Overordnet styringsdokument for informasjonssikkerhet i Hedmark fylkeskommune
|
|
- Lauritz Thorsen
- 6 år siden
- Visninger:
Transkript
1 Overordnet styringsdokument for informasjonssikkerhet i Hedmark fylkeskommune Vedtatt av Fylkesdirektøren, mars 2017
2 Innholdsfortegnelse 1 Innledning Om informasjonssikkerhet Om personvern Relevante lover/forskrifter Mål for informasjonssikkerhet Strategi for informasjonssikkerhet Organisering Årshjul og årsplan Ledelsens gjennomgang Personell og sikkerhet Beskyttelsesbehov Fysisk sikkerhet Risikovurderinger Avvikshåndtering Leverandører/samarbeidspartnere Systemteknisk sikkerhet Beredskap Dokumentendringer Dato Punkt Endring Endret av
3 1 INNLEDNING Alle offentlige virksomheter er pålagt risikobasert internkontroll på informasjonssikkerhet og håndtering av personopplysninger i henhold til eforvaltningsforskriften 15, personopplysningsloven 13 og personopplysningsforskriftens kapittel 3. Internkontrollen skal sikre at informasjonssikkerheten og personvernet ivaretas på et nivå og med den ressursinnsats virksomhetsledelsen mener er riktig. Det krever systematisk planlegging, organisering og strukturering. Hedmark fylkeskommune internkontrollsystem baserer seg i store trekk på Datatilsynets rammeverk og består av følgende deler: Overordnet styringsdokument informasjonssikkerhet (dette dokumentet). Dokumentet retter seg i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer som legges for informasjonssikkerheten. Gjennomførende elementer. Dokumentasjon, oversikter, rutinebeskrivelser, sikkerhetsinstrukser og andre dokumenter av betydning for informasjonssikkerheten. Kontrollerende elementer. Elementer som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger. 1.1 OM INFORMASJONSSIKKERHET Informasjonssikkerhet handler om å sikre informasjonens konfidensialitet, integritet og tilgjengelighet. Med dette menes: Konfidensialitet - Sikre at informasjon er utilgjengelig for uvedkommende. Dette gjelder både når opplysningene samles inn, overføres, lagres eller behandles på annen måte. Integritet sikre at informasjon ikke skal kunne endres eller ødelegges utilsiktet eller av uvedkommende. Tilgjengelighet sikre at informasjon er tilgjengelig for autoriserte brukere når det er bruk for opplysningene i henhold til det formål de er samlet inn for. 1.2 OM PERSONVERN Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Den 13. mai 2014 vedtok Stortinget å styrke vernet om den personlige integritet, ved å ta bestemmelsen om personvern inn i Grunnloven. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn. Uten retten til å ha et privatliv vil det ikke være mulig for det enkelte menneske å skape seg et rom til å utvikle refleksjoner og vurderinger på et selvstendig grunnlag, uten å bli forstyrret eller kontrollert av andre Hva er personopplysninger? Personopplysninger er opplysninger eller vurderinger som kan knyttes til enkeltpersoner, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. En av de nyere utfordringene for personvernet er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det.
4 Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet eller tiltalt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Personvern Sikre at innsamling, behandling, lagring og sletting av personopplysninger gjøres korrekt Tjenesteproduksjon Informasjonssikkerhet Sikre Konfidensialitet, Integritet og Tilgjengelighet (KIT) Arkiv og regnskap Øvrige forvaltningsoppgaver 1.3 RELEVANTE LOVER/FORSKRIFTER Fylkeskommunens hjemler og krav til informasjonsbehandling reguleres av følgende lover og forskrifter: Forvaltningsloven eforvaltningsforskriften Offentlighetsloven Arkivloven Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor Personopplysningsloven Personopplysningsforskriften Helseregisterloven Arbeidsmiljøloven Opplæringsloven Bokføringsloven Bokføringsforskriften Mer informasjon om lovene og forskrifter finnes på
5 2 MÅL FOR INFORMASJONSSIKKERHET Sikkerhetsmålene skal understøtte og sikre fylkeskommunens drift, allmenne tillit og omdømme i det offentlige rom ved å forebygge og begrense konsekvensene av uønskede hendelser. Sikkerhetsmålene beskriver Hedmark fylkeskommunes overordnete mål for beskyttelse av virksomhetens informasjonsbehandling mot interne og eksterne trusler av tilsiktet og utilsiktet art. Hedmark fylkeskommune har følgende mål for informasjonssikkerhet: 1. Informasjon skal behandles i henhold til krav i relevante lover og forskrifter. 2. Informasjonssikkerheten skal være forankret i Hedmark fylkeskommunes ledelse og ivaretas som en integrert del av organisasjonen. 3. Hedmark fylkeskommune skal sikre at medarbeidere som bruker fylkeskommunens informasjonssystemer har tilstrekkelig kompetanse for å ivareta virksomhetens sikkerhetskrav. 4. Fysisk sikring skal hindre at uautoriserte får adgang til lokaler der beskyttelsesverdig informasjon og sensitive personopplysninger lagres og behandles. 5. Tilgang til systemer og informasjon gis kun etter behov (Need to Know), og tilgang til systemer og informasjon for uvedkommende skal forhindres. 6. Hedmark fylkeskommune skal sikre at informasjonsbehandlingen er korrekt og at informasjon ikke forandres uten lovlig tilgang. 7. Hedmark fylkeskommune skal sikre tilgjengelighet til informasjon og informasjonssystemer for de personer som er autorisert. 8. Det skal være mulig å spore uønskede hendelser. 9. Det skal være rutiner for å håndtere uønskede hendelser som også inkluderer systematiske læreprosesser slik at sannsynlighet for tilsvarende eller gjentatte hendelser reduseres.
