Størrelse: px
Begynne med side:

Download ""

Transkript

1

2

3

4

5

6

7

8 2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter og avtaler. Universitetsdirektøren har det daglige ansvar for sikkerheten ved UiS, herunder fysisk sikkerhet, personalsikkerhet og informasjonssikkerhet. Eier av sikkerhetspolicy Universitetsdirektøren er eier av sikkerhetspolicyen (dette dokumentet). Universitetsdirektøren delegerer sikkerhetsrelatert dokumentasjon og signaturrettigheter til sikkerhetsansvarlig (CISO, Chief Information Security Officer). Alle endringer i dokumentet skal dokumenteres og signeres av sikkerhetsansvarlig. Sikkerhetsansvarlig Sikkerhetsansvarlig (CSO, Chief Security Officer) er hovedansvarlig for informasjonssikkerhet ved UiS. IT direktør har denne rollen (ref. kapittel 3.2.1). Systemeier Systemeier, i samråd med IT avdelingen, er ansvarlig for krav til anskaffelse, utvikling og vedlikehold av informasjon og relaterte informasjonssystemer. Alle typer informasjon skal ha en definert eier. Eier definerer hvilke brukere eller brukergrupper som skal ha tilgang til informasjonen og hva som er autorisert bruk av informasjonen. Systemansvarlig (IT-avdelingen) Systemansvarlige er ansvarlig for spesifikke områder av IT ved universitetet. Systemansvarlige er personer som forvalter UiS sine informasjonssystemer eller informasjon som er betrodd UiS fra andre parter. Hver enkelt type informasjon og systemer kan ha en eller flere dedikerte systemansvarlige. Disse er ansvarlige for å beskytte informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder dessuten sikkerhetsmekanismer i tråd med intensjonen. Systemansvarlig er synonymt med tjeneste koordinator. Brukere Ansatte og studenter er ansvarlige for å gjøre seg kjent med og rette seg etter UiS sitt ITreglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av den aktuelle informasjonen, eventuelt systemansvarlig. Konsulenter og kontraktspartnere Kontraktspartnere og innleide konsulenter skal skrive under taushetserklæring ved innsyn i sensitive forhold Kenneth Høstland Marina Davidian John Møst 8 av 22

9 3.0 STYRINGSSYSTEM FOR INFORMASJONSSIKKERHET VED UIS 3.1 Policy for informasjonssikkerhet Policy for informasjonssikkerhet (dette dokumentet) skal godkjennes og følges opp av Universitetsdirektøren, publiseres og formidles til ansatte og relevante eksterne aktører Sikkerhetspolicyen skal gjennomgås og oppdateres årlig eller ved behov etter prinsipper for ISMS (information security management system), som beskrevet i ISO/IEC 27001: Organisering av informasjonssikkerhet UiS sin sikkerhetsorganisasjon Alt ansvar relatert til informasjonssikkerhet skal defineres og fordeles Ansvaret innenfor sikkerhetsområdet er fordelt som følger: Det overordnede sikkerhetsansvaret ligger hos Universitetsdirektøren. IT direktør er delegert ansvaret for sikkerhet ved UiS, inkludert informasjonssikkerhet og ITsikkerhet. IT direktør dermed CSO (Chief Security Officer, dvs. hoved sikkerhetsansvarlig) ved UiS. Den enkelte avdeling og seksjon er ansvarlig for å implementere informasjonssikkerhet ved enheten. Lederne ved resultatenhetene skal utnevne egne IT-sikkerhetsansvarlige. HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til personaldata i henhold til personopplysningsloven. Utdanningsdirektøren har det utførende ansvar for informasjonssikkerhet knyttet til studentregisteret og annen studentrelatert informasjon. IT direktør har det utførende ansvaret for informasjonssikkerhet knyttet til IT-systemer og ITinfrastruktur. Driftssjef har det utførende ansvar for informasjonssikkerhet knyttet til bygningsmessig infrastruktur. HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til HMS-systemer. Universitetsdirektøren er behandlingsansvarlig for de ansattes personopplysninger. Den daglige behandlingsansvarlige er HR direktøren, som ivaretar myndighetskontakt i forhold til Datatilsynet. Norsk samfunnsvitenskapelig datatjeneste er personvernombud for forskningsrelaterte personopplysninger. Universitetsdirektøren har det overordnede ansvar for kvalitetsarbeidet, mens det operasjonelle ansvaret er delegert iht. ledelsesstrukturen. Prosjekter skal organiseres iht. prosjekthåndbok, der informasjonssikkerheten skal være definert. UiS sin informasjonssikkerhet vil jevnlig bli revidert gjennom internkontroll og ved behov med bistand fra UNINETT eller ekstern IT-revisor. UiS har et informasjonssikkerhetsforum som består av fakultetsdirektørene, IT-direktør og eventuelt IT revisor og andre ved behov. Sikkerhetsforumet skal gi universitetsdirektøren råd om tiltak som fremmer operasjonell informasjonssikkerhet i virksomheten gjennom Kenneth Høstland Marina Davidian John Møst 9 av 22

