersonalet?
Hva betyr «Just-in-time» privileger for driftspersonalet? Sivilingeniør Imran Mushtaq har vært involvert i prosjekter med meget høy grad av teknisk kompleksitet som krever lang erfaring og dyp kompetanse
DetaljerPolicy for Antihvitvask
Intern 1/ 5 Policy for Antihvitvask Besluttet av Styret i Sbanken ASA Dato for beslutning 13. desember 2018 Frekvens beslutning Årlig Erstatter Policy datert 01.11.2017 Dokumenteier Leder Kunde Spesialist,
DetaljerDatasikkerhet internt på sykehuset
Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerProsedyre for personvern
Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerPersonvern og informasjonssikkerhet ved anskaffelser
Personvern og informasjonssikkerhet ved anskaffelser Innledning 2 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis,
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerNorsox. Dokumentets to deler
Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.
DetaljerFagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)
Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling
DetaljerEgenevaluering av internkontrollen
Egenevaluering av internkontrollen Veiledning - egenevalueringsverktøy internkontroll Bakgrunn God praksis for internkontroll er beskrevet i flere rammeverk. COSO (Committee of Sponsoring Organizations
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerSammenligning av ledelsesstandarder for risiko
Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018 Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
Detaljerwww.pwc.no Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012
www.pwc.no Revisjonsplan 2012 og oppsummering interim Agenda Revisjonens målsetning og innhold Overordnet forretningsanalyse - punkter til diskusjon Risikovurdering og revisjonsplan Kommunikasjonsplan
DetaljerEgenevalueringsskjema
Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerInformasjonssikkerhet og personvern Definisjoner
Informasjonssikkerhet og personvern Definisjoner Gjelder for: Alle ansatte Vedtatt av: Rådmannen Dokumentansvarlig (Enhet): Interne tjenester Revisjonsintervall: Årlig Distribusjon: Intranett, hjemmeside,
DetaljerSikkert nok - Informasjonssikkerhet som strategi
Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007
DetaljerPersonvernerklæring for EVUweb - søkere
Personvernerklæring for EVUweb - søkere Sist endret: 21.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon som lar deg melde deg på kurs og andre arrangementer og å søke om opptak til Nord universitet.
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerSamarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene
Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene Avtale mellom Eksempel kommune og Arbeids- og velferdsdirektoratet DIGISOS samarbeidsavtale v. 1.0 Side 1 av 7 INNHOLDSFORTEGNELSE:
DetaljerEtiske retningslinjer
Etiske retningslinjer Dokumentnavn Etiske retningslinjer Hjemmel Lov om finansforetak og finanskonsern (Finansforetaksloven), 8-6, annet ledd og 13-5, første ledd. EU direktiv 2009/138/EF om Solvens II
Detaljer1.2. Vi lagrer ikke personopplysninger på våre servere med mindre det kreves for den pågående driften av denne Tjenesten.
Personvernerklæring Dato for siste endring: 14. januar 2017 1. Sammendrag. 1.1. STRATACT driver nettstedet http://stratact.org (kort sagt, Tjenesten). STRATACT er et østerriksk selskap som arbeider under
DetaljerHandlingsplan etter forvaltningsrevisjon fra EY november 2016 sak 33/16
Handlingsplan etter forvaltningsrevisjon fra EY november 2016 sak 33/16 Planen er å gjennomføre anbefalingene i løpet av første kvartal 2017. Det vil bli gjort egne vurderinger i forhold til om de er velegnede
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerHvordan gjennomføre og dokumentere risikovurderingen i en mindre bank
Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerStyreskolen. Prodekan Lars Atle Kjøde. Universitetet i Stavanger uis.no
Styreskolen Prodekan Lars Atle Kjøde Universitetet i Stavanger uis.no Innledning Side 2 Innledning Strategi Feedback Budsjett og planer => beslutninger Regnskap Handlinger Feedback Innledning Innledning
DetaljerBYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?
BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerSaksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen
DetaljerRollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).
Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi
DetaljerDet må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.
Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
Detaljer