6 3 STRATEGI FOR INFORMASJONSSIKKERHET Strategien omfatter grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og brukere avklares her. Sikkerhetsstrategien gjør rede for organisatoriske og tekniske strategiske valg, og må være utformet på en måte som gjør at de ansatte forstår hva ledelsen har bestemt. Strategien beskriver hvilke virkemidler virksomheten velger å bruke for å nå målene. Det kan velges ulike strategier for å tilfredsstille samme mål. 3.1 ORGANISERING Daglig leder er ansvarlig for at lovverkets krav følges. Dette innebærer blant annet å sørge for at internkontroll etableres og etterleves. For Hedmark fylkeskommune betyr dette fylkesrådet. Operativt ansvar for daglige arbeidsoppgaver i forbindelse med internkontroll kan delegeres videre, men ansvaret i forhold til loven kan ikke delegeres. Det operative ansvaret for informasjonssikkerheten i Hedmark fylkeskommune er organisert på følgende måte: Fylkesrådet Fylkesdirektør Hanne V. Søberg Informasjonssikkerhetsansvarlig Porteføljeforvalter Endre Hjelseth Behandlingsansvarlige for personopplysninger Se delegasjonsreglement Systemeiere Virksomhets- og enhetsledere Seksjonsleder teknologi Yngve Nordseng Regnskapsleder Ottar A. Persen Arkivleder Daiva Skoglund Fylkestannlegen Claes T. Næsheim Informasjonssikkerhetsansvarlig Informasjonssikkerhetsansvarlig har et overordnet utøvende ansvar for informasjonssikkerheten i Hedmark fylkeskommune. Ansvaret innebærer å organisere, koordinere og styre informasjonssikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at informasjonssikkerheten vedlikeholdes i alle ledd. Informasjonssikkerhetsansvarlig har videre myndighet til blant annet å kunne gjennomføre opplæring i informasjonssikkerhet, risikovurderinger, sikkerhetstester, avvikshåndtering, iverksette korrigerende og andre sikkerhetsrelaterte tiltak. Informasjonssikkerhetsansvarlig rapporterer til fylkesdirektøren i spørsmål som omhandler informasjonssikkerhet.
7 Informasjonssikkerhetsansvarlig skal: Utarbeide og vedlikeholde regime for internkontroll. Utarbeide nødvendige sikkerhetsinstrukser. Påse at de gjeldende sikkerhetsstrategi, instrukser og rutiner blir fulgt. Påse at underlagte sikkerhetsledd har klart definerte oppgaver/forhold for å utøve sine funksjoner, og virkelig utøver disse. Utføre ikke anmeldte inspeksjoner på dag- eller nattid på kontorer, møterom og andre lokaler han/hun finner grunn til å inspisere. Påtale mislighold muntlig eller skriftlig, avhengig av misligholdets karakter. Sørge for at alle ansatte har kjennskap til regimet for Internkontroll og tilhørende sikkerhetsbestemmelser, instrukser og rutiner. Sørge for at avvik håndteres i tråd med retningslinjene Porteføljeforvalter Porteføljeforvalter har et overordnet ansvar for koordineringen av digitaliseringen i Hedmark fylkeskommune. Porteføljeforvalter rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Porteføljeforvalter skal: Utarbeide og vedlikeholde oversikt over fylkeskommunes IT-systemer med tilhørende systemeiere og systemansvarlige. Bistå informasjonssikkerhetsansvarlig i forbindelse med prioritering av tiltak Behandlingsansvarlige for personopplysninger De behandlingsansvarlige er ansvarlig for at personopplysningsloven og personopplysningsforskriften følges. Reglement for delegert myndighet i Hedmark fylkeskommune definerer hvem det operative ansvaret delegeres til innen ulike personkategorier. Behandlingsansvarlige rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Behandlingsansvarlige skal: Bestemme formålet med fylkeskommunens behandlinger av personopplysninger. Utarbeide og vedlikeholde oversikt over behandlinger av personopplysninger og hvilke hjemler som ligger til grunn. Påse at det er utarbeidet rutiner både for oppfyllelse av virksomhetens plikter og de registrertes rettigheter. Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig og systemeiere. Etablere og følge opp nødvendige databehandleravtaler med leverandører og samarbeidspartnere i samarbeid med systemeiere og informasjonssikkerhetsansvarlig.
