Svar på krav om redegjørelse - ny epostløsning

Størrelse: px
Begynne med side:

Download "Svar på krav om redegjørelse - ny epostløsning"

Transkript

1 NARVIK KOMMUNE Datatilsynet Boks 8177 Dep 0034 OSLO Vår ref. (oppgi ved henvendelse) Deres ref. Narvik, /1210-6/PEJA 11/ /FUE Svar på krav om redegjørelse - ny epostløsning Vi viser til Datatilsynets brev med krav om redgjørelse om ny e-postløsning i Narvik kommune datert 30.juni 2011, og vil her redegjøre for de spørsmålsstillingene som Datatilsynet ønsker svar på. Narvik kommune har gjennom mange år benyttet Lotus Notes som sin plattform for e-post. Denne løsningen har krevd stadig mer ressurser til sikker drift og vedlikehold og kommunen har med dagens økonomiske og ressursmessige situasjon funnet det formålstjenlig å se etter ny og bedre løsning for kommunens ansatte som krever mindre driftsressurser og følgelig er rimeligere i drift. Løsningen som kommunen valgte for e-post Google Apps er en moderne og framtidsrettet løsning som også har andre funksjoner for bedre og mer effektiv samhandling som kommunen kan velge å ta i bruk etter behov. I dette ligger det mulighet for effektiv deling av informasjon gjennom dokumenter, presentasjoner, regneark, skjema og verktøy for tegning. Ved å også ta i bruk disse verktøyene vil kommunalt ansatte få mulighet til å samhandle internt på en effektiv og ressursoptimal måte. Løsningen med Google Apps baserer seg på at drift skjer i Google sine datasenter, og følgelig vil data lagres i deres systemer. Google har beskrevet en høy prestandard for datasikkerhet gjennom sitt Security Whitepaper som er vedlagt. Kommunen har i denne prosessen hatt fokus på brukervennlighet, rasjonell drift, personvern og sikkerhet for lagrede data. IT drift og utvikling, Rådhuset, 8512 Narvik Tlf.: , Faks: E-post:

2 1. Spørsmål fra Datatilsynet om redgjørelse for hvilke personopplysninger som kommunen skal behandle i ny e-post løsning (Google Apps). sv: Det primære anvendelsesområdet er e-post til/fra- og mellom kommunens ansatte. Kommunens reglement er tydelig på at ingen person-sensitive opplysninger (innhold) skal sendes med e-post og dette har vært gjeldende også med tidligere system for e-post. Avsender har ansvar for e-postens innhold og for kommunalt ansatte vil risiko for å sende ut e-post med sensitive personopplysninger med a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger - begrenses ved systematisk opplæring og kommunikasjon av gjeldende interne rutiner. Hvis avsender er ekstern part er det som med tidligere system avsender selv som er ansvarlig for sending av innhold i egen e-post og har bekreftet ved innsending at dette faktisk kan sendes med e-post. Man kan allikevel forestille seg at avsender ikke innehar nok teknisk kompetanse til å vurdere om den elektroniske kommunikasjonskanalene er sikker nok for sitt bruk, men dette vil da også kunne sees i parallell til ordinær postforsendelse, der en vanlig avsender ikke kan anses å kunne vurdere gjeldende sikkerhetsnivå i postens distribusjonssystem. Kommunen har for øvrig en rekke IT-fagsystemer som benyttes av de tjenesteytende enhetene for utførelse av ulike kommunale tjenester og for saksbehandling på en sikker og akseptabel måte der systemmessig personvern og informasjonssikkerhet er ivaretatt. Personopplysningslovens 2 1. ledd viser til at personopplysninger defineres som opplysninger og vurderinger som kan knyttes til en enkeltperson. I denne konteksten (e-post konto for kommunalt ansatte) vil personopplysninger som fast (systemmessig) behandles som del av løsningen være opplysninger om fornavn og etternavn, samt kryptert passord til den enkelte kommuneansatte. Dette utgjør da sammen den kommunalt ansatte sin epostkonto hos Google. Da Google Apps også inneholder andre verktøy for effektiv intern samhandling gjennom deling av dokumenter, presentasjoner, regneark, skjema eller tegning- er det formålstjenlig for Narvik kommune å utnytte det fulle potensialet som ligger i verktøyet ved å vurdere andre anvendelser som kan gi ressursmessige, eller økonomiske gevinst for Narvik kommune og kommunens ansatte. Vi vil poengtere at det i dette ikke ligger noen form for saksbehandling da all saksbehandling foregår i andre kommunale fagsystemer. Noen få eksempler på områder som kan være aktuelt å benytte de øvrige verktøyene i Google Apps til er: a. Ferielister der navn på enhetsleder og kommunalt telefonnummer lagres sammen med tidsperiode for ferie. b. Rutiner og retningslinjer som skal være kjent for alle kommunalt ansatte (eks. Rutiner for bruk av Internett og e-post) c. Dokumenter for opplæring og formidling av kompetanse i organisasjonen. d. Register over IT systemer/fagapplikasjoner- med tilhørende navn på teknisk driftsansvarlig, systemeier og systemansvarlig. e. Rammeverk for interne avtaler om leveranse av tjenester mellom kommunale enheter - SLA (Service Level Agreement). f. Samstilling av økonomitall fra ulike enheter til sentral støttefunksjon i økonomienheten. g. Påmeldinger til felles samlinger og kurs for kommunalt ansatte. Side 2 of 11

