Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015
|
|
- Turid Mikalsen
- 7 år siden
- Visninger:
Transkript
1 Risikovurderinger Øivind Høiem CISA, CRISK, ISO Lead implementer Sekretariat for informasjonssikkerhet, UNINETT SUHS-konferansen 2015
2 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet er muliggjøreren for å ta i bruk ny teknologi Personopplysninger Pasientopplysninger Banktransaksjoner Forskningsdata og annen konfidensiell informasjon
3 Hva er risikovurdering? Når vi foretar en risikovurdering vil man: Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet Vurdere risikoen sannsynlighet kombinert med konsekvens for hver uønskede hendelse Evaluere og håndtere risikoen ved å foreslå beskyttelses- eller kontrolltiltak som begrenser risikoen
4 Hvorfor skal vi gjennomføre risikovurdering? Opprettholde tillit til et system eller en tjeneste Overholdelse av rettslige plikter Opprettholde kvalitet på tjenester Vedlikeholde oversikt over informasjonseiendeler Beskytte ansatte, studenter, innbyggere Bidra til å beskytte kritisk infrastruktur Læring og spredning av kompetanse blant deltakerne i en ROS
5
6 Noen begreper Uønsket hendelse (trussel, risikoelement) En hendelse som kan komme til å påvirke sikkerheten på en negativ måte Sårbarhet Svakhet i et system, menneske eller en bygning som kan utnyttes av en trussel Sannsynlighet Et mål for hvor ofte en hendelse opptrer Konsekvens (skadeomfang) Konsekvens er følgen av en hendelse. Den kan innvirke på økonomi, omdømme, tap av personlig anseelse, liv og helse eller kritiske funksjoner, eller føre til rettslig påtale Risiko Risiko er et mål som kombinerer sannsynligheten og konsekvens av en hendelse.
7 Nye begreper vi må ta hensyn til Trusselaktør Hvem er en trussel? Hvem eller hva må vi beskytte oss mot? Motivasjon Hvorfor? Hva er det som driver trusselaktøren?
8 Trusselaktører «Nasjonalstater har både vilje og midler til å jobbe langsiktig for å oppnå sine mål» Generalmajor Roar Sundseth. Første leder av Cyberforsvaret Nasjonalstater Virksomheter industrispionasje «Vanlige» kriminelle (økonomisk vinning) Aktivister (Hactivists) (har kortsiktig fokus) Sporadiske hackere (nysgjerrighet, «ære og berømmelse) 10. november 2015 SLIDE 8
9 Roller Risikoeier Risikoeier har ansvar for risikoene ved en tjeneste eller et system. Det kan være tjeneste-/systemeier, linjeleder, prosjektleder eller andre. Risikoeier er ansvarlig for at ROSer kjøres og eier vanligvis tiltakene som iverksettes. Lokal ROS-koordinator Lokal ROS-koordinator koordinerer ROS-er. Rollen kan fungere som fasilitator, eller sørge for at den oppgaven utføres av andre. Lokal ROS-koordinator er ikke ansvarlig for at ROSer kjøres eller at tiltak iverksettes. Det ansvar har risikoeier. ROS-fasilitator Er ansvarlig for gjennomføringen av ROS-workshop. Man kan gjerne være to personer slik at en leder ROS-en og en noterer.
10 De viktigste rettslige reguleringene Regelverk med eksplisitte krav til risikovurdering Personopplysningsloven med forskrift e-forvaltningsforskriften Helseforskningsloven Regelverk med betydning for informasjonssikkerheten Forvaltningsloven Offentlighetsloven Arkivloven Regelverk som kan være aktuelle Helseregisterloven Pasientjournalloven
11 Personopplysningsloven med forskrift Gjelder all elektronisk behandling av personopplysninger som helt eller delvis skjer ved bruk av elektroniske hjelpemidler, manuelle personregistre som kan knyttes til en bestemt enkeltperson Formålet er å ivareta grunnleggende personvernhensyn
12 E-forvaltningsforskriften Gjelder elektronisk saksbehandling og kommunikasjon med forvaltningen Formålet er sikker og effektiv elektronisk kommunikasjon med og i forvaltningen samt å legge til rette for at enhver kan utøve sine rettigheter og oppfylle sine plikter overfor det offentlige
13 Regler som har betydning for informasjonssikkerheten Forvaltningsloven Taushetsplikt Partsinnsyn Offentlighetsloven Dokumenter/opplysninger som er unntatt eller kan unntas offentlighet Arkivloven med forskrifter Sikkerhetskopiering Fysisk sikring (skadeverk, innbrudd) Miljø (vann, fukt, temperatur, forurensning, osv.) Brann
14 Hvor ofte? Risikovurderinger bør gjøres jevnlig. Årlig for kritiske systemer. Sjeldnere for mindre kritiske. Det bør i tillegg gjøres en ROS-vurdering ved endringer av tjenester/systemer eller hvis "omgivelsene" rundt endrer seg.