8 3.1.4 Systemeiere Systemeiere har ansvar for systemteknisk sikkerhet i de informasjonssystemene de er satt til å forvalte. Dette innebærer at informasjonssystemet tilfredsstiller beskyttelsesbehovet for informasjonen som behandles i systemet. Det utøvende ansvaret kan delegeres videre til systemansvarlige. Systemeiere rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Systemeiere skal: Kartlegge beskyttelsesbehovet for systemene med utgangspunkt i beskyttelsesbehovet til informasjonen som behandles. Ulike delsystemer/moduler kan ha ulikt beskyttelsesbehov. Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig og behandlingsansvarlige. Utarbeide driftskrav til systemene og påse at kravene blir fulgt. Utarbeide og vedlikeholde oversikt over tilganger til systemene. Utarbeide rutiner for bruk av systemene og påse at rutinene blir fulgt. Gjennomføre systematiske opplæringstiltak. Etablere og følge opp nødvendige SLA-avtaler med leverandører og samarbeidspartnere i samarbeid med informasjonssikkerhetsansvarlig Virksomhets- og enhetsledere Virksomhets- og enhetsledere har ansvar for at den fysiske informasjonssikkerheten i de aktuelle lokalene er ivaretatt og at kravene til personell og sikkerhet er ivaretatt. Virksomhets- og enhetsledere rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Virksomhets- og enhetsledere skal: Utarbeide og vedlikeholde oversikt over tilganger lokalene. Sørge for adgangskontroll og alarm i tråd med sikkerhetsstrategien. Følge opp kravene til personell og sikkerhet for sine ansatte Seksjonsleder teknologi Seksjonsleder teknologi har ansvar for systemteknisk sikkerhet på fylkeskommunens nettverk, infrastruktur og datamaskiner. Seksjonsleder teknologi rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Seksjonsleder teknologi skal: Utarbeide og vedlikeholde driftsrutiner med utgangspunkt i driftskrav, samt påse at rutinene blir fulgt. Utarbeide og vedlikeholde driftsdokumentasjon. Utarbeide og vedlikeholde oversikt over tilganger til felles infrastruktur og systemløsninger der det ikke er definert andre systemeiere. Gjennomføre systematiske opplæringstiltak av driftspersonell.
9 Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig Regnskapsleder Regnskapsleder har ansvar for at kravene til informasjonssikkerhet i bokføringsloven og bokføringsforskriften blir ivaretatt. Regnskapsleder rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Regnskapsleder skal: Påse at det er utarbeidet rutiner for oppfyllelse av virksomhetens plikter. Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig og systemeiere Arkivleder Arkivleder har ansvar for at kravene til informasjonssikkerhet i arkivloven blir ivaretatt. Arkivleder rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Arkivleder skal: Påse at det er utarbeidet rutiner for oppfyllelse av virksomhetens plikter. Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig og systemeiere Fylkestannlegen Fylkestannlegen har ansvar for at kravene til informasjonssikkerhet i helseregisterloven blir ivaretatt. Fylkestannlegen rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Fylkestannlegen skal: Sørge for at tannhelsetjenesten i Hedmark fylkeskommune benytter «Norm for informasjonssikkerhet helse og omsorgstjenesten» for internkontroll. 3.2 ÅRSHJUL OG ÅRSPLAN Årshjul skal benyttes for å sikre at årlige oppgaver blir gjennomført og kontinuerlig forbedring pågår. Årshjulet deles opp i tertialer og følger kalenderåret fra januar til desember. Det skal utarbeides en detaljert årsplan basert på årshjulet med utgangspunkt forrige års resultater. Planen skal være klar til ledelsens gjennomgang.