3 De personopplysningene det vil være snakk om å lagre i ovennevnte eksempler gjelder kommunalt ansatte og innebærer navn, telefonnummer, e-postadresse og organisasjonstilhørighet. Alt dette er åpent tilgjengelige personopplysninger som også publiseres på kommunens websider. 2. Spørsmål fra Datatilsynet om risikovurderinger som kommunen har foretatt i anledning behandling av personopplysninger i Google Apps. sv: Det er gjennomført en helhetlig risikoanalyse tilknyttet innføringen av nytt IT-system som er gjennomgått i Kommunens informasjonssikkerhetsutvalg og vedlagt her i sin helhet. Liste over de forhold som er vurdert opplistes for ordens skyld allikevel her: a. En systematisk analyse av hvilke trusler opplysningene er utsatt for. b. Hvor stor sannsynlighet er det for at uvedkommende vil forsøke å få tilgang til opplysninger? c. Hvor stor er faren for at opplysninger blir endret? d. Hvor stor er faren for at opplysningene ikke er tilgjengelig når de behøves? e. Vurdere risikoen for at det kan skje systematiske eller menneskelige feil som påvirker sikkerheten rundt opplysningene. f. Er det fare for at opplysningene eksponeres for ytre fysisk påvirkning som vanninntregning, brann eller elektromagnetisme? g. Vurdere hvilke skadevirkninger det vil få dersom noen av de risikoene som knytter seg til behandlingen skulle materialisere seg. h. På bakgrunn av dette vurdere hvilke sikkerhetstiltak som må etableres for å oppnå kravet om tilfredsstillende informasjonssikkerhet. i. Sikkerhetstiltak både innenfor organisatoriske, fysiske og tekniske må beskrives. j. Vurdere hvordan sikkerheten knyttet til bruken av mobile enheter ivaretas. Risiko er i vedlegget beskrevet ut fra sannsynlighet/hyppighet (eks. sjelden..svært ofte) og skadeomfang/konsekvens (eks. ubetydelig..katastrofe). Det er verd å merke seg at det i flere tilfeller ikke kan beskrives noen sannsynlighet/hyppighet da det ikke forefinnes noe anvendbart referansemateriale for denne typen hendelser. Hovedområder for hvilke scenarier en slik løsning er utsatt for kan kort oppsummeres til: uønsket tilgang, tap av data, tjenesten (Google Apps) er ikke tilgjengelig- og at ansvar for tjenesten (inkludert sikkerhetsrevisjon) utydeliggjøres. Narvik kommune mener å ha gjennomført en grundig risikoanalyse tilknyttet tjenesten for e-post med Google Apps og gjennom egen trusselvurderingen som er inkludert i risikoanalysen. De emnene som tas opp i trusselvurderingen er: k. Identifisering risiko ved bekjentgjøring av fornavn og etternavn i e-postadresse. l. Autentisering gjennom kombinasjon av navn og passord fare for avsløring. m. Autorisasjon hvem har tilgang og utøver administrasjon for informasjonssystemet. n. Data-innbrudd fare for uautorisert tilgang. o. Kontinuitet planlagt eller ikke planlagt nedetid for tjenesten. p. Monitorering av hendelser mulighet til å oppdage uautorisert bruk. q. Lagring av informasjon innen EU eller USA 3dje parts innsyn. r. Exit overgang til annen leverandør. s. Kompromittering av sensitive opplysninger ved samhandling og deling. t. Mulige juridiske hinder ved iverksettelse av ny teknologi-plattform. Ved vurdering av risikobildet for flytting fra eksisterende løsning var det klart at fysiske lokaliteter og tilgang på teknologi-ressurser utgjorde en viktig faktor. I dette ligger det risiko for at organisasjonen ikke klarer å skaffe og vedlikeholde spesialkompetanse til drift av nok et Side 3 of 11

4 spesialisert IT-system, samt at eksisterende fysiske rammer tilsier at det på nåværende tidspunkt ikke er ønskelig å belaste kommunens datasentral ytterligere ved å tilføre nytt system for e-post. Google gjennomfører jevnlig sikkerhetsrevisjoner av egne systemer. Dette skjer ved at et 3. parts revisjonsfirma reviderer og tilgjengeliggjør sine funn i en revisjonsrapport. Narvik kommune har avtale med Google om å få tilgang til disse 3. parts revisjonsrapportene og vil gjennom innsyn i disse ta opp tema som kan være aktuelle i kommunens informasjonssikkerhetsutvalg. Gjennom systematisk fokus på hendelser og utfordringer tilknyttet bruk av ulike IT systemer i kommunens sikkerhetsutvalg bestående av kommunens sikkerhetsansvarlig samt representanter fra ulike områder og tillitsvalgte vil generelle tiltak for håndtering og sikring av personopplysninger ivaretas. Risiko tilknyttet ulike IT-systemer og menneskers behandling av opplysninger enten dette er på et fysisk eller elektronisk nivå vil alltid være tilstede men ved systematisk gjennomgang og fokus på bygging av kompetanse i organisasjonen er det mulig å minske risiko og i noen tilfeller eliminere denne helt. 3. Spørsmål fra datatilsynet om eventuell avtale inngått med Google direkte, samt oversikt over sikkerhetstiltak Google kan tilby for løsningen. Sv: I vedlagte Security Whitepaper beskrives databehandler (Google) sine strategier med flere lag av sikkerhet for datalagring, datatilgang og overføring. Dette bygger på kontroll over ti nøkkelkomponenter som beskrives kort her. All tekst under er utdrag hentet fra Google s dokument Security Whitepaper: Google Apps Messaging and Collaboration Products og er ment som hjelpetekst. For korrekte definisjoner om innhold og omfang- viser vi til orginalversjonen av Security Whitepaper (vedlagt). Google Corporate sikkerhets-policy. Grunnlaget for Google s engasjement for sikkerhet beskrives gjennom et sett av retningslinjer som dekker fysisk, konto, data, organisatoriske tjenester, nettverk og sikkerhet for datasystemer, applikasjonstjenester, systemtjenester, endrings-styring, hendelses-styring og data senter sikkerhet. Disse retningslinjene gjennomgås regelmessig internt hos Google for å sikre at de er hensiktsmessige og tilpasset. Organisatorisk sikkerhet. Google har opprettet et eget team med en ekspertgruppe innen informasjonssikkerhet, applikasjonssikkerhet og nettverkssikkerhet. Dette teamet er ansvarlig for å vedlikeholde selskapets forsvarssystemer, vedlikeholde prosesser tilknyttet sikkerhetsrevisjoner og bygging av sikker infrastruktur. Verdier klassifisering og kontroll. Google har en omfattende fokus på kontroll og praksis for å ivareta sikkerhet for kundeinformasjon. Google sine applikasjoner kjøres i et distribuert miljø der man i stedet for å samle kundedata på en server eller sett med servere- distribuerer kundedate over en delt infrastruktur sammensatt av Google sine egnenutviklede servere som er lokalisert på mange av Google sine datasenter. Google Apps benytter et distribuert filsystem utviklet for å håndtere store mengder data fra et stort antall maskiner. Brukerdata lagres strukturert i en stor distribuert database. Data deles opp i mange mindre fragmenter og spres utover mange systemer slik at at ingen data forsvinner hvis et del-system faller ut. Disse data-fragmentene gis også tilfeldige filnavn og lagres ikke i klar tekst slik at de ikke skal kunne leses av mennesker. Tilgang til data fra applikasjonsingeniører i en feilrettingssituasjon hos Google er basert Side 4 of 11

5 på streng kontroll der autentisering av personell skjer gjennom utstedelse av et eget x509 sertifikat. Videre fordrer administrativ tilgang til produksjonsdatabaser at oppkobling skjer ved bruk av PKI. (Public Key Infrastructure). Tilgang vil også alltid behovprøves. Personellsikkerhet. Google sine ansatte er påkrevd å oppføre seg i henhold til selskapets normer med hensyn til konfidensialitet, etikk, hensiktsmessig bruk og profesjonelle standarder. Ved ansettelse vil Google ikke bare verifisere utdannelse og tidligere arbeidsforhold, men vil også utføre referansesjekker internt og eksternt. Hvis mulig vil det gjennomføres rulleblad, kreditt, immigrasjon og sikkerhetssjekk. Omfanget av bakgrunnssjekk avhenger av hvilken posisjon som er aktuell. Alt personell gjennomgår opplæring innen sikkerhet ved oppstart. Alle ansatte hos Google er ansvarlig for å videreformidle hendelser innen sikkerhet og personvern til ansatte med spesielt ansvar for sikkerhet. Interne rapporteringsrutiner sikrer at ansatte anonymt kan rapportere enhver etisk problemstilling som oppstår. Fysisk og miljømessig sikkerhet. Google sine datasenter er geografisk distribuert og baserer seg på mange ulike fysiske sikringstiltak. Teknologi og sikkerhetsmekanismer som benyttes på disse lokasjonene kan variere ut fra lokale forhold som bygningsmessig lokasjon og regionale forhold. Datasenter vil alltid være utrustet i henhold til industristandard beste praksis og innebærer bruk av teknologi for tilgangskontroll, alarmsystem, interne og eksterne kamera samt sikkerhetsvakter. Alle kamera og alarmer overvåkes sentralt og områdene patruljeres regelmessig av sikkerhetsvakter ved bruk av sykler, Segway og T3 motion scootere. Det benyttes videre høyoppløselige kamera med videoanalyse og andre systemer for å oppdage og finne forsøk på innbrudd. Tilgang til et Google datasenter begrenses til Google ansatte, godkjent besøk og godkjent tredjepart som jobber i datasenteret. Retningslinjer for besøkende gjelder også for Googleansatte som ikke normalt har tilgang til produksjonsområdene. Google begrenser tilgang inne i datasenter basert på roller ikke posisjon. Dette resulterer i at selv øverste ledelse ikke har automatisk tilgang til Google sine datasenter. IT arkitekturen er bygget på overlapping og dublering av funksjoner for robusthet og kontinuerlig vedlikehold. For å støtte kontinuerlig drift 24/7 er datasentrene utrustet med redundant strømtilførsel der også dieselaggregater med generatorer tar over strømproduksjon ved utfall over lengre tid. Andre systemer som ivaretar fysisk sikring inkluderer kjøleanlegg i datarom og brannalarm. Side 5 of 11