10 nødvendig engasjement og tilstrekkelig ressursbruk. Sikkerhetsforumet skal ha følgende oppgaver: o o o o Gjennomgå og godkjenne policy for informasjonssikkerhet med tilhørende dokumenter og generelle ansvarsforhold. Overvåke vesentlige endringer i truslene mot virksomhetens informasjonsaktiva. Gjennomgå og overvåke innrapporterte sikkerhetshendelser. Godkjenne større initiativ for å styrke informasjonssikkerheten Motstridende oppgaver og ansvarsområder skal segregeres for å redusere muligheter for uautorisert eller utilsiktet endring eller misbruk av virksomhetens eiendeler Formell kontakt med relevante myndigheter som har ansvar innenfor personvern og informasjonssikkerhet skal opprettholdes, slik som Datatilsynet og NORSIS mv Relevant kontakt med spesielle interessegrupper eller andre spesialistsikkerhets fora og yrkesorganisasjoner skal opprettholdes Informasjonssikkerhet skal hensyn tas og inkluderes i prosjektledelse, uavhengig av type av prosjektet. Mobile enheter og fjernarbeid Retningslinjer og understøttende sikkerhetstiltak skal vedtas for å håndtere risiko ved bruk av mobile enheter Retningslinjer og understøttende sikkerhetstiltak skal iverksettes for å beskytte informasjon som behandles eller lagres på fjern arbeids plasser. 3.3 Informasjonssikkerhet knyttet til personalet Før ansettelse Sjekk av bakgrunnen til alle som innstilles til stillinger ved UiS skal foretas iht. virksomhetsmessige krav og relevante lover og regler Kontrakter med ansatte og eksternt personell skal beskrive ansvar for informasjonssikkerhet. For ansatte gjelder Ledelsen skal kreve at alle ansatte og tredjeparts brukere pålegges krav til informasjonssikkerhet i henhold til etablerte retningslinjer (policy) og prosedyrer ved UiS. Dette gjelder blant annet taushetserklæring og IT reglement Alle ansatte og tredjepartsbrukere skal få tilstrekkelig opplæring og oppdatering i policy for informasjonssikkerhet og relevante retningslinjer og prosedyrer. Kravet til opplæring vil variere Brudd på policy for informasjonssikkerhet og retningslinjer vil normalt medføre sanksjoner. Det henvises til Tjenestemannsloven og gjeldende regler ved UiS UiS sin informasjon, informasjonssystemer og andre verdier (f.eks. telefon), skal kun benyttes til de formål de er bestemt for. Nødvendig privat bruk tillates Bruk av UiS sin IT-infrastruktur i egen næringsvirksomhet er under ingen omstendighet tillatt Kenneth Høstland Marina Davidian John Møst 10 av 22