10 3. TERTIAL Opplæring og holdningsarbeid Utarbeide årsplan for neste år Oppfølgingstiltak Avviksbehandling 1. TERTIAL Ledelsens gjennomgang Dokumentrevisjon Avviksbehandling 2. TERTIAL Risikovurderinger Øvelse Egenkontroll Avviksbehandling 3.3 LEDELSENS GJENNOMGANG Ledelsen skal årlig gjennomgå internkontrollsystemet. Ledelsen skal kontrollere at internkontrollen er i samsvar med virksomhetens behov og eventuelt oppdatere mål, strategi og organisering. Ved ledelsens gjennomgang deltar fylkeskommunens strategiske ledelse sammen med de som har operativt ansvar (ref. punkt 3.1). I ledelsens gjennomgang representeres systemeiere av porteføljeforvalter og rektorene av rektorenes representant i ledermøtet. Praktisk organisering av gjennomgangen, utarbeidelse av referat og iverksetting av eventuelle tiltak delegeres til informasjonssikkerhetsansvarlig Hensikt Hensikten med ledelsens gjennomgang er: Følge opp de mål som er satt og gjøre korrigerende tiltak. Følge opp iverksatte korrigerende tiltak. Sørge for at internkontrollen er hensiktsmessig, tilstrekkelig, effektiv og at den tilfredsstiller relevante krav i lovverket Gjennomføring Følgende momenter skal minimum være med i ledelsens gjennomgang: 1. Detaljert gjennomgang av de alvorligste hendelsene og avvikene som har vært gjennom året, og summarisk gjennomgang av de mindre alvorlige. Diskusjon bør omfatte årsaker til hendelser og avvik i vid forstand og hvordan hendelser og avvik er håndtert. 2. Gjennomgang av resultater fra gjennomførte øvelser, egenkontroller og risikovurderinger.
11 3. Oppfølging av iverksatte forbedringstiltak og korrigerende tiltak. Dette gjøres ved at resultatene fra egenkontroll og avviksbehandling sammenlignes med de korrigerende tiltakene. 4. Vurdere behov for endringer i internkontrollen, herunder sikkerhetsmål og sikkerhetsstrategi. 5. Iverksetting av nye forbedringstiltak. 6. Beslutte årsplan for informasjonssikkerhetsarbeidet Referat Informasjonssikkerhetsansvarlig skriver referat fra ledelsens gjennomgang. Referatet distribueres til ledelsen og sikkerhetsorganisasjonen. I referatet skal det tydelig fremgå de avgjørelser og aksjoner som er bestemt og med hvilken begrunnelse. 3.4 PERSONELL OG SIKKERHET Ansatte i Hedmark fylkeskommune skal gjennom opplæring og rutiner oppnå tilstrekkelig kunnskap til å forvalte informasjon og systemer på en sikker måte. Alle som får tilgang til beskyttet informasjon skal signere en taushetserklæring. Med beskyttet informasjon menes informasjon som ikke ligger åpent på fylkeskommunens internettsider. Dette gjelder Hedmark fylkeskommunes ansatte, leverandørers ansatte eller andre som måtte komme i kontakt med slik informasjon. Dette gjelder ikke elevers tilgang til informasjon om seg selv. Alle som får tilgang til beskyttede informasjonssystemer skal signere en sikkerhetsinstruks. Med beskyttede informasjonssystemer menes informasjonssystemer beskyttet med brukernavn/passord og systemer som kun er tilgjengelig i fylkeskommunens nettverk. Dette gjelder fylkeskommunens ansatte, leverandørers ansatte eller andre som får slik tilgang. Endringer i konfigurasjon av systemer og nettverk skal bare utføres av kvalifisert personell, og etter godkjenning fra Hedmark fylkeskommune. Brudd på sikkerhetsreglene beskrevet i sikkerhetsinstrukser og taushetserklæring vil bli vurdert i henhold til relevante lover/forskrifter og kan få følger for ansettelsesforholdet.
12 3.5 BESKYTTELSESBEHOV Informasjon skal klassifiseres med tanke på beskyttelsesbehov etter følgende kategorisering: Lavt Normalt Høyt Konfidensialitet Integritet Tilgjengelighet Kladder, arbeidsutkast og Informasjon som tåler å annen informasjon som skal mistes og informasjon som kvalitetssikres/godkjennes før kan gjenskapes fra eksterne den anvendes. kilder. Offentlig tilgjengelig informasjon og annen informasjon uten beskyttelsesbehov. Organisasjonsintern informasjon, ikke-sensitive personopplysninger og annen informasjon som anses som intern eller av andre grunner har et beskyttelsesbehov. Sensitive personopplysninger og annen informasjon med særlige krav til konfidensialitet. Informasjon som ikke klassifiseres med høyt eller lavt beskyttelsesbehov. Arkiverte dokumenter, regnskapsdata, pasientjournaler, elevers fravær/karakterer og annen informasjon der det under noen omstendighet ikke skal være tvil om at informasjonen er korrekt. Informasjon som tåler å være utilgjengelig den tiden det tar å gjenskape data. I særlige tilfeller kan det dreie seg om uker/måneder. Informasjon som må være tilgjengelig innen korte frister og informasjon med særlige krav til langtidslagring. 3.6 FYSISK SIKKERHET Adgangskontroll Adgang til Hedmark fylkeskommunes lokaler for internt og eksternt personell skal godkjennes av aktuell leder. Adgang skal begrenses til det minimum av lokaler som vedkommende har behov for. Adgangskontroll med bruk av nøkkel eller adgangskort med personlig kode utenfor arbeidstid skal være montert. Arkiv, serverrom og rom med annet sentralt IT-utstyr skal sikres og plasseres slik at det er mulig å begrense adgangen til området. Dør til slike områder skal alltid være låst. Utrangerte harddisker beskyttes tilsvarende servere inntil de er forsvarlig slettet med godkjent verktøy. Rom med sensitive personopplysninger og annen konfidensiell informasjon skal sikres og plasseres slik at det er mulig å begrense adgangen til området. Dør til slike områder skal alltid være låst. Ytterdører skal være låst etter arbeidstidens slutt. Når kontor forlates skal datamaskin være låst og fysiske dokumenter som inneholder informasjon med normalt eller høyt beskyttelsesbehov være innelåst. Reserve besøkskort, adgangskort, nøkler og passord skal lagres i safe eller på annen sikker måte Dokumentsikkerhet Alle dokumenter som inneholder informasjon med normalt eller høyt beskyttelsesbehov skal oppbevares, forsendes og destrueres på en slik måte at informasjonen ikke kommer uvedkommende i hende. Flyttbare lagringsmedier (minnepinner etc.) som inneholder informasjon med normalt eller høyt beskyttelsesbehov inneholder skal være kryptert.