6 Operasjonell sikkerhet. Skadelig programvare er en signifikant risiko i dagens IT miljøer. Google tar slike trusler mot eget nett og kunder seriøst, og benytter ulike metoder for å forebygge, oppdage og ufarliggjøre skadelig programvare. Strategisk innebærer første del av dette å forebygge mot infeksjon ved manuell og automatisert skanning ved å sjekke Google sin søke-index for webområder med skadelig innhold. Dernest tas det i bruk ulike antivirus skannere for å finne skadelig programvare som kan ha sluppet igjennom første skanning. Monitorering på interne systemer ivaretas ved innhenting av data om nettverkstrafikk, Google sine ansattes bruk av systemene og annen kjennskap til sårbarheter. Vurdering av sårbarhet håndteres fortløpende gjennom et eget team som jobber aktivt med scanning for å finne sikkerhets-trussler. Når en legitim trussel oppdages av sikerhetsteamet blir denne logget og prioritert etter alvorlighetsgrad og deretter tildelt en intern eier for videre oppfølgning. Innmeldte hendelser som kan påvirke konfidensialitet, integritet eller tilgjengelighet til systemets data- håndteres gjennom en egen prosess for sikkerhetshendelser. For å sikre at hendelser som gjelder informasjonssikkerhet får en rask behandling er et sikkerhetsteam tilgjengelig 24/7 som støtte for alt personell. Nettverkssikkerhet ivaretas av flere lage med forsvarsmekanismer. Dette for å beskyttenettverket fra forsøk på eksterne dataangrep. All datatrafikk må tilfredsstille Google sine krav til sikkerhet for å kunne overføres på nettverkene. Uautoriserte pakker blir automatisk droppet. Operativsystemene på Google sine servere er basert på en strippet og herdet variant av Linux som er tilpasset med kun de komponentene som er nødvendig for å kjøre Google sine applikasjoner. Systemet er designet for å ivareta full kontroll over både maskinvare og programvare. Sikkerhetsoppdateringer foretas på lik linje til hele den homogene infrastrukturen og hvis en modifisering oppdages som ikke er Google standard, vil systemet returnere automatisk til forrige tilstand. Slike automatiserte, selvhelbredende mekanismer er utformet med tanke på å kunne monitorere og oppdage forandringer som skaper ustabilitet og til å gi informasjon om uønskede hendelser i nettverket. Ved å benytte et robust system med rutiner for endringshåndtering der man benytter sentraliserte mekanismer for registrering, godkjenning og sporing av forandringer ønsker Google å minimalisere risiko for å introdusere uautoriserte modifikasjoner til Google sitt operativsystem. Tilgangskontroll. Alle ansatte i Google får ved ansettelse tildelt en konto for brukeridentifikasjon. Denne kontoen blir benyttet for å identifisere den ansattes aktivitet på Google sitt nettverk inkludert tilgang til ansattdata og kundedata. Ved ansettelse får en ansatt tildelt brukerident fra HR avdelingen og gis da tilgang til et sett med standard privilegier. Der det benyttes passord eller passordfraser vil systemene være satt opp til å benytte sterke regler for passord inkludert utløpsdato, restriksjoner for gjenbruk av passord og tilstrekkelig passord lengde. Kontroll med autorisasjon inkludert tilgangsrettigheter og nivå baseres på den ansatte sin jobb-funksjon og rolle. I dette benyttes konseptet med minst mulig privilegier og need to know for å matche nødvendig tilgang til definerte ansvarsområder. Ansatte i Google vil i utgangspunktet kun tildeles begrensede tilganger til interne ressurser som epost, intranett og ansatt-informasjon. Forespørsel om utvidet tilgang følger en formell prosess som innebærer en forespørsel og en tilgang gitt av data eller systemeier basert på Google sin sikkerhetsinstruks. Tilganger administreres av arbeidsflytverktøy som vedlikeholder inspeksjonslogg over alle endringer. Google har som policy å loggføre all administrativ tilgang til ethvert produksjonssystem og data. Hvis nødvendig er disse loggdata Side 6 of 11