15 ROS-prosessen ROS-prosessen kan deles opp i følgende aktiviteter: 1. Kartlegging av informasjonsaktiva med verdivurdering 2. Identifisering av uønskede hendelser (risikoelementer) 3. Identifisering av eksisterende tiltak 4. Vurdering av risikonivå (konsekvens og sannsynlighet) 5. Tiltak i forhold til risikoelementer 6. Kategorisering og prioritering av tiltak 7. Godkjenning av tiltak 8. Iverksetting og oppfølging av tiltak Aktivitet 2 til 5 gjøres i en ROS-workshop
16 ROS-workshop En ROS gjennomføres vanligvis som en workshop som kan ta noen timer eller opptil en dag Det bør være maksimum åtte deltakere Man bør ha en fasilitator som leder workshopen og en person som noterer ned det man kommer frem til Deltakerne bør ha kjennskap til tjenesten/systemet eller tilhørende infrastruktur, arbeidsprosesser osv. Gruppen kan være satt sammen av risikoeier, tjenesteeier, systemansvarlig, "superbruker" og tilsvarende roller. Man kan også ha med personer med generell kjennskap til for eksempel arkiv, økonomi, personal, IT, informasjonssikkerhet, eiendomsdrift eller studieadministrasjon
17
18 Risikomatrisen
19 Sannsynlighetsskala Frekvens Sjeldnere enn hvert 5. år Sjeldnere enn årlig Oftere enn årlig Flere ganger per halvår Letthet Relevante og fungerede sikkerhetstiltak finnes. Kan omgås av ansatte med privilegert tilgang og god kjennskap til tiltakene. Eksterne kan ikke omgå tiltakene uten intern hjelp. Relevante og fungerede sikkerhetstiltak finnes. Kan omgås av ansatte med normal tilgang og kjennskap til tiltakene. Eksterne behøver kompetanse og god kjennskap til tiltakene Sikkerhetstiltak er ikke effektive og målrettede. Kan omgås av ansatte uten spesielle ressurser eller kunnskap, eller av eksterne med normal kjennskap til tiltakene. Sikkerhetstiltak er ikke til stede eller er mangelfulle. Kan omgås av ansatte eller eksterne uten spesielle ressurser eller kjennskap til tiltakene. Motivering Ansatte med privilegert tilgang og spesiell kunnskap må opptre med forsett. Eksterne må ha spisskompetanse og samarbeide med ansatte. Ansatte med kjennskap til sikkerhetstiltakene må opptre med forsett. Eksterne må ha høy kompetanse og angripe sikkerhetstiltakene planmessig. Ansatte kan utføre sikkerhetsbrudd ved uaktsomhet (uten forsett). Eksterne må ha noe kompetanse og opptre med forsett. Både ansatte og eksterne uten spesiell kunnskap eller kompetanse kan utføre sikkerhetsbrudd ved uaktsomhet (uten forsett).
20 Konsekvensskala Økonomisk Tap opp til kr Tap opp til kr Tap opp til 8 millioner Tap over 8 millioner Omdømme Anses av en gruppe å ha utvist dårlig dømmekraft Anses lokalt som uaktsom Anses regionalt eller i sektoren som uansvarlig Anses nasjonalt som hensynsløs Kvalitet???? Personskader Trivielle skader, moderat psykisk påkjenning Skade som ikke krever langvarig behandling Skade som resulterer i langvarig behandling eller redusert førlighet Varig mén eller dødsfall, eller mange personer alvorlig skadet Miljøskader Mindre miljøskader som kan gjenopprettes uten omfattende ressursbruk Moderate miljøskader som kan utbedres til en overkommelig kostnad Større miljøskader som det koster mye å redusere Omfattende, varige eller uopprettelige miljøskader
21 Konsekvens i forhold til KIT Konfidensialitet Mangelfull logging av tilgang til personopplysninger Eksponering av enkeltindividers personopplysninger Eksponering av sensitive eller større mengder personopplysninger Eksponering av større mengder sensitive personopplysninger Integritet Uklart når eller hvordan ikke-kritisk informasjon sist ble oppdatert Inkomplett eller utdatert ikke-kritisk informasjon Viktig informasjon mangler eller er feil Kritisk informasjon mangler eller er feil Tilgjengelighet Opp til 1 arbeidsdag (eksamen/registrering: opp til 1 time) Opp til 5 arbeidsdager (eksamen/registrering: opp til 3 timer) Opp til 3 uker (eksamen/registrering: opp til 1 dag) Over 3 uker (eksamen/registrering: over 1 dag)
22 19. desember
23 Utfylling av ROS-skjema Risikoelement Beskriv risikoelementene Sårbarheter/ svakheter Beskriv sårbarhetene eller svakhetene risikoelementene utnytter Eksisterende beskyttelsestiltak Beskriv eksisterende beskyttelsestiltak. Eksempler: 2-nivå passordbeskyttelse. Tilgangskontroll til lokaler. Eksisterende kontrolltiltak Beskriv eksisterende kontrolltiltak. Eksempler: Gjennomgang av logger. Visuell inspeksjon av lokaler. Kategorisering For hver risiko vurderes sannsynligheten for at den skal inntreffe og konsekvensen av at den inntreffer på en skala fra 1 til 4 Risikonivå Risikonivået er en kombinasjon (summen) av sannsynlighet og konsekvens Tiltak Beskriv forslag til tiltak. Risikoelementer i rød sone utgjør en uakseptabel risiko. Det må foreslås tiltak som reduserer enten sannsynlighet eller konsekvens. I gul sone må det avveies om risikoen er akseptabel eller om tiltak er nødvendig.
24 Risikoområder Virksomhetens eierskap til IKT Overordnet informasjonssikkerhetspolicy og retningslinjer Organisering av informasjonssikkerhet Ressurser Kompetanse og ferdigheter Medarbeidersikkerhet Arkitektur Arbeidsprosesser Etablering og vedlikehold av portefølje Innovasjon Beslutningsprosesser ved IKT-investeringer Anskaffelse, utvikling og vedlikehold av IKT-systemer/tjenester Leverandørrelasjoner Håndtering av informasjonsverdier Tilgang- og adgangsstyring Drift og forvaltning Infrastruktur Programvare Datakommunikasjonssikkerhet Kryptografi Malware og logiske angrep Sosial manipulering Tyveri eller ødeleggelse Utro tjenere Fysiske og miljørelaterte områder Geopolitiske forhold Håndtering av informasjonssikkerhetshendelser Kontinuitetsplaner Etterlevelse av lover, regler og avtaler Kommunikasjon
25 Kilder til risikoelementer De viktigste kildene til risikoelementer som bør vurderes er: Tidligere risikovurderinger Tidligere sikkerhetshendelser Kjente sårbarheter som kan utnyttes Eksisterende sikringstiltak som kan omgås Generell kunnskap om sikkerhetstrusler på området Eventuelle eksisterende oversikter over relevante risikoelementer 10. november 2015 SLIDE 25
26 19. desember
27 19. desember
28 Risikohåndtering Etter at det er gjennomført risikovurderinger, er det avgjørende at risikoen for uønskede hendelser håndteres. Det innebærer at man iverksetter tiltak for hver uønsket hendelse med en risikofaktor som ligger over institusjonens nivå for akseptabel risiko. Risikohåndtingsmetoder: Redusere Godta Overføre, f.eks. forsikring Unngå, f.eks. avslutte den risikofylte aktiviteten Risikohåndteringsplan bør inneholde en beskrivelse av hvilken risiko og hvilke sikringstiltak som skal iverksettes. Sikringstiltak etableres av den eller de som har ansvaret for å håndtere risikoen.
29 ROSene er bidrag til årshjul for styringssystem for informasjonssikkerhet Informasjonssikkerhetsansvarlig (CISO) skal gjennom året løpende: Sørge for at risikovurderinger gjennomføres i henhold til plan for risikovurdering Følge opp at risikohåndteringsplanen oppdateres ved funn i risikovurderinger Følge opp at risikohåndteringsplanen blir satt ut i livet av de aktuelle aktørene
30 Ledelsens gjennomgang Til ledelsens gjennomgang skal CISO legge fram: Status for gjennomføring av risikovurderinger Status for gjennomføring av risikohåndteringsplanen For å tilfredsstille kravene til et styringssystem for informasjonssikkerhet må ledelsen: vurdere om dette rammeverksdokumentet behøver justeringer vedta en oppdatert plan for risikovurderinger følge opp eventuelle problemer med gjennomføring av risikohåndteringsplanen, enten med styringssignaler eller ved ressursfordeling
31 Sentrale ROSer av felles systemer i UHsektoren Universiteter og høyskoler er pålagt gjøre risikovurderinger av sine systemer/tjenester Mange av systemene er felles systemer for flere institusjoner, med sentral konfigurasjon og drift, og lokal konfigurasjon og opplegg for bruk Det er laget en veileder som inneholder Sekretariat for informasjonssikkerhets anbefaling for risikovurdering av felles systemer Utfordringen er å sørge for at de behandlingsansvarlige er tilstrekkelig involvert, og at risikovurderingen er tilstrekkelig forankret i sektoren, uten at hver institusjon skal måtte gjøre sin egen risikovurdering av det sentrale systemet fra grunnen av
32 Ansvarsforhold Den enkelte institusjon har, som behandlingsansvarlig, det fulle ansvaret for at det gjøres en risikovurdering av det felles systemet institusjonen benytter. Institusjonen står ansvarlig overfor Datatilsynet, Riksrevisjonen og eieren KD. UNINETT har et ansvar for å forvalte de felles systemene på en slik måte at institusjonene kan oppfylle sine forpliktelser, og bidra til at sikkerheten blir ivaretatt.
33 Deltakere i felles ROS UNINETT inviterer, i samråd med prioriteringsråd et for systemet, til deltagelse i et behandlingsansvarlig-utvalg for en ROS Det oppgis hvilke roller/funksjoner som bør være representert i et utvalg for systemet. Institusjonene foreslår medlemmer UNINETT setter sammen utvalget Det bør være en viss bredde av institusjoner representert. Det må være en god sammensetning med hensyn på roller i forhold til systemet Utvalget forelegges prioriteringsrådet til uttalelse Utvalget opptrer som de behandlingsansvarliges representanter under ROS
34 ROS-workshop og -rapport UNINETT fasiliterer ROS-prosessen med bistand fra Sekretariat for informasjonssikkerhet i UH-sektoren UNINETT utarbeider ROS-rapport i samråd med utvalget I rapporten skilles det mellom funn ved det sentrale systemet som krever sentrale tiltak, og faktorer som har med lokal konfigurasjon og bruk å gjøre, som hver institusjon må ta inn i sin internkontroll. UNINETT forelegger ROS-rapporten for prioriteringsrådet og arbeidsutvalget
35 Tiltakshåndtering Prioriteringsrådet gjør en vurdering av funn og tiltak fra ROS-en. De vedtar hvordan ROS-en skal følges opp UNINETT oversender ROS-rapporten til institusjonene, med prioriteringsrådets vurderinger og vedtak vedlagt UNINETT og systemets arbeidsgruppe er ansvarlige for å gjennomføre de vedtatte tiltakene som gjelder det sentrale systemet Hver enkelt institusjon følger opp funn og tiltak fra ROS-en som angår lokal konfigurasjon og bruk
Risikovurdering av Public 360
Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet
DetaljerVeileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren
Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Delområde av styringssystem for informasjonssikkerhet i UH -sektoren Versjon 1.0 1 Innholdsfortegnelse Forord...
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerVeileder: Risikovurdering av informasjonssikkerhet
Veileder: Risikovurdering av informasjonssikkerhet Informasjonssikkerhet og risikovurderinger Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerSUHS-2014 Med UNINETT i en digital fremtid. Petter Kongshaug, Adm. Dir.