13 3.6.3 Alarmsystemer Hedmark fylkeskommunes adgangskontrollsystem skal gi alarm til vaktselskap ved forsøk på uautorisert adgang. Det skal være automatisk branndeteksjon med varsling til brannvesen Katastrofesikring Det skal være automatisk brannslukningsutstyr i serverrom. Arkiv, serverrom og andre relevante rom skal sikres mot vannlekkasje. Brann eller andre uhell skal ikke permanent slette eller ødelegge virksomhetskritisk informasjon. Servere skal sikres mot overspenninger og utilsiktet strømbrudd. Separat strømforsyning skal være tilgjengelig. 3.7 RISIKOVURDERINGER All risiko forbundet med fylkeskommunens informasjonsbehandling skal være akseptabel i henhold til kriterier som ledelsen har fastsatt. For å sikre dette skal det gjennomføres risikovurderinger og iverksettes nødvendige risikobegrensende tiltak. Risikovurdering av eksisterende informasjonsbehandlinger prioriteres med utgangspunkt i informasjonens beskyttelsesbehov. For nye informasjonssystemer, nye integrasjoner og endringer gjelder følgende: Nye informasjonssystemer skal risikovurderes før de tas i bruk. Systemer som kun inneholder informasjon med lavt beskyttelsesbehov unntas risikovurdering, men det skal dokumenteres at systemet ikke inneholder annen informasjon. Risiko skal være definert som akseptabel før systemer tas i bruk. Det skal dokumenteres hvilke risikobegrensende tiltak som er iverksatt. Nye integrasjoner skal risikovurderes før de settes i gang. Integrasjoner mellom systemer som kun inneholder informasjon med lavt beskyttelsesbehov unntas risikovurdering, men det skal dokumenteres at systemene ikke inneholder annen informasjon. Risiko skal være definert som akseptabel før systemer tas i bruk. Det skal dokumenteres hvilke risikobegrensende tiltak som er iverksatt. Systemtekniske endringer som kan ha betydning for informasjonssikkerheten skal risikovurderes før de iverksettes. Endringer på systemer som kun inneholder informasjon med lavt beskyttelsesbehov unntas risikovurdering, men det skal dokumenteres at systemene ikke inneholder annen informasjon. Risiko skal være definert som akseptabel før endring iverksettes. Det skal dokumenteres hvilke risikobegrensende tiltak som er iverksatt.
14 3.7.1 Kriterier for akseptabel risiko I forbindelse med risikovurderinger benyttes følgende kriterier for akseptabel risiko. Konsekvens Liten Moderat Stor Katastrofal Hendelsen kan medføre økonomisk tap men som kan gjenopprettes, eller kan føre til tap av anseelse eller integritet. Eksempelvis kompromittering av opplysninger den registrerte oppfatter som følsomme. Hendelsen kan medføre betydelig økonomisk tap men som kan gjenopprettes, eller kan føre til tap av anseelse eller integritet. Eksempelvis kompromittering av opplysninger den registrerte oppfatter som krenkende, eller som andre kan gjøre nytte av. Hendelsen kan føre til tap av helse, uopprettelig økonomisk tap, eller kan føre til alvorlig tap av anseelse og integritet. Hendelsen kan føre til tap av liv, vedvarende helsetap, betydelig og uopprettelig økonomisk tap eller alvorlig tap av anseelse eller integritet som påvirker liv, helse eller økonomi. Svært høy Hendelsen kan inntreffe flere ganger hvert år Besluttes i hvert enkelt tilfelle av ledelsen Ikke akseptabel risiko Ikke akseptabel risiko Ikke akseptabel risiko Sannsynlighet Høy Moderat Hendelsen kan inntreffe hvert år Hendelsen kan inntreffe hvert 3. år Akseptabel risiko Akseptabel risiko Besluttes i hvert enkelt tilfelle av ledelsen Akseptabel risiko Ikke akseptabel risiko Besluttes i hvert enkelt tilfelle av ledelsen Ikke akseptabel risiko Ikke akseptabel risiko Lav Hendelsen kan inntreffe hvert 5. år Akseptabel risiko Akseptabel risiko Akseptabel risiko Besluttes i hvert enkelt tilfelle av ledelsen 3.8 AVVIKSHÅNDTERING Avvik skal alltid rapporteres til nærmeste leder. Alvorlige hendelser av sikkerhetsmessig betydning skal rapporteres videre til informasjonssikkerhetsansvarlig. Informasjonssikkerhetsansvarlig har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser ved brudd på konfidensialitet eller integritet samt enkeltpersoners brudd på sikkerhetsreglene. Hvis personopplysninger er kommet på avveie eller det er mistanke om det samme, skal informasjonssikkerhetsansvarlig orientere Datatilsynet innen Datatilsynets fastsatte frister.
15 Seksjonsleder teknologi har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser relatert til tilgjengelighet på fylkeskommunens informasjonssystemer. 3.9 LEVERANDØRER/SAMARBEIDSPARTNERE Alle formaliteter mellom Hedmark fylkeskommune og leverandører/samarbeidspartnere skal være regulert i SLA-avtaler (Service Level Agreement) og eventuelt databehandleravtaler der det er behov for det. Disse skal inkludere relevante sikkerhetskrav. Hedmark fylkeskommune skal alltid ha rett til innsyn og måling av hvorvidt sikkerhetskrav etterleves av en leverandør/samarbeidspartner. Databehandleravtalen skal alltid være en separat avtale, men SLA-krav inngår normalt som en del av en leveranseavtale (kjøp, vedlikehold eller drift) SYSTEMTEKNISK SIKKERHET Generelt Hedmark fylkeskommunes informasjonssikkerhet skal aldri basere seg på at sikkerheten er ivaretatt av andre, men alltid vurdere beskyttelsesbehov, risiko og iverksette egne tiltak dersom det er nødvendig. Sikkerhetstiltak skal vurderes og iverksettes i henhold til definert beskyttelsesbehov. Vurdering av beskyttelsesbehov skal inngå i alle endringer som kan påvirke informasjonssikkerheten. Før programmer eller systemer settes i produksjon skal rutiner for drift, proaktiv overvåkning og beredskap være iverksatt. Før programvaren/systemer settes i produksjon, skal teknisk sikkerhetsnivå verifiseres. Ved feil eller mangler skal retting av eventuelle feil/mangler gjennomføres før systemet settes i produksjon. Rettelser av feil og mangler skal verifiseres. Verifikasjon av sikkerhet gjennom test skal utføres av andre personer enn de som har vært med på å utvikle systemet eller personer som drifter systemer Tilgangskontroll Tilgangskontroll skal så langt det er mulig automatiseres med bakgrunn i autoritative kildesystemer (HRM-system og skoleadministrativt system). Nærmeste leder er ansvarlig for å klarlegge og autorisere en ansatts behov for tilgang og formidle dette til systemansvarlig ved ansettelse eller endringer i ansvar. Nærmeste leder er også ansvarlig for å melde fra når personell slutter slik at tilgangsrettigheter fjernes. Systemeier er ansvarlig for å godkjenne tilgang til egen forvaltet informasjon. Systemeier er ansvarlig for å vedlikeholde tilgangsrettigheter samt holde oversikt over de tilgangsrettigheter som er gitt. Informasjonssystemer skal være konfigurert til å logge uautorisert tilgang eller forsøk på uautorisert tilgang. Tilgang relatert til brukere skal være sporbart til brukernavn/-identifikasjon. Antall passord eller tilsvarende som en bruker må kunne skal minimaliseres. Autentiseringsmekanismer skal fortrinnsvis være integrert med og bygge på underliggende autentiseringsmekanismer i operativsystem og nettverk. Mekanismer i underliggende
16 nettverkskomponenter, operativsystem og annen programvare kan også benyttes for å oppnå at brukere bare har tilgang til relevant informasjon. Sterk autentisering skal som hovedregel benyttes ved pålogging til fylkeskommunens informasjonssystemer fra eksterne nettverk. Avvik fra dette kravet skal risikovurderes med bakgrunn i beskyttelsesbehovet til informasjonen som behandles i systemet Konfigurasjonskontroll Oversikt over gyldig sikkerhetsdokumentasjon, utstyr, programvare og systemkonfigurasjon skal utarbeides og vedlikeholdes. IT-avdelingen har ansvaret for å utarbeide og vedlikeholde oversikt over utstyr, programvare og systemkonfigurasjon. Informasjonssikkerhetsansvarlig har ansvaret for å utarbeide og vedlikeholde oversikt over sikkerhetsdokumentasjon Endringskontroll Ved endringer i Hedmark fylkeskommunes informasjonssystemer skal alltid beskyttelsesbehov vurderes, og om endring kan ha konsekvenser for sikkerheten. Endringer som kan ha konsekvenser for informasjonssikkerheten, skal godkjennes av informasjonssikkerhetsansvarlig. For endringer som kan ha sikkerhetsmessig konsekvens, skal det utarbeides en risikovurdering inkludert forslag til tiltak som oversendes informasjonssikkerhetsansvarlig som en del av endringsforespørsel. Sikkerhet skal være et vurderingspunkt gjennom alle faser av en endring. Krav til sikkerhet og overordnet vurdering av risiko skal inngå i eventuelle forprosjekt. Ved en eventuell