7 tilgjengelig for sikkerhetspersonell hos Google. Systemutvikling og vedlikehold. Gjennom hele levetiden til applikasjoner, systemer og tjenester vurderer Google rutinemessig sikkerhet og implikasjoner tilknyttet disse. I dette ligger det at individer og team tilknyttet Google skal implementere passende sikkerhetsforanstaltninger i applikasjoner, systemer og tjenester som utvikles i samsvar med kjennskap til eventuell risiko. Google benytter en rekke tiltak for å sikre at de programvareprodukter og tjenestene som tilbys brukere holder en høy standard av sikkerhet. Gjennom interne konsulenttjenester til Google sine produkt og engineering team, tilbyr Google Security Team intern bistand innenfor: o Evaluering av sikkerhet og risiko ved prosjekter på design nivå. o Risikovurderinger tilknyttet implementering av produkter. o Gjennomgående konsultasjoner om risiko og mulige løsninger. Sikkerhet er betraktet som kjernen i design og utviklingsprosessene hos Google der utviklerteamene kan bygge på ulike rammeverk for et prosjekt. Google har utviklet og tilpasset sikkerhetsrevisjoner til ulike rammeverk. Hos Google har man innsett viktigheten- og behovet for at alle ressurser innehar kompetanse innen sikkerhet og tilhørende praksis ved programmering. Det gjennomføres derfor et kompetansebyggings program som i dag inkluderer: o Sikkerhetsopplæring for nye ingeniører o Utvikling og vedlikehold av omfattende dokumentasjon for sikkerhet ved programmering. o Målrettede referanser til dokumentasjon og opplæringsmateriell. o Tekniske presentasjoner om sikkerhetsspørsmål o Nyhetsbrev innen tema sikkerhet o Gjentagende konferanser med sikkerhet som tema. Sikkerhet på implementeringsnivå gjennomføres av medlemmer av Google Security Team og vil typisk gjennomføres i de senere stadier av utviklingsprosessen med fokus på sikkerhet ved implementering. Målsettingen er å validere at produktet er robust i forhold til relevante sikkerhets-trussler. Gjenvinning av data ved katastrofe, opprettholdelse av drift. For å minimalisere avbrudd på grunn av maskinvare som feiler, naturkatastrofer eller annet, har Google implementert et system for krisehåndtering ved alle sine datasenter. Dette systemet innebærer multiplisering av komponenter for å minimalisere risikoen for at enkeltkomponenter skal kunne forårsake nedetid: o Data replikering og backup til multiple systemer i datasenter og til sekundært datasenter. o Høy-hastighets forbindelser mellom flere geografisk spredte datasenter gir lavere risiko hvis en hendelse inntreffer i en hel region. o Ledelse av de ulike datasentrene er også distribuert for å gi en lokasjonuavhengig, 24/7 dekning og administrasjon. Det gjennomføres katastrofeøvelser jevnlig i henhold til katastrofeplan. Side 7 of 11

8 Regelverk og juridiske rammeverk. Google følger standard juridiske prosesser ved forespørsler fra tredjepart om innsyn i data. Innsyn kan bare oppnås gjennom en dokumentert juridisk prosess som ransakelsesordre, rettskjennelse, stevning gjennom et lovfestet vedtak, eller gjennom brukers samtykke. Ved mottak av en anmodning om utlevering av informasjon vil Google s juridiske team gjennomgå om forespørselen akseptabel er i henhold til gjeldende lovverk. Hvis forespørselen er juridisk valid er det vanlig prosedyre hos Google å informere den individuelle brukeren- eller organisasjonen om forespørselen unntatt i de tilfellene der en nødsituasjon oppstår eller der dette forhindres av lov. Google ivaretar en sterk personvern policy for å ivareta sikkerhet for kundedata. Denne kan finnes i sin helhet på : og er tilknyttet alle applikasjoner innenfor Google Apps. Mer detaljert om personvern finnes på Google legger vekt på at de ikke eier noen kundedata og ønsker å fortsette med det! Følgende prinsipper legges til grunn for håndtering av kundedata: o Google vil ikke dele data med andre med unntak som beskrevet i Google Privacy Policy. o Google tilrettelegger verktøy for kunder som ønsker å ta med seg data til annen leverandør. Brukerdata blir bare skannet eller indeksert i følgende tilfeller for å gi brukerne en tjeneste med høyere kvalitet: o Noen brukerdata som e-post og dokumenter blir skannet og indeksert slik at brukere innen domenet kan søke etter informasjon på egen Google Apps konto. o E-post skannes slik at Google kan gjennomføre filtrering av spam. o Med unntak av når brukere velger å publisere informasjon åpent er data som ligger i Google Apps ikke en del av den generelle google.com indeksen (søkemotoren). Scanning og indeksering foregår helt automatisk uten involvering fra mennesker. Google kan også velge å fjerne uønsket innhold som overtrer Terms of Service for Google Apps produktene. Safe Harbor Google overholder og opererer i henhold til Safe Harbor rammeverket og er registrert under dette avtaleverket hos det amerikanske handelskammer. SSAE16 (tidl. SAS70-II) Innebærer at det gjennomføres sikkerhetsrevisjoner hos Google utført av en uavhengig 3. part (revisor) etter en gitt industristandard. Formålet er å validere interne rutiner og bekrefte at disse gjennomføres effektivt og hensiktsmessig. Etter gjennomført revisjon vil revisjonsfirma fremskaffe rapport om disse forholdene. Side 8 of 11

9 Øvrige sikkerhetsmessige tilpassninger og muligheter I tillegg til ulike kontrollpunkter som er beskrevet av Google for å ivareta sikkerhet og personvern for kundedata, har Google Apps også flere opsjoner for sikkerhet som kan iverksettes av domene-administratorer (Narvik kommune): o Single Sign On (SSO) Gir administratorer muligheter for flere autentiserings mekanismer som sertifikater, brikker, biometrisk og annet. o Passord lengde og styrke administratorer kan sette nødvendig passordlengde for brukere på domenet. Indikatorer viser passordstyrke og kan hjelpe til med å identifisere passord som ikke holder tilstrekkelig nivå. o Administratorbasert Single Sign-out. Administratorer kan nullstille en brukers informasjonskapsler for å unngå uautorisert tilgang til konto. Dette vil logge brukeren ut fra alle nettlesersesjoner og fordrer ny autentisering ved neste pålogging. o Sikker nettleser oppkobling (SSL - HTTPS) gir administratorer mulighet for å stille inn for alle brukere på domenet at de skal benytte HTTPS protokollen ved oppkobling mot Google Apps. Informasjon som sendes via HTTPS er kryptert fra den forlater Google fram til mottakerens PC. o Ved bruk av retningslinjer for Transfer Layer Security TLS for Simple Mail Transfer Protocol - SMTP kan administratorer gjennomføre retningslinjer utformet for sikker sending og mottak av e-post mellom spesifikke domener. For eksempel kan en administrator spesifisere at all ekstern epost som sendes fra lønnskontoret til banken skal sikres med TLS eller settes på vent hvis TLS ikke kan benyttes. På samme måte kan administrator iverksette en sikker TLS forbindelse mellom domenet (narvik.kommune.no) og eksterne samarbeidspartnere som juridiske rådgivere og revisorer eller andre samarbeidspartnere der ansatte behøver økt sikkerhet. o Søk etter arkivert epost. Ved bruk av Google Message Discovery som er en del av Postini-tjenesten, kan man sette opp et sentralisert og søkbart epost arkivdepot for organisasjonen for søk gjennom arkiv og lagring av epost. Slutt på tekst fra Security Whitepaper Narvik kommune har i denne sammenhengen ikke inngått gjensidig avtale med Google om leveranse av løsning for e-post, men med systemintegrator Avalon Information Systems AB som i denne sammenhengen refererer til Google s dokument Google Apps Technical Support Services for beskrivelse av tjenestenivå og kundestøtte fra Google. Da leveransen for E-posttjenesten er basert på Coud-computing, er det heller ingen lokale ITinstallasjoner hos Narvik kommune som fordrer ekstra avtale om support fra leverandør ut over de tjenestenivåene som er listet i standardavtalen fra Google. 4. Spørsmål fra Datatilsynet om eventuell databehandleravtale mellom kommunen og Google, samt en beskrivelse av informasjonssystemets utforming og plassering. Sv: Informasjon om informasjonssystemets utforming og plassering er beskrevet i vedlagte Security Whitepaper. Av sikkerhetsmessige årsaker ønsker ikke Google å frigi detaljerte opplysninger rundt datasentrenes plassering ei heller tekniske detaljer som kan være kompromitterende i et sikkerhetsperspektiv. EU direktivet om beskyttelse av personopplysninger ble iverksatt i 1998 og forhindret utveksling av data med personopplysninger til land utenfor EU som ikke tilfredsstilte Europaunionens standard for tilstrekkelig personvern. Selv om både USA og EU deler felles målsetting om økt personvern for landenes innbyggere er det allikevel forskjellig tilnærming. For å bygge bro over disse forskjellene og frambringe et verktøy for å strømlinjeforme samarbeidet mellom USA og Europa, ble det utviklet et avtale-rammeverk for databehandling Side 9 of 11