11 Avslutning eller endring av tilsetting Informasjonssikkerhet ansvar og plikter som forblir gyldig etter opphør eller endring av ansettelsesforholdet skal defineres, formidles til den ansatte eller tredjeparts brukere og håndheves. 3.4 Forvaltning av eiendeler Ansvar for eiendeler Oversikt over alle informasjonsaktiva skal utarbeides og vedlikeholdes der det blant annet skal fremgå (ikke avgrenset til); informasjonens art (personopplysninger, sensitive personopplysninger, annen informasjon med betydning for informasjonssikkerheten), systemeier, hjemmel, hvor lagret og hvordan sikret Alle informasjonsaktiva skal ha entydig eierskap Retningslinjer for akseptabel bruk av informasjonsaktiva og IT systemer skal identifiseres, dokumenteres og implementeres Ansatte og tredjeparts brukere skal tilbakelevere virksomhetens eiendeler ved avslutning av arbeidsforholdet. Klassifikasjon av informasjon Informasjon skal klassifiseres med hensyn til regulatoriske krav, verdi, kritikalitet og konfidensialitet. Følgende kategorier for konfidensialitet gjelder: Sensitiv Informasjon av sensitiv art hvor uautorisert tilgang (også internt) kan medføre betydelig skade for enkeltpersoner, universitetet eller deres interesser. Sensitiv informasjon er her synonymt med forvaltningslovens «Unntatt Offentlighet» og sensitive personopplysninger iht. personopplysningslovens 2-8. Slik informasjon skal sikres i «røde» soner, ref. kapittel Intern Informasjon som kan skade UiS eller være upassende at tredjepart får kjennskap til. Systemeier avgjør tilgangs- og delingsmåte. Åpen Annen informasjon er åpen UiS skal ha prosedyrer for merking av informasjon og som er i tråd med klassifikasjonen Det skal utarbeides og implementeres prosedyrer for håndtering av eiendeler og som er i samsvar med virksomhetens klassifiseringssystem. Håndtering av lagringsmedier Det skal implementeres prosedyrer for administrasjon og håndtering av flyttbare lagringsmedier og som er i henhold til virksomhetens klassifikasjonssystem Lagringsmedier skal avhendes på en sikker måte når disse ikke lenger skal brukes og ved bruk av skriftlig prosedyre Kenneth Høstland Marina Davidian John Møst 11 av 22

12 Når lagringsmedier transporteres skal dette skje slik at lagringsmediet og informasjonen er beskyttet mot uautorisert tilgang, misbruk eller annen type skade. 3.5 Tilgangskontroll Virksomhetsmessige krav Virksomheten skal ha en skriftlig tilgangs- og passordpolicy som er basert på virksomhets- og sikkerhetsmessige krav og behov. Tilgangspolicyen skal revideres regelmessig. Tilgangspolicyen skal inneholde retningslinjer for endringsfrekvens, passordregler (minimumslengde, type karakterer som kan/skal benyttes mv.) og hvordan passordet kan lagres Brukere skal bare gis tilgang til nettverk og nettverks tjenester som de har blitt autorisert til å bruke. Tilgangskontroll for brukere Det skal benyttes en formell registrerings- og av-registreingsprosedyre for registrering av bruker tilganger Det skal benyttes en formell prosess for tilordning, endring og fjerning av brukertilganger for alle typer systemer og tilganger Tildeling og bruk av privilegerte tilgangsrettigheter skal være begrenset og kontrollert Tildeling av autentiseringsinformasjon som skal holdes skjult skal styres gjennom en formell prosess Eiere av informasjonsaktiva skal gjennomgå brukernes tilgangsrettigheter med jevne mellomrom Tilgangsrettighetene til virksomhetens informasjon for alle ansatte og tredjeparts brukere til skal fjernes ved opphør av arbeidsforholdet, kontrakt eller avtale, eller justeres ved endring. Brukernes ansvar Det skal kreves at brukere følger virksomhetens praksis for behandling av informasjon med beskyttelsesbehov. System og applikasjonstilgang Tilgang til informasjon og funksjoner i applikasjoner skal være begrenset i samsvar med retningslinjer for tilgangskontroll Der det følger av retningslinjer for tilgangskontroll, skal tilgang til systemer og programmer styres av en sikker påloggingsprosedyre Passord styringssystemer skal være interaktiv og skal sikre kvalitets passord Bruken av hjelpeprogrammer som kan være i stand til å overstyre systemet og applikasjonskontroller skal begrenses og kontrolleres Tilgang til kildekode til programmer skal begrenses Kenneth Høstland Marina Davidian John Møst 12 av 22