kontrakt med tredjepart skal krav til sikkerhet inngå i kontrakten. Produksjonsdata som inneholder sensitive personopplysninger eller annen konfidensiell informasjon skal anonymiseres før de benyttes ved tester knyttet til endringer. Sikkerhetsnivå skal verifiseres før endringer settes i drift Datanettverk og datakommunikasjon Hedmark fylkeskommunes nettverk skal inndeles i soner der nettverkstrafikk mellom sonene begrenses til relevant trafikk. Brannmurer og tilsvarende sikkerhetsbarrierer skal benyttes for å oppnå sikre skiller mellom sonene. Det skal benyttes to separate sikkerhetsbarrierer mellom sikre soner (soner med sensitive personopplysninger) og eksterne nettverk. Kommunikasjon fra usikre soner til sikre soner tillates ikke. Kommunikasjon fra sikre soner til eksterne nettverk tillates ikke. All ekstern kommunikasjon skal rutes via sikkerhetsbarrierer som filtrerer uønsket trafikk. Det skal være elektronisk overvåking av ekstern nettverkstrafikk/kommunikasjon mot virksomhetskritiske systemer og nettverk ved Hedmark fylkeskommune. Support fra leverandører over eksterne linjer skal benytte VPN-løsning med kryptering. Tilkoplingen i Hedmark fylkeskommunes nettverk skal aktivt åpnes/lukkes etter behov. Dersom det likevel etter en risiko/nyttevurdering anses som påkrevd med kontinuerlig forbindelse skal tilkobling skje i egen nettverkssone der trafikk overvåkes og kontrolleres. Datamaskin som ikke eies av Hedmark fylkeskommune skal kun tilkobles fylkeskommunens nettverk i eget nettverk beregnet for dette.
17 Infrastruktur og datamaskiner Programvare- og maskinvareplattformer benyttet i Hedmark fylkeskommunes nettverk skal være standardisert. All installasjon og konfigurering skal utføres av eller i samråd med fylkeskommunens IT-personell. Automatisk passordbeskyttet skjermsparer skal benyttes på datamaskiner og servere. Systemene skal regelmessig oppdateres med relevante sikkerhetspatcher. Server og klienter skal være herdet mot innbrudd og nedetid. To-nivå automatisk viruskontroll og med automatisk oppdatering av signaturer skal være iverksatt. Med to-nivå menes intern viruskontroll og viruskontroll på ytre barriere. Alle datamaskiner tilknyttet Hedmark fylkeskommunes nettverk skal være innkjøpt og konfigurert av Hedmark fylkeskommunes IT-personell. Bærbare PC-er som benyttes av Hedmark fylkeskommunes ansatte skal krypteres og beskyttes mot endringer ved oppstart. Utførelse av rutiner for egenkontroll og drift, samt håndtering av sikkerhetsrelaterte hendelser eller hendelser knyttet til manglende stabil drift, skal logges. Hedmark fylkeskommune systemer og nettverk skal ha synkroniserte klokker BEREDSKAP Informasjonssikkerhet skal innarbeides i Hedmark fylkeskommunes krisehåndteringsplan og inneholde: Ansvar for håndtering av hendelser og hvordan dette skal varsles. Effektiv håndtering sikres gjennom rutiner som er tilgjengelig for relevante personer. Hendelser skal håndteres i henhold til hendelsens alvorlighet. Drift og kontinuitetsplan for å gjenopprette normaldrift.
Sikkerhetsmål og -strategi
Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerSIKKERHETSINSTRUKS - Informasjonssikkerhet
SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerInternkontroll i mindre virksomheter - introduksjon
Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerSikkerhetshåndbok for Utdanningsetaten. kortversjon
Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering
DetaljerSikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret
INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerEr din bedrift klar for ny personopplysningslov?
Er din bedrift klar for ny personopplysningslov? 1. Hva er GDPR? GDPR står for General Data Protection Regulation. GDPR er EUs nye personvernforordning som blir norsk lov den 25. mai i år. Innføringen
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerPersonvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen
Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerProsedyre for personvern
Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer
DetaljerPolicy. for. informasjonssikkerhet. ved NMBU
Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING... 1 1.1 Bakgrunn...
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerRUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS
Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS
DetaljerPlan for informasjonssikkerhet Bjugn kommune
Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5
DetaljerAvviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerBEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS
BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS Disse rutinene for behandling av personopplysninger («Rutinene») er besluttet av ledelsen i Dekk og Felg AS («Selskapet») og gjelder all behandling av
Detaljer«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg
«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg GDPR 20. juli 2018 ble «GDPR», også omtalt som EUs personvernforordning en del av den norske personopplysningsloven. GDPR viktige endringer: De registrerte
DetaljerGDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018
GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerVedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02
Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerInnsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud
Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerRetningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune
W Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune Innhold 1. Bruker-ID og passord... 3 2. Privat bruk og eiendomsrett... 3 3. Innsyn... 3 4. Virus og spam... 4 5. Konfidensialitet...
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerStyringsdokument internkontroll
Styringsdokument internkontroll Side 1 av 2 Styringsdokument internkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerFagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)
Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling
DetaljerInformasjonssikkerhet og personvern Definisjoner
Informasjonssikkerhet og personvern Definisjoner Gjelder for: Alle ansatte Vedtatt av: Rådmannen Dokumentansvarlig (Enhet): Interne tjenester Revisjonsintervall: Årlig Distribusjon: Intranett, hjemmeside,
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerSikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer
Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II
DetaljerHva skal i sak/arkivsystemet og hva skal i fagsystem?
Hva skal i sak/arkivsystemet og hva skal i fagsystem? Solfrid Kjærran, nestleder Arkiv i Nordland 25.11.15 Skulpturlandskap Nordland Meløy Foto: Aina Sprauten Bakgrunn Henvendelser fra kommunene til KS
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerNoen aktuelle tema for personvernombud i finans
Noen aktuelle tema for personvernombud i finans 31.01.2019 HVEM I ALLE DAGER SKAL (VIL?) VÆRE PERSONVERNOMBUD? Uavhengig rolle Kompetent på juss it - sektor Ikke den som bestemmer eller gir råd om prioriteringer
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerRisikovurdering av cxstafettloggen
Risikovurdering Side 1 av 6 Risikovurdering av cxstafettloggen Haugesund kommune har gjennomført ei risikovurdering av informasjonssikkerheten i forbindelse med plan om oppstart av CX Stafettloggen. I
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerSikkerhetsinstruks bruker
Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert
Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerOverordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune
Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
Detaljer2.12 Sikkerhetsinstruks bruker
2.12 Sikkerhetsinstruks bruker Side 1 av 7 2.12 Sikkerhetsinstruks bruker Denne instruksen erstatter tidligere Databrukeravtale ref http://www.svk.no/getfile.php/160353.652/databrukerkontrakt++svk+v+01.pdf
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
Detaljer4.2 Sikkerhetsinstruks bruker
4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerGDPR - Personvern
Eid Elektro AS skrevet ut av Ove Kjøllesdal 3/9/18 15:37:31 00.110 GDPR - Personvern Hensikt Personopplysningslovens bestemmelser gir de overordnede rammene for behandling av personopplysninger. Prosedyren
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerDatabehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]
Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig
Detaljerekommune 2017 Prosessplan for god praksis om personvern
ekommune 2017 Prosessplan for god praksis om personvern Utfordringen Ble tidligere i år klar over at ny EUforordning ville medføre nye krav fra mai 2018 => erkjennelse: Overhalla kommune har et grunnleggende
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerKrav til informasjonssikkerhet
Krav til informasjonssikkerhet Innhold Informasjonssikkerhet vs personvern Eksempler på sårbarheter MTU og Normen Krav til informasjonssikkerhet i Normen 17.03.2018 2 Informasjonssikkerhet - begrep Behandler
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerSamarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene
Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene Avtale mellom Eksempel kommune og Arbeids- og velferdsdirektoratet DIGISOS samarbeidsavtale v. 1.0 Side 1 av 7 INNHOLDSFORTEGNELSE:
DetaljerProsedyre for skjerming av informasjon
Prosedyre for skjerming av informasjon FORMÅL: Forebyggende sikkerhet mot kriminelle handlinger. OPPFØLGINGSANSVAR: SB Prosjektledere og PG disiplinledere UTFØRES AV: Alle NÅR: Detaljprosjekt og byggefase.
DetaljerDatabehandleravtale digitale arkiv og uttrekk for deponering
/X,4 finnmark IXS - J.Ki2tfinmarkun IXS - I3C finnmcirku IXS Deanu gielda - Tana kommune Rådhusveien 24 9845 TANA Vår ref Deres ref Saksbehandler Dato 2017/247-2 Gunnhild Engstad 07.12.2017 direkte tlf.:92671905
Detaljer