Informasjonssikkerhet

Like dokumenter
RETNINGSLINJE for klassifisering av informasjon

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Retningslinje for risikostyring for informasjonssikkerhet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Risikovurdering av Public 360

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Kvalitetssikring av arkivene

Avito Bridging the gap

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Strategi for informasjonssikkerhet

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Hva gjør så KiNS og KS med GDPR?

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

INFORMASJONSSIKKERHET

GDPR-status fra en kommune

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Personvern i praksis, GDPR personvernforordningen erfaringer

IKT-reglement for Norges musikkhøgskole

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Risikoanalysemetodikk

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Krav til informasjonssikkerhet i nytt personvernregelverk

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Nye personvernregler

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Kommunens Internkontroll

Risikobasert arbeid med personvern

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Strategi for Informasjonssikkerhet

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Personopplysninger og opplæring i kriminalomsorgen

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Veileder: Risikovurdering av informasjonssikkerhet

Databehandleravtale etter personopplysningsloven

Nye personvernregler

Har du kontroll på verdiene dine

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvern og informasjonssikkerhet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Vi tar godt vare på personopplysningene dine knyttet til våre eventer.personvern for Mestring & Event AS

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Kan du legge personopplysninger i skyen?

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Databehandleravtale for NLF-medlemmer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

HVEM ER JEG OG HVOR «BOR» JEG?

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Styringssystem for informasjonssikkerhet et topplederansvar

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet i forordningen

Styringssystem i et rettslig perspektiv

Transkript:

Informasjonssikkerhet med spesielt blikk på administrative funksjoner Ingvild Stock-Jørgensen Juridisk seniorrådgiver UiT Norges arktiske universitet

Innledning Om meg Tema for dagen Hva er informasjonssikkerhet og hvorfor er det viktig? Hvorfor er det viktig? Hva betyr det for administrativt ansatte og prosesser?

Hvorfor fokusere på informasjonssikkerheten? Ivareta institusjonens verdier Lovkrav m.m. Eksempelvis: Personopplysningsloven og personvernforordningen (GDPR) eforvaltningsforskriften 15 Annen særlovgivning God informasjonssikkerhet er en forutsetning for digitalisering

Hva omfattes? Kun personopplysninger? Nei, all informasjon som virksomheten forvalter Kun den digitale behandlingen som er relevant? Nei, alle aspekter må behandles

Informasjonssikkerhet og personvern Er personvern og informasjonssikkerhet det samme? Nei Er personvern mer enn informasjonssikkerhet? Ja Er informasjonssikkerhet mer enn personvern? Ja

Hva er informasjonssikkerhet? Hva forbinder du umiddelbart med informasjonssikkerhet? Det at informasjon ikke skal komme på avveie står gjerne i fokus. Uvedkommende skal ikke få tilgang til informasjon, personopplysninger osv. Konfidensialitet Kanskje det som er «enklest» å synliggjøre? Eksempel på klassifisering av informasjon: Men dette er bare en av tre dimensjoner som skal ivaretas

Hva skal ivaretas? Informasjonens Konfidensialitet Ingen uvedkommende skal få tilgang Integritet Ingen uautoriserte eller uaktsomme endringer Tilgjengelighet Når du har behov for informasjonen skal den være tilgjengelig Ivaretagelse av informasjonssikkerhet handler om å sikre disse tre* aspektene

Kan alt ivaretas samtidig? Som regel ikke Disse tre dimensjonene Konfidensialitet Integritet Tilgjengelighet er ikke alltid kompatible med hverandre Roar Thon, NSM: «Hva er det verste som kan skje? Det kan skje verre ting med journalen din enn at uvedkommende får innsyn i den».

Så hva gjør man da? Noen spørsmål må stilles: Hva medfører størst risiko? Hva er viktigst å ivareta? At f.eks tilgjengelighet må få prioritet over konfidensialitet betyr ikke at man skal «se helt vekk» fra konfidensialiteten. På ingen måte. Hvordan finne ut hva man skal gjøre, hvordan prioritere, hvilke risikoer man kan og skal løpe? Risikovurdering

Risikovurderinger Ingenting er 100 %. Uansett. Det vil alltid være en restrisiko, uansett hvilke og hvor mange tiltak man innfører Men hva er akseptabel risiko? Kan være styrt av virksomhetens egne krav, lovkrav mv. Viktig å se gevinstene Svært viktig å starte tidlig nok med risikovurderingen If the highest aim of a captain were to preserve his ship, he would keep it in port forever - Thomas Aquinas

Hva er en risikovurdering? Ofte kalt risiko- og sårbarhetsvurdering (ROS) I prinsippet ganske rett frem Hva kan gå galt? Hva er sannsynligheten for at skjer? Skala fra 1-4 Hva er konsekvensene hvis det skjer? Skala fra 1-4 Sum av sannsynlighet og konsekvens = risikonivå 2-3 4-5 6-8 Lav Medium Høy

Hva gjør man så? Tiltak Redusere sannsynligheten og/eller konsekvensen «Tekniske og organisatoriske tiltak» Vurdere nytteverdien av tiltakene Kost/nytte Prioritere og beslutte hvilke som skal gjennomføres Vurdere hvilken risiko man står igjen med. Er denne akseptabel eller ikke? Viktig at denne vurderingen tas på tilstrekkelig høyt nivå.

Hva betyr det for «den jevne ansatt»? Viktighet av at rutiner, brukerveiledninger faktisk følges Tiltak kan ofte være rutiner, Eksempel: eller en kombinasjon mellom tekniske tiltak og rutiner

Sikkerhetskultur UiTs strategi for informasjonssikkerhet (2019-2021) Vaner Eksempelvis: Låser du maskinen når du går for å hente kaffe? Hvordan håndteres papirdokumenter? Hvem kan overhøre dere når dere snakker om en sak? Hva er oppe på skjermen når en kollega kommer inn på kontoret? Eller en student? Eller en gjest? Hvem kan se skjermen din når du sitter i denne salen og åpner e-posten eller et dokument? Når du er på et fly? Eller et tog? Logger du på åpne, usikrede nettverk? Gjenbruker du passord? Handler ikke om å mistro kollegaer og andre!

Meld avvik! Avgjørende for å bli bedre Avviksmelding er ikke Sladring, angiveri, flaut, kritikkverdig, unødvendig etc. Særdeles viktig at alle avvik meldes Kan være både hendelser som har inntruffet, eller «nesten-ulykker». brudd på rutiner vil være et avvik Men det gikk jo bra, hvorfor skal jeg da melde fra? Noen avvik må meldes til Datatilsynet og berørte personer da løper tiden fort Oppfølging av risikovurdering

Så i sum? Informasjonssikkerhet må være en naturlig del av alle arbeidsprosesser Tenk parallell til HMS Sikkerhet er mer enn å holde ting «hemmelig» Det omfatter all informasjon, ikke bare personopplysninger og alle typer behandling, ikke bare den digitale

Spørsmål?

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding