Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Transkript

1 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC Forholdsmessige krav om sikring av personopplysninger 2-2 Pålegg fra Datatilsynet 2-3 Sikkerhetsledelse 2-3 Sikkerhetsledelse Gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. For manuelle behandlinger som omfattes av personopplysningsloven, gjelder kun de generelle reglene om i lovens 13. Der det er fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd. Forholdet til Datatilsynet som offentlig tilsynsmyndighet. Eventuelle pålegg eller kriterier for risiko fra Datatilsynet skal følges Virksomhetens mål Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene følges. Sikkerhetsstrategi Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi Planlegging: Tiltak for å håndtere risiko og muligheter Planlegging: Risikovurdering Planlegging: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering Kontroll A.18.2.Revisjon 4.1 Virksomhetens kontekst: Forstå virksomheten og dens kontekst 4.2 Virksomhetens kontekst: Forstå interessenters behov og forventninger Kontroll A Kontakt med myndigheter Kontroll A.18: Samsvar med krav i regelverk og avtalevilkår 5.1 Ledelse: Ledelse og forpliktelse 5.2 Ledelse: Policy 6.2 Planlegging: Mål for og planlegging for å oppnå disse 5.1 Ledelse: Ledelsen og forpliktelse 5.2 Ledelse: Policy 5.3 Ledelse: Virksomhetenes roller, ansvar og myndighet 5.2 Ledelse: Policy 6.2 Planlegging: Mål for og planlegging for å oppnå disse 9.3 Evaluering av gjennomføring: Ledelsens gjennomgang 9.3 Evaluering av gjennomføring: Ledelsens gjennomgang

2 2-4 Risikovurdering 2-5 Sikkerhetsrevisjon 2-6 Avvik Risikovurdering Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for en. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. Første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres. Sikkerhetsrevisjon Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikker-hetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultat fra sikkerhetsrevisjon skal dokumenteres. Avviksbehandling Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultat fra avviksbehandling skal dokumenteres. 4 Virksomhetens kontekst Kontroll A.8.1 Forvaltning av aktiva: Ansvar for aktiva Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Planlegging: Tiltak for å håndtere risiko og muligheter Planlegging: Risikovurdering Planlegging: Risikovurdering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering e) Planlegging: Risikovurdering Planlegging: Risikohåndtering Planlegging: Risikovurdering Planlegging: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering 9.1 Evaluering av gjennomføring: Overvåking, 9.2 Evaluering av gjennomføring: Intern revisjon 9.1 Evaluering av gjennomføring: Overvåking, Kontroll A Leverandørforhold: Overvåkning og revisjon av tjenesteleverandør Kontroll A.18.2 Samsvar: Sikkerhetsrevisjon 10: Forbedring Kontroll A.16 Hendelseshåndtering 9.1 Evaluering av gjennomføring: Overvåking, 9.2 Evaluering av gjennomføring: Intern revisjon Kontroll A.16 Hendelseshåndtering Planlegging: Risikohåndtering 8.3 Drift Risikohåndtering Kontroll A Hendelseshåndtering: Læring av sikkerhetshendelser Kontroll A.17.1 Kontinuitetsplan: Kontinuitet Planlegging Risikovurdering 7.4 Støtte: Kommunikasjon 10.1 Forbedring: Avvik og korrigerende tiltak Kontroll A.16 Hendelseshåndtering

3 2-7 Organisering 2-8 Personell 2-9 Taushetsplikt Organisering Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Informasjonssystemet skal konfigureres slik at tilfredsstillende oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for en, skal utføres i henhold til fastlagte rutiner. Kompetanse og autorisasjon Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Taushetsplikt Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. 5.3 Ledelse: Roller, ansvar og myndighet 7 Støtte 5.3 Ledelse: Roller, ansvar og myndighet 7 Støtte 5.2 Ledelse: Policy 7.5 Støtte: Dokumentasjon 5.1 Ledelse: Ledelse og forpliktelse 5.3 Ledelse: Roller, ansvar og myndighet Kontroll A.14 Anskaffelse, utvikling og vedlikehold Kontroll A.14 Anskaffelse, utvikling og vedlikehold 5.3 Ledelse: Roller, ansvar og myndighet Kontroll A Organisering av : Informasjonssikkerhet roller og ansvar Kontroll A Organisering av : Arbeidsdeling Kontroll A.7.2 Personellsikkerhet: Under ansettelsesforholdet Kontroll A.9 Tilgangskontroll Kontroll A.9.2 Styring av brukertilgang 7.2 Støtte: Kompetanse 7.3 Støtte: Bevisstgjøring Kontroll A12.4 Driftssikkerhet: Logging og overvåkning 7.3 Støtte: Bevisstgjøring Kontroll A.7 Personellsikkerhet Kontroll A Personellsikkerhet: Vilkår og betingelser for ansettelse Kontroll A Personellsikkerhet: Disiplinærprosess Kontroll A Personellsikkerhet: Opphør eller endring av ansvar i ansvarsforhold Kontroll A Forvaltning av aktiva: Akseptabel bruk av aktiva Kontroll A Forvaltning av aktiva: Håndtering av aktiva Kontroll A Aksesskontroll: Bruk av hemmelig autentiseringsinformasjon Kontroll A Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer

4 2-10 Fysisk sikring 2-11 Sikring av konfidensialitet Taushetsplikten skal også omfatte annen informasjon med betydning for en. Fysisk sikring og adgangskontroll Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for en. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger. Sikring av konfidensialitet Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. 7.3 Støtte: Bevisstgjøring Kontroll A.7 Personellsikkerhet Kontroll A Personellsikkerhet: Vilkår og betingelser for ansettelse Kontroll A Personellsikkerhet: Disiplinærprosess Kontroll A Personellsikkerhet: Opphør eller endring av ansvar i ansvarsforhold Kontroll A Forvaltning av aktiva: Akseptabel bruk av aktiva Kontroll A Forvaltning av aktiva: Håndtering av aktiva Kontroll A Aksesskontroll: Bruk av hemmelig autentiseringsinformasjon Kontroll A Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer 7.3.c) Støtte: Bevisstgjøring Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A.11.2 Fysisk og miljømessig sikkerhet: Utstyr Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A Driftssikkerhet: Separasjon av miljøer for utvikling, testing og drift Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.9 Aksesskontroll Kontroll A.10 Kryptografi Kontroll A Driftssikkerhet: Beskyttelse av logginformasjon Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.14.3 Anskaffelse, utvikling og vedlikehold av systemer: Testdata Kontroll A.15.2 Leverandørforhold: Styring av leverandørers tjenesteleveranser

5 2-12 Sikring av tilgjengelighet Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for en. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet. Sikring av tilgjengelighet og planlegging av alternative løsninger Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for en. Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.9 Aksesskontroll Kontroll A.10 Kryptografi Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.14.3 Anskaffelse, utvikling og vedlikehold av systemer: Testdata Kontroll A.15.2 Leverandørforhold: Styring av leverandørers tjenesteleveranser Kontroll A.10 Kryptografi Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A Fysisk og miljømessig sikkerhet: Sikring av utstyr og aktiva utenfor organisasjonen Kontroll A Forvaltning av aktiva: Avhending av medier Kontroll A Fysisk og miljømessig sikkerhet

6 2-13 Sikring av integritet 2-14 Sikkerhetstiltak Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres. Uautoriserte endringer og ødeleggende program Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for en. Det skal treffes tiltak mot ødeleggende programvare. Sikkerhetstiltak Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Kontroll A.12.2 Driftssikkerhet: Beskyttelse mot ødeleggende programvare Kontroll A.16 Styring av sbrudd Kontroll A.12.3 Driftssikkerhet: Sikkerhetskopiering Kontroll A.12.2 Driftssikkerhet: Beskyttelse mot ødeleggende programvare Kontroll A.12.6 Driftssikkerhet: Styring av tekniske sårbarheter 7.3 Bevisstgjøring 8.3 Drift: Håndtering av srisikoene Kontroll A Organisering av : Arbeidsdeling Kontroll A Forvaltning av aktiva: Fysisk overføring av medier Kontroll A.9.2 Aksesskontroll: Styring av brukeraksess Kontroll A.9.4 Aksesskontroll: Kontroll av aksess til systemer og applikasjoner