10 av personopplysninger. Dette rammeverket kalles Safe Harbor (se vedlegg) og innebærer at organisasjoner og bedrifter som tilslutter seg dette overholder EU s krav til personvern. Google er listet her og forholder seg strengt til denne avtalen. Gjennom dokumentet Security Whitepaper, Google s tilslutning til Safe Harbour-avtalen og Narvik kommune s tilgang til sikkerhetsrevisjonsrapporter fra 3dje parts revisjonsfirma og sett i lys av at formålet med leveransen primært er E-post til kommunalt ansatte er det ønskelig at dette i sum skal tilfredsstille myndighetenes krav om databehandleravtale. 5. Spørsmål fra Datatilsynet om hvordan følgende problemstillinger er avklart med Google: a. Sikkerhetskopiering sv: Prosedyrer for sikkerhetskopiering er nærmere beskrevet i Security Whitepaper. Ved replikering og backup lagres data på flere systemer på samme datasenter og replikeres samtidig til et sekundært datasenter. Dette for å sikre at ingen data tapes ved katastrofer eller uønskede hendelser. b. Hvem hos Google som har tilgang til kommunens personopplysninger sv: Google beskriver i Security Whitepaper et rigid system for autorisasjon og tilgangskontroll før ansatte får tilgang til produksjonsdata. Det er utover dette ikke navngitt noen enkeltperson som har tilgang til kommunens data. Google beskriver også at håndtering av produksjonsdata for virussjekk og indeksering skjer maskinelt. c. På hvilken måte kommunen skal gjennomføre sikkerhetsrevisjon hos Google. sv: Kommunen har etter avtale med Google tilgang til SSAE 16 rapporter fra sikkerhetsrevisjoner fra 3.dje parts revisjonsfirma. Disse revisjonsrapportene mottas jevnlig etter hver revisjon- og skal rutinemessig taes opp til behandling i kommunens informasjonssikkerhetsutvalg. I tillegg til de punktene som er nevnt vil vi også generelt kommentere mulighetene i systemet for mobile brukere. Dette vil være et område som vil kreve langsiktig fokus på gode rutiner, kompetansebygging og systemmessige sikkerhetsmekanismer i kombinasjon. Dette er også en ny mulighet for mange brukere krever en ansvarlig holdning fra den enkelte ansatte i forhold til håndtering av mobile enheter ved bruk i det offentlige rom, tap eller tyveri. I løsningen fra Google ligger det systemmessige administrative funksjoner som innebærer at brukerdata på mobil enhet raskt kan slettes av administrator og at informasjon gjøres utilgjengelig for annen part. Dette er allikevel ikke å anse som noen erstatning for brukeropplæring og holdnings skapende arbeid men vil være et svært nyttig verktøy ved tap av mobil enhet. Vi håper dette gir et tilfredsstillende bilde av vurderingene tilknyttet ny e-postløsning i Narvik kommune. Med vennlig hilsen Per Jakobsen Enhetsleder IT Drift og Utvikling Side 10 of 11

11 Side 11 of 11

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Narvik kommune Postboks 64 8501 NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 1111/1210-6/PEJA 11/00593-7/SEV 16. januar 2012 Dato Varsel om vedtak - Ny e-postløsning i Narvik kommune - Google

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten.

«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten. Tjenestenivåprogram for Ariba Commerce Cloud-tjenester Tilgjengelighetsgaranti for tjenester Sikkerhet Diverse 1. Tilgjengelighetsgaranti for tjenester a. Bruk. Tilgjengelighetsgarantien for tjenester

Detaljer

PERSONVERNPOLICY. Sist oppdatert den 15. januar 2010

PERSONVERNPOLICY. Sist oppdatert den 15. januar 2010 PERSONVERNPOLICY Sist oppdatert den 15. januar 2010 Hva denne policyen omfatter Denne personvernpolicyen for gjester ("Policyen") beskriver hvordan vi i Rezidor Hotel Group, via vårt danske selskap Rezidor

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) 25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Etikk- og personvernshensyn i brukerundersøkelser

Etikk- og personvernshensyn i brukerundersøkelser www.nr.no Etikk- og personvernshensyn i brukerundersøkelser Workshop om brukerundersøkelser 21. mai 2010, Norsk Regnesentral (NR) Kristin S. Fuglerud Seniorforsker Agenda: personvern og etikk 2 1. Personopplysningsloven

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

OBC FileCloud vs. Dropbox

OBC FileCloud vs. Dropbox OBC FileCloud vs. Dropbox Whitepaper Innledning: utfordringer Ansatte tyr stadig oftere til usikrede, forbrukerrettede fildelingstjenester i nettskyen for å få tilgang til arbeidsdokumenter fra flere utstyrsenheter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt.

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. RETNINGSLINJER FOR PERSONVERN Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. Vi er forpliktet til å sikre

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Oslo kommune Utdanningsetaten

Oslo kommune Utdanningsetaten Utdanningsetaten P. Reinholdsen Dato: 22.03.2016 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 16/02641-2 Rohan Fininger, 95754230 Innsynshenvendelse etter Offentlighetslova - Konsekvenser ved valg

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering. 1 Hva? Hva er informasjonssikkerhet? Information security encompasses the study of the concepts, techniques, technical measures, and administrative measures used to protect information assets from deliberate

Detaljer

Personvern og sikkerhet

Personvern og sikkerhet Personvern og sikkerhet Formålet med personvern er å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger. Behandlingen av personopplysninger

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011 Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle

Detaljer

Skytjenester i skolen

Skytjenester i skolen Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren

Detaljer

Honda Maris Pay & Go. Personvernerklæring og policy for informasjonskapsler

Honda Maris Pay & Go. Personvernerklæring og policy for informasjonskapsler Honda Maris Pay & Go Personvernerklæring og policy for informasjonskapsler Honda anerkjenner viktigheten av ærlig og ansvarlig bruk av dine personlige opplysninger. Personvernerklæringen og policyen for

Detaljer

Vemma Europes personvernerklæring

Vemma Europes personvernerklæring Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS Personvern og CAT Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS Agenda 1. Visma Proplan CAT 2. Personvernproblematikk 3. Hvordan angripe Personvernproblematikk i CAT?