SUHS-2014 Med UNINETT i en digital fremtid Petter Kongshaug, Adm. Dir. UNINETTs rolle i sektoren Vi er sektorens verktøy med spisskompetanse på å få til samarbeid om fellesløsninger gjennom; - Prioriteringsråd/Styringsgrupper
DetaljerRisikoanalysemetodikk
Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerNytt fra sekretariatet
Nytt fra sekretariatet Sikkerhetsforum 2013 Øivind Høiem, CISA CRISC Seniorrådgiver Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerRisikovurdering av cxstafettloggen
Risikovurdering Side 1 av 6 Risikovurdering av cxstafettloggen Haugesund kommune har gjennomført ei risikovurdering av informasjonssikkerheten i forbindelse med plan om oppstart av CX Stafettloggen. I
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerSUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)
SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre
DetaljerKvalitetssikring av arkivene
Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerRisiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess
Risiko og Sårbarhetsanalyse på NTNU Presentasjons av prosess 2 (Info)Sikkerhetsrisiko formål Utfører risikovurderinger for å: Redusere usikkerhet og kompleksitet for systemet Kartlegge uakseptabel risiko
DetaljerUH-sektorens utfordringer
UH-sektorens utfordringer Sikkerhetsforum 4.5.2017 Øivind Høiem, CISA CRISC ISO27001 Lead implementer UH-sektorens sekretariat for informasjonssikkerhet Åpenhet Beskyttelse Er vi enhetlige? Kultur og
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
Detaljer1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2
Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område
DetaljerRisiko- og sårbarhetsvurdering
Risiko- og sårbarhetsvurdering Risikovurdering av skytjenesten box.com Versjon: 0.3 Dato: 2013-31-08 Skrevet av: Rolf Sture Normann Utkast 0.3 Side 1 2013-31-08 Innholdsfortegnelse Innledning... 3 Bakgrunn...
DetaljerRisikovurdering for folk og ledere Normkonferansen 2018
Risikovurdering for folk og ledere Normkonferansen 2018 Åsmund Ahlmann Nyre Informasjonssikkerhetsrådgiver Helse Midt-Norge IT Risiko «Effekten av usikkerhet knyttet til mål» (ISO 27001) «Antatt sannsynlighet
DetaljerStrategi for informasjonssikkerhet
Strategi for informasjonssikkerhet 2019 2021 UiT Norges arktiske universitet Foto: 2018 Gartner. All rights reserved. Versjon: v 1.1 Innholdsfortegnelse 1. INNLEDNING... 3 2. MÅLBILDE... 4 3. MÅLBILDETS
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerOverordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT
Berlevåg kommune Overordnet ROS analyse Risiko og sårbarhetsanalyse for Beredskapsavdelingen Innhold INNLEDNING... 3 KATEGORISERING AV SANNSYNLIGHET OG KONSEKVENS... 3 STYRENDE DOKUMENTER... 3 VURDERING
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerInformasjonssikkerhet. Miniseminar om datakriminalitet 29. aug Rolf Sture Normann og Øivind Høiem
Informasjonssikkerhet Miniseminar om datakriminalitet 29. aug. 2013 Rolf Sture Normann og Øivind Høiem Om UNINETT samfunnsansvar åpenhet teknologientusiasme Det norske forskningsnettet Eid av Kunnskapsdepartementet
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerOverordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune
Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerGjelder fra: 19.08.2014. Godkjent av: Fylkesrådet
Dok.id.: 1.3.1.7.0 Metode beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 19.08.2014 Godkjent av: Fylkesrådet Dok.type: Styringsdokumenter Sidenr: 1 av 7
DetaljerInformasjonssikkerhetsprinsipper
Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer
DetaljerPolicy for informasjonssikkerhet ved HSN
Policy for informasjonssikkerhet ved HSN Side 1 av 15 Versjonskontroll Versjon Dato Endringsbeskrivelse HSN 1.0 16.09 2016 Policy for informasjonssikkerhet for HSN basert på Uninett/HiT-dokumenter bearbeidet
DetaljerStyringssystem for informasjonssikkerhet i Arbeidstilsynet
2 Styringssystem for informasjonssikkerhet i Arbeidstilsynet 11. Juni 2014 Bjørn S. Larsen Direktoratet for arbeidstilsynet bjorn.larsen@arbeidstilsynet.no 3 Drivere Riksrevisjonen 17-18 oktober 2011 Riksrevisjonen
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerStrategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerRISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET
RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerEtatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg.