7 Kontroll A.12.1 Driftssikkerhet: Driftsprosedyrer og ansvar Kontroll A.12.4 Driftssikkerhet: Logging og overvåking 2-15 Sikkerhet hos andre virksomheter Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres. Sikkerhet hos andre virksomheter Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i POL 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register (gjelder overføring til utlandet). Kontroll A.9 Aksesskontroll Kontroll A Organisering av : Arbeidsdeling Kontroll A.9.2 Aksesskontroll: Styring av brukeraksess Kontroll A.9.4 Aksesskontroll: Kontroll av aksess til systemer og applikasjoner 7.5 Støtte: Dokumentert informasjon 4.1 Virksomhetens kontekst: Fostå organisasjonens og dens kontekst 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 5.1 Ledelse: Ledelse og forpliktlese 6 Planlegging Kontroll A Kommunikasjonssikkerhet: Avtaler om informasjonsoverføring Kontroll A Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer Kontroll A Anskaffelse, utvikling og vedlikehold av systemer: Behovsanalyse og beskrivelse av krav til Kontroll A Anskaffelse, utvikling og vedlikehold av systemer: Utkontraktert utvikling Kontroll A Anskaffelse, utvikling og vedlikehold av systemer: Systemakseptansetest Kontroll A.16:1.3 Styring av brudd: Rapportering av svakheter i en Kontroll A Samsvar: Identifisering av gjeldende lovgivning og kontraktsmessige krav beskyttelse av personlig identifiserbar informasjon Kontroll A Samsvar: Samsvar med policyer og standard for sikkerhet 6.2 Planlegging: Informasjonssikkerhetsmål og planlegging for å oppnå disse

8 2-16 Dokumentasjon Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartner og leverandører, og jevnlig forsikre seg om at strategien gir tilfredsstillende. Dokumentasjon og lagring av rutiner og logger med hensyn til bruk av informasjonssystemene Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for en, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidsdokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for en. 7 Støtte 5.3 Ledelse: Virksomhetens roller, ansvar og myndighet 7.5 Støtte: Dokumentert informasjon 9.1 Evaluering av gjennomføring: Overvåkning, Kontroll A.12.4 Driftssikkerhet: Logging og monitorering 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 9.1 Evaluering av gjennomføring: Overvåkning, 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 9.1 Evaluering av gjennomføring: Overvåkning, Kontroll A.9 Aksesskontroll 3-1 Systematiske tiltak for behandling av personopplysninger Systematiske tiltak for behandling av personopplysninger 3-1, 1. ledd, 1. setn. Den behandlingsansvarlige skal etablere intern-kontroll i samsvar med personopplysningsloven , 1. ledd, 2. setn. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven , 2. ledd Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå.

9 3-1, 3. ledd Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for: 3-1 a) innhenting og kontroll av de registrertes samtykke, jf. personopplysningloven 8, 9 og 11, 3-1 b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven 11 bokstav a, 3-1 c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik, 3-1 d) oppfyllelse av begjæringer om innsyn og informasjon, jf. Personopplysningsloven 16 til 24, 3-1 e) oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. Personopplysningsloven 25 og 26, 3-1 f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. Person-opplysningsloven 31 til 33. g) iverksettelse eller opphør av behandling, h) for sletting av personopplysninger, i) for utlevering av personopplysninger til andre, j) for oppfyllelse av plikt til informasjon, k) innsyn, retting og supplering Dispensasjon Datatilsynet kan dispensere fra hele eller deler av dette kapittelet når særlige forhold foreligger. Avklaringer om eventuelle forhold som kan ha betydning for Evaluering av gjennomføring: Intern revisjon