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Den mobile arbeidshverdagen

Den mobile arbeidshverdagen Den mobile arbeidshverdagen - Sikkerhetsutfordringer og løsninger Siv Hilde Houmb & Øystein Hermansen Kort om Secure-NOK AS Inkubatorbedrift ipark Stavanger Sikkerhetsspesialister Fokusområder Strategisk

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Her kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere.

Her kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere. Tilganger Her kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere. Ås kommunes nettverk Ås kommune har tre nettverk Administrasjonsnett

Detaljer

Webhuset AS VPS Avtalevilkår

Webhuset AS VPS Avtalevilkår Webhuset AS VPS Avtalevilkår VPS (virtuell server) er et produkt fra Webhuset AS. I dette dokumentet kan VPS omtales som produktet eller tjenesten og Webhuset AS omtales som leverandøren, Webhuset eller

Detaljer

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang. Haraldsplass DIAKONALE SYKEHUS Bergen Diakon isse k j em Datatilsynet Postboks 8177 Dep 0034 Oslo Deres ref: 12/00302-1 /HVE Vår ref: Bergen, 13.04.2012 Svar på varsel om vedtak - Uautorisert uthenting

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI Asylavdelingen (ASA) i UDI forbereder seg til høsten 2010 der avdelingen skal begynne med fullelektronisk saksbehandling (esak). UDI har innført en løsning

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Personvern eller vern av personopplysninger. Hvem vet hva om oss Personvern eller vern av personopplysninger Hvem vet hva om oss Vi er i fare overalt Opplysninger fra netthandel misbrukes Kan redusere netthandelen Skattelister brukes til å finne ofre - 2004 Pengeuttak

Detaljer

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur) NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle

Detaljer

Hva er vitsen med sikkerhetspolicies?

Hva er vitsen med sikkerhetspolicies? Hva er vitsen med sikkerhetspolicies? Ketil Stølen Oslo 23. november 2006 Innhold Hva er en policy? En policy er ikke en.. Overordnet struktur for en policy Hvordan klassifiseres policyer? Tre policymodaliteter

Detaljer

Revisjon av IKT-området i en mindre bank

Revisjon av IKT-området i en mindre bank Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Datasikkerhetserklæring Kelly Services AS

Datasikkerhetserklæring Kelly Services AS SPESIALISTER REKRUTTERER SPESIALISTER Datasikkerhetserklæring Kelly Services AS Innhold Vårt engasjement ovenfor personvern Hvilke personlige opplysninger samler vi inn? Hvem deler vi personopplysninger

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer

Tilbud ABAX elektronisk kjørebok

Tilbud ABAX elektronisk kjørebok Glass og Fasadeforeningen Fridtjof Nansens vei 19 N-0369 Oslo Tilbud ABAX elektronisk kjørebok Vi viser til hyggelig dialog, og har med dette gleden av å oversende tilbud på ABAX elektronisk kjørebok som

Detaljer

Digitaliseringsprogrammet - hva blir utfordringene for arkivet?

Digitaliseringsprogrammet - hva blir utfordringene for arkivet? Digitaliseringsprogrammet - hva blir utfordringene for arkivet? Geir Magnus Walderhaug leder av Norsk Arkivråds Region Øst Norsk Arkivråds seminar 5. november 2012 En erkjennelse Jeg er kunde hos Norsk

Detaljer

Handlingsplan - IKT-strategi for Rogaland fylkeskommune 2011 2014

Handlingsplan - IKT-strategi for Rogaland fylkeskommune 2011 2014 1 Innovasjon 1 Innovasjonsforum Etablere et internt innovasjonsforum som skal arbeide for å skape verdier for RFK ved å ta i bruk ny IKT-teknologi/nye IKT-systemer og nye metoder for å gjennomføre endringer

Detaljer

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Hva betyr egentlig personvern? Enkeltindividets rett til å bestemme over seg selv og sin egen kropp og retten til kontrollere hvem som skal få

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Hva, Hvorfor og litt om Hvordan

Hva, Hvorfor og litt om Hvordan Dokumentasjon Hva, Hvorfor og litt om Hvordan Basert på materiale fra SAGE og andre kilder Hva skal du dokumentere Dokumentere for ditt spesifikke miljø/behov Kilder som er eksterne er ikke tilgjengelig

Detaljer

Personvernpolicy for forbrukerkunder

Personvernpolicy for forbrukerkunder Personvernpolicy for forbrukerkunder 1. Kontrollør av filer med personlige data Tikkurila Norge AS (heretter kalt Tikkurila) Stanseveien 25 0976 Oslo Tlf.: (+47) 22 80 32 90 Faks: (+47) 22 80 32 91 2.

Detaljer