13 3.6 Kryptering Bruk av kryptering Virksomheten skal ha retningslinjer og prosedyrer for bruk av kryptering for beskyttelse av informasjon Virksomheten skal ha retningslinjer og prosedyrer for håndtering av kryptografiske nøkler og som varer i hele livssyklusen. 3.7 Informasjonssikkerhet knyttet til fysiske forhold Sikkerhetsområder Sikkerhets soner skal defineres og brukes for å beskytte områder som inneholder enten sensitive eller kritisk informasjon og informasjon prosessanlegg Sikre områder skal beskyttes med passende oppføring kontroller for å sikre at kun autorisert personell får tilgang. Følgende soneinndeling skal benyttes: Sikringsnivå Område Sikring Grønn Gul Rød Alt er i utgangspunktet tilgjengelig. Studentområder og kantine. Områder hvor det arbeidstiden kan forefinnes intern informasjon. Kontorlokaler, møterom, noen arkiver, noen tekniske rom slik som koblingsrom, skriverrom. Avgrensede områder hvor spesiell autorisasjon kreves. Datarom/serverrom/arkiver o.l. med sensitiv informasjon. Ingen adgangskontroll. All utskrift skal beskyttes med «Follow me»- funksjonalitet. All utskrift skal beskyttes med «Follow me»- funksjonalitet. Adgangskontroll: Hovednøkkel/nøkkelkort All utskrift skal beskyttes med «Follow me»- funksjonalitet. Adgangskontroll: Hovednøkkel/nøkkelkort Fysisk sikring av kontorer, rom og fasiliteter skal utformes og iverksettes Fysisk beskyttelse mot naturkatastrofer, ondsinnet angrep eller ulykker skal utformes og anvendes Prosedyrer for å arbeide i sikre områder skal utformes og anvendes Tilgangspunkter for eksempel leverings og lasteområder og andre steder hvor uvedkommende kan komme inn i lokalene skal kontrolleres og om mulig, isolert fra informasjon prosessanlegg for å unngå uautorisert tilgang Kenneth Høstland Marina Davidian John Møst 13 av 22

14 Sikring av utstyr Utstyr skal plasseres og beskyttes for å redusere risikoen fra miljøtrusler og farer, og muligheter for uautorisert tilgang Utstyr skal beskyttes mot strømbrudd og andre avbrudd grunnet svikt i fysiske rammebetingelser Strøm og telekommunikasjon kabling bærer data eller en fokusert satsing informasjonstjenester skal beskyttes mot avlytting, forstyrrelser eller skade Utstyr skal være riktig vedlikeholdt for å sikre dens fortsatte tilgjengelighet og integritet Utstyr, informasjon eller programvare skal ikke tas ut av virksomheten uten forhåndsgodkjennelse Ved anvendelse av virksomhetens verdier utenfor virksomheten skal det tas hensyn til de ulike risikoene ved å arbeide utenfor virksomhetens lokaler. Jf. POF Informasjon klassifisert som «Sensitiv» skal i prinsippet ikke lagres på bærbart datautstyr (f.eks. laptop, mobiltelefon eller minnepinner). Dersom det er nødvendig å lagre slik informasjon på bærbart utstyr, skal informasjonen passord beskyttes og / eller krypteres iht. IT-avdelingens retningslinjer Ved avhending eller omdisponering av IT utstyr skal alle sensitive data og programmer slettes Brukere skal sørge for at ubetjent utstyr har relevant beskyttelse Virksomheten skal ha en «Clear desk» policy for papirer flyttbare medier og «Clear screen» policy. 3.8 Sikkerhet knyttet til drift Operasjonelle prosedyrer og ansvarsområder Driftsprosedyrer skal dokumenteres og gjøres tilgjengelig for alle som trenger dem Endringer i virksomheten, forretningsprosesser eller informasjons prosessering og systemer med betydning for informasjonssikkerhet skal bli kontrollert Ressursbruken skal overvåkes, tunes og det skal gjennomføres kapasitetsplanlegging som hensyn tar fremtidige ytelseskrav Utvikling, test og vedlikehold skal separeres for å redusere risikoen for uautorisert tilgang eller uautoriserte endringer og for å redusere risikoen for feilsituasjoner Lokale IT løsninger ved fakultetene skal være rettet mot spesielle behov ved den enkelte enhet. Det skal legges til rette for at lokale IT løsninger ved UiS kan dra nytte av fellestjenester som tilbys via den sentrale IT tjenesten uavhengig av hvilken teknologi som benyttes lokalt og uavhengig av organisatorisk tilhørighet v/uis. Beskyttelse mot skadelig kode Tiltak for å beskytte mot ondsinnet og/eller skadelig kode skal inkludere deteksjon, forebygging og gjenoppretting Kenneth Høstland Marina Davidian John Møst 14 av 22