Dok.id.: 1.3.1.7.0 Metode for beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 02.02.2016 Godkjent av: Camilla Bjørn Dok.type: Styringsdokumenter Sidenr:
DetaljerUNINETT-konferansen 2017
UNINETT-konferansen 2017 Erfaringer fra Sekretariatet for informasjonssikkerhet: landet rundt med ledelsessystem Rolf Sture Normann, leder Sekretariat for informasjonssikkerhet i UH -sektoren Startet i
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerINTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE
INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE Hva vi har fått til og hva gjenstår? Rikke Bødtker Skoe Senior rådgiver 8. Norske arkivmøte 8. april 2019 Foto: Thomas Widerberg
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden
Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerRETNINGSLINJE for klassifisering av informasjon
RETNINGSLINJE for klassifisering av informasjon Fastsatt av: Universitetsstyret Dato: 5.4.19 Ansvarlig enhet: Avdeling for IT Id: UiT.ITA.infosec.ret01 Sist endret av: -- Dato: 5.4.19 Erstatter: Kap. 3
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerHelseforskningsrett med fokus på personvern
Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett
DetaljerBergen kommunes strategi for informasjonssikkerhet 2011-2014
Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.
DetaljerUTS Operativ Sikkerhet - felles løft
UTS Operativ Sikkerhet - felles løft Olaf.Schjelderup@uninett.no 15 november 2016 Velkommen! 2 UNINETT Teknisk Samling høst 2016 Mandag 14.11 Tirsdag 15.11 10 9 Trådløst Mellomvare Operativ sikkerhet UH-Sky
DetaljerStyresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010
Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Møtedato: 14.-15.12.10 Møtested: Mo i Rana I oppdragsdokumentet 2010 heter det i pkt 8.1.2 Risikostyring og intern kontroll, at styret skal
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerStyresak 69-2015 Orienteringssak - Informasjonssikkerhet
Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerFra sikkerhetsledelse til handling ambisjoner og forventninger
Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4 Forventninger Statlige universiteter og høyskoler skal etterleve
DetaljerStatlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering
Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Gustav Birkeland, seniorrådgiver IRT: Nettverkssamling for hendelsesresponsteam i UH-sektoren, UNINETT fagsamling
DetaljerOppfølging av informasjonssikkerheten i UH-sektoren
Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerSikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013
Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerInternkontroll i mindre virksomheter - introduksjon
Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no
DetaljerStatlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering
Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Reidulf Fonn, seniorrådgiver Incident Response Team (IRT) heldagskurs, UNINETT fagdager 2017, 2. mai Departementets
DetaljerInformasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet
Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerHar du kontroll på verdiene dine
Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1 Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter
DetaljerSikkerhetskultur og informasjonssikkerhet
Sikkerhetskultur og informasjonssikkerhet i UH-sektoren Sikkerhet & Sårbarhet 2013 Øivind Høiem, CISA CRISC Seniorrådgiver Om Øivind Seniorrådgiver ved UHsektorens sekretariat for informasjonssikkerhet
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
Detaljer3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.
1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av
DetaljerInformasjonssikkerhet i UH-sektoren
Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerInformasjonssikkerhet. Øyvind Rekdal, 17. mars 2015
Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere
DetaljerAngrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening
Angrepet mot Helse Sør-Øst Norsk sykehus- og helsetjenesteforening 2019-06-06 Om Helse Sør-Øst Helse Sør-Øst består av elleve helseforetak, hvorav ni leverer pasientbehandling Helseregionen leverer spesialisthelsetjenester
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerKunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning
DET KONGELIGE KUNNSKAPSDEPARTEMENT Forsknings- og høyere utdanningsministeren Ifølge liste Deres ref Vår ref Dato 17/1224-7. januar 2019 Kunnskapsdepartementets styringsmodell for informasjonssikkerhet
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerInformasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019
Informasjonssikkerhet - Innføring velferdsteknologi Agder KiNS-konferanse Stavanger 4. 5. juni 2019 Nasjonalt mål: Velferdsteknologi er integrert i helse- og omsorgstjenesten i alle landets kommuner innen
DetaljerPersonvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit
Personvern og studieadministrasjon Sadia Zaka Juridisk seniorrådgiver Unit Hva er personvern? Retten til privatliv - Familie, hjem og korrespondanse Retten til å bestemme over egne personopplysninger Vern
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerNorges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU
Norges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU Basert på ISO/IEC 270001/02:2013 Innhold INNLEDNING 3 BEGREPER OG DEFINISJONER 5 1. STYRENDE DEL 8 1.1 Policy
Detaljer