15 Sikkerhetskopiering Sikkerhetskopiering av informasjon, programvare og system «images» skal gjennomføres og testes regelmessig i henhold til de krav som foreligger for dette. Logging og overvåkning Logging av all autorisert bruk, forsøk på uautorisert bruk, feilsituasjoner og sikkerhets hendelser for øvrig skal logges. Loggene skal lagres i minst 3 måneder, Jf. POF Loggene skal være beskyttet mot manipulering og uautorisert tilgang Aktivitetene til systemadministratorer og systemoperatører skal loggføres og loggene skal beskyttes og gjennomgås periodisk Systemklokkene til alle relevante systemer skal synkroniseres til den samme referansekilden. Kontroll av programvarer Virksomheten skal ha prosedyrer på plass for kontrollere installasjon av programvarer. Kontroll av sårbarheter Sårbarheter i relevante systemer skal kartlegges jevnlig og risikoreduserende tiltak implementeres Det skal være retningslinjer som regulerer brukernes installasjon av programvarer. Informasjonssystemer og revisjonshensyn Krav til revisjon og verifikasjon av systemer skal være planlagt for å minimalisere driftsforstyrrelser. 3.9 Kommunikasjons sikkerhet Nettverksstyring Nett skal administreres og kontrolleres slik at informasjon i systemer og applikasjoner beskyttes Sikkerhetsmekanismer, tjeneste nivåer (SLA) og ledelsens krav til alle nettverkstjenester skal identifiseres og inngå i tjeneste avtaler, enten disse tjenestene er levert internt eller eksternt Informasjon, systemer, og brukere skal segregeres i henhold til klassifikasjon i klassemodell / soneforskrift. Utveksling av informasjon Virksomheten skal ha retningslinjer for utveksling av informasjon slik at dette skjer med tilstrekkelig sikkerhet Utveksling av informasjon med eksterne parter skal reguleres i egne avtaler Informasjon involvert i elektronisk meldingsformidling skal være tilstrekkelig beskyttet Krav til konfidensialitet og taushetserklæring skal identifiseres, beskrives og gjennomgås regelmessig Kenneth Høstland Marina Davidian John Møst 15 av 22

16 3.10 Systemutvikling og vedlikehold Sikkerhetskrav til informasjonssystemer Krav til Informasjonssikkerhet skal beskrives for nye informasjonssystemer og endringer i / videreutvikling av eksisterende Informasjon som sendes over offentlige nettverk skal beskyttes mot svindelforsøk, kontraktsbrudd og uautorisert innsyn eller modifikasjon Informasjon involvert i programtjenestetransaksjoner skal være beskyttet for å hindre ufullstendig overføring, feilsending, samt uautorisert endring, utlevering, uautorisert melding duplisering eller kopiering. Sikkerhet i utvikling og drifts prosesser Virksomheten skal ha retningslinjer for systemutvikling Endringer i utviklingsmiljøet skal følge gjeldende rutiner Ved endringer i driftsmiljøet skal virksomhetskritiske systemer gjennomgås og testes for å sikre mot uheldige følger av endringene Modifikasjoner i programvarepakker og systemer skal begrenses til det nødvendige og nøye kontrolleres Det skal etableres prinsipper for utvikling av sikre systemer og som dokumenteres, vedlikeholdes og gjennomføres i implementasjonsfasen Virksomheten skal etablere og tilstrekkelig beskytte utviklingsmiljøet og integrasjonsarbeidet og som dekker hele livssyklusen Virksomheten skal føre tilsyn med utviklingsarbeid som er utkontraktert Det skal gjennomføres testing av sikkerhetsfunksjonalitet i utviklingsfasen Det skal etableres kriterier for akseptansetesting for nye systemer, oppgraderinger og nye systemversjoner. Test data Test data skal velges med omhu, beskyttes og kontrolleres 3.11 Databehandlere Informasjonssikkerhet hos Databehandlere Krav til informasjonssikkerhet og tiltak for å redusere risiko forbundet med Databehandlers tilgang til UiS sine verdier skal beskrives i Databehandleravtalen Avtaler med leverandører som lagrer, behandler, overfører informasjon eller leverer infrastrukturtjenester, skal beskrive alle relevante krav til informasjonssikkerhet, herunder (ikke avgrenset til) o krav til konfidensialitet, integritet og tilgjengelighet, o beskrivelse av avtalt sikkerhetsnivå, o krav til fortløpende rapportering av avvik fra leverandør, o beskrivelse av hvordan virksomheten kan etterprøve at leverandørene oppfyller avtalene, o beskrivelse av virksomhetens rett til revisjon Kenneth Høstland Marina Davidian John Møst 16 av 22

17 o Exit avtale inklusive sletting av data, bistand til eventuell overgang til annen databehandler Databehandleravtaler skal inneholde krav som adresserer risikostyring i forhold til informasjonsbehandling og bruk av kommunikasjonstjenester. Tjenesteleveranse Virksomheten skal regelmessig overvåke, gjennomgå og revidere databehandlere / leverandører Endringer i tjenesteleveranser fra databehandlere og som inkluderer vedlikehold og forbedring av eksisterende retningslinjer, prosedyrer og kontroller skal hensyn ta kritikaliteten til informasjonen som behandles og systemene som benyttes. Det skal gjennomføres risikovurderinger ved endringer som har betydning for informasjonssikkerheten. Håndtering av sikkerhetshendelser og avvik Det skal etableres ansvar og prosedyrer for å sikre en rask, effektiv og ryddig respons til sikkerhetshendelser Sikkerhetshendelser skal rapporteres gjennom hensiktsmessige kanaler så raskt som mulig. Sikkerhetshendelser skal rapporteres til: abuse@uis.no eller linjevei eller direkte til CSO Ansatte og databehandlere som bruker virksomhetens informasjonssystemer og tjenester skal rapportere eventuelle observerte eller mistenkte sårbarheter i systemer eller tjenester Det skal vurderes om sikkerhets hendelser skal klassifiseres som avvik. Bruk av informasjonssystemer i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik Informasjonssikkerhetshendelser skal håndteres i henhold til dokumenterte prosedyrer Kunnskap fra analyse og skadereduksjon/løsning skal beskrives og benyttes til å redusere sannsynligheten eller konsekvensene av fremtidige hendelser Virksomheten skal ha prosedyre for bevis håndtering Kenneth Høstland Marina Davidian John Møst 17 av 22

18 3.12 Kontinuitetsplanlegging Virksomheten skal fastsette sine krav til informasjonssikkerhet og kontinuitet i kriser og katastrofer og som inkluderer sikkerhetsledelse. Tabellen nedenfor gjenspeiler BIA (Business Impact Analysis) prosessen som ble gjennomført i Klasse og kritikalitet Krise Katastrofe RTO RPO RTO RPO A Høy Innen 2 timer med full funksjonalitet og kapasitet 2t Med redusert drift innen 1 dag, 100% innen 7 dager. 2t B - Medium Inntil 8 timer med full funksjonalitet og kapasitet 1 døgn Innen 7 dager med full funksjonalitet og kapasitet 1 døgn C - Lav Inntil 1 uke med full funksjonalitet. 1 uke Innen 3 uker med redusert drift og innen 4 uker med full funksjonalitet og kapasitet 1 uke Virksomheten skal etablere, dokumentere, iverksette og vedlikeholde prosesser, prosedyrer og kontroller for å sikre den nødvendige nivå av kontinuitet i ugunstige situasjoner Kontinuitetsplanen(e) skal testes periodisk for å sikre at den er dekkende, og sikre at ledelse og ansatte forstår gjennomføringen. Redundans IT systemene skal tilstrekkelig redundans for å oppfylle kravene til tilgjengelighet Samsvar Samsvar med juridiske krav UiS skal følge gjeldende lovverk og kontrakter der virksomhetens tiltak for å etterleve disse skal dokumenteres Hensiktsmessige prosedyrer skal iverksettes for å sikre samsvar med lover, forskrifter og avtalefestede krav samt kravknyttet til åndsverk Registre skal være beskyttet mot tap, ødeleggelse, forfalskning, uautorisert tilgang og uautorisert utgivelse, i samsvar med regulatoriske, kontraktsmessige og forretningsmessige krav Personopplysninger skal beskyttes i henhold til Personopplysningsloven (POL) med forskrift (POF) Kryptering skal benyttes i samsvar med alle relevante avtaler, lover og regler, Jf. POF Kenneth Høstland Marina Davidian John Møst 18 av 22

19 Gjennomgang av informasjonssikkerheten UiS sitt internkontrollsystem for informasjonssikkerhet (planlagte og systematiske tiltak (Jf POL 14) skal gjennomgås av ekstern IT revisor ved planlagte intervaller eller ved vesentlige endringer Ledere skal jevnlig gjennomgå etterlevelse av informasjonsbehandling og prosedyrer innenfor sitt ansvarsområde i forhold til sikkerhetsrutiner, standarder og eventuelle andre krav til sikkerhet Informasjonssystemene skal jevnlig gjennomgås for samsvar med virksomhetens informasjonssikkerhet retningslinjer og standarder. 4.0 STYRENDE DOKUMENTER FOR SIKKERHETSARBEIDET 4.1 Formål med styrende dokumenter Styrende dokumenter for informasjonssikkerhet skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser UiS står overfor. Det skal eksistere dokumenterte krav og retningslinjer knyttet til informasjonssikkerhet basert på oppdaterte risikoanalyser. De øvrige systemer og infrastruktur skal være dekket av gode basis kontroller innen informasjonssikkerhet som til enhver tid skal etterleves. 4.2 Dokumentstruktur Nivå 1: Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. I tillegg gir denne en oversikt over de etablerte styrende dokumenter knyttet til informasjonssikkerhet og hvorfor dette er viktig. Dette er styrende dokumentasjon. Nivå 2: Overordnede retningslinjer og prinsipper for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policy. Dette er styrende dokumentasjon. Nivå 3: Standarder og prosedyrer for informasjonssikkerhet. Inneholder detaljerte retningslinjer for hvordan disse retningslinjer og prinsipper (nivå 2) skal implementeres. Dette bør etter hvert etableres for alle sentrale informasjonssystemer. Dette er gjennomførende og kontrollerende dokumentasjon. Hvorfor Hva Hvordan UiS har organisert dokumentstrukturen for beskrivelse av sin sikkerhetsarkitektur i 3 nivåer. Den etablerte struktur for styrende dokumenter for IKT-sikkerhetsarbeidet er som følger: Kenneth Høstland Marina Davidian John Møst 19 av 22

20 5.0 REFERANSER 5.1 Interne referanser prosedyrer for IT avdelingen Versjon Dato Kontroller / kommentar Ansvarlig IT-reglement for UiS ref. IT avdelingens intranett side - Risikostyrings rammeverk, ref. IT avdelingens intranett side For driftsdokumentasjon relatert til IT drift ref. egen Sharepoint site v/uis-it. For åpne dokumenter, HR reglement, Taushetserklæring, mv: IT direktør Alle IT direktør Alle Kenneth Høstland Marina Davidian John Møst 20 av 22

21 5.2 Eksterne referanser Referanser [1] ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet (ISO/IEC 17799:2005) [2] ISO/IEC 27001: 2005 Information security Security techniques Information security management systems Requirements [3] ISO/IEC 27002: 2005 Information security Security techniques Code of practice for information security management. [4] ISO/IEC 27005: 2008 Information security Security techniques Information security risk management. [5] Lov om personopplysninger: [6] Lov om arkiv (arkivlova): [7] Lov om årsregnskap m.v. (regnskapsloven): [8] Lov om statens tjenestemenn m.m. (tjenestemannsloven): html [9] Lov om universiteter og høyskoler (universitetsloven): html [10] Lov om elektronisk signatur (esignaturloven): html [11] Lov om opphavsrett til åndsverk m.v. (åndsverkloven): html [12] Kommuneveiledningen (Veiledning i informasjonssikkerhet for kommuner og fylker"): [13] Datatilsynet: Veileder for bruk av tynne klienter: er.pdf [14] Datatilsynet: Kryptering: aspx [15] Datatilsynet: Risikovurdering: 506_02.pdf _ pdf [16] OECDs retningslinjer - for sikkerhet i informasjonssystemer og nettverk - Mot en sikkerhetskultur. [17] Nasjonal Sikkerhetsmyndighet (NSM): Veiledning i risiko- og sårbarhetsanalyse (ROS) Kenneth Høstland Marina Davidian John Møst 21 av 22

22 [18] Senter for statlig økonomistyring: Risikostyring i staten Håndtering av risiko i mål- og resultatstyringen _ pdf [19] UFS 107: Krav til strømforsyning av IKT-rom. Fagspesifikasjon fra UNINETT. [20] UFS 108: Krav til ventilasjon og kjøling i IKT-rom. Fagspesifikasjon fra UNINETT. [21] UFS 122: Anbefalt IT-infrastruktur i UH-sektoren. Fagspesifikasjon fra UNINETT.(Utkast) Kenneth Høstland Marina Davidian John Møst 22 av 22

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Policy for informasjonssikkerhet ved U1S

Policy for informasjonssikkerhet ved U1S \I\ EkSLIÆrLf, \HLi: 05 AUG.2013 20in i Stava nger Policy for informasjonssikkerhet ved U1S Versjon:1.2 Dato: 10.04.2013 1.0 Policy for informasjonssikkerhet 4 1.1 Sikkerhetsmål 4 1.2 Sikkerhetsstrategi

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018

Detaljer

Høgskolen i Telemark. Policy for informasjonssikkerhet ved

Høgskolen i Telemark. Policy for informasjonssikkerhet ved Høgskolen i Telemark Policy for informasjonssikkerhet ved Dato: 26. mai 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse HiT0.40 03.11.2008 HiTs rev. forslag før workshop HiT0.41

Detaljer

Policy. for. informasjonssikkerhet. ved NMBU

Policy. for. informasjonssikkerhet. ved NMBU Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING... 1 1.1 Bakgrunn...

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Informasjonssikkerhetsprinsipper

Informasjonssikkerhetsprinsipper Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...

Detaljer

Informasjonssikkerhetspolitikk. ved

Informasjonssikkerhetspolitikk. ved ved Dato: 15.oktober 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 0.7 13.02.2008 Initiell versjon 0.8 22.10.2008 Bearbeidet versjon etter diverse høringer på e-post 0.81

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Sikkerhetspolicy for informasjonssikkerhet ved

Sikkerhetspolicy for informasjonssikkerhet ved Sikkerhetspolicy for informasjonssikkerhet ved Dato: 28.04 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 1.0 28.04.2009 Endelig versjon Forfatter og distribusjon Forfatter

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Universitetet i Agder. Policy for informasjonssikkerhet ved

Universitetet i Agder. Policy for informasjonssikkerhet ved UiA Universitetet i Agder Policy for informasjonssikkerhet ved Dato: 09.05.2011 Versjonskontroll Versjon Dato Endringsbeskrivelse 0.7 2009-11-19 Initiell versjon 0.8 2009-11-26 Etter workshop 2009-11-24

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

1 Våre tiltak. Norsk Interaktivs arbeid med personvern Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

RETNINGSLINJE for klassifisering av informasjon

RETNINGSLINJE for klassifisering av informasjon RETNINGSLINJE for klassifisering av informasjon Fastsatt av: Universitetsstyret Dato: 5.4.19 Ansvarlig enhet: Avdeling for IT Id: UiT.ITA.infosec.ret01 Sist endret av: -- Dato: 5.4.19 Erstatter: Kap. 3

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Informasjonssikkerhet i UH-sektoren

Informasjonssikkerhet i UH-sektoren Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet

Detaljer

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

VI BYGGER NORGE MED IT.

VI BYGGER NORGE MED IT. VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet

Detaljer

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er

Detaljer

Databehandleravtaler. Tommy Tranvik Unit

Databehandleravtaler. Tommy Tranvik Unit Databehandleravtaler Tommy Tranvik Unit Spørsmål Hva er databehandlere? Når er det lovlig å bruke databehandlere? Hva må til for at fortsatt bruk skal være lovlig? Databehandlere i GDPR Leverandører av

Detaljer

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Policy for informasjonssikkerhet og personvern i Sbanken ASA Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale Mellom (behandlingsansvarlig) og Nasjonalt senter for læringsmiljø

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og

Detaljer

Risikovurdering av Public 360

Risikovurdering av Public 360 Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

2.13 Sikkerhet ved anskaffelse

2.13 Sikkerhet ved anskaffelse 2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette

Detaljer

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021 Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017 GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

November Internkontroll og styringssystem i praksis - Aleksander Hausmann November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer