INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Like dokumenter
FRA FULLTEKSTPUBLISERING TIL E-INNSYN

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Internkontroll og informasjonssikkerhet lover og standarder

GDPR-status fra en kommune

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Personvernombudsrollen. Henrik Gullaker, personvernombud.

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Status personvern Hedmark og Oppland fylkeskommuner

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Ny sikkerhetslov og forskrifter

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

GDPR- hva betyr dette for NTNU

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Bedre personvern i skole og barnehage

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Informasjon interesseorganisasjoner

Retningslinje for risikostyring for informasjonssikkerhet

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Nye personvernregler

Avito Bridging the gap

GDPR Ny personvernforordning

Informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Sikkerhet og personvern i skole og klasserom

Personvern - sjekkliste for databehandleravtale

Arkivplan og internkontroll Merarbeid eller samarbeid?

VIRKE. 12. mars 2015

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Aggregering av risiko - behov og utfordringer i risikostyringen

Kan du legge personopplysninger i skyen?

Risikoanalyse i arkivarbeidet Ta sjansen?

GDPR - Personvern

Policy for personvern

ekommune 2017 Prosessplan for god praksis om personvern

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Rapport informasjonssikkerhet Helgelandssykehuset 2015

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Digitaliseringsstrategi. - trygghet og tillit til teknologi

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Personvernerklæring for Webstep AS

Oversikt. Remi Longva

GDPR (personopplysningsloven)

DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET

Personvern og informasjonssikkerhet ved anskaffelser

Ny personvernlovgivning

Nytt personvernregelverk på 1-2-3

Difis veiledningsmateriell, ISO og Normen

Avvikshåndtering og egenkontroll

Strategi for Informasjonssikkerhet

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

GDPR Prosjektgjennomføring Sjekkliste

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Digitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Bakgrunn. EU har vedtatt ny personvernforordning

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Hvordan kan personvernet ivaretas i helsesektoren?

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

GDPR - PERSONVERN. Advokat Sunniva Berntsen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Referansearkitektur sikkerhet

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern i praksis, GDPR personvernforordningen erfaringer

Underbygger lovverket kravene til en digital offentlighet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

HVEM ER JEG OG HVOR «BOR» JEG?

Norges vassdrags- og energidirektorat. Presentasjon på møte Tieto Difi einnsyn 16. mars 2017 Rikke Bødtker Skoe - NVE

Personopplysninger og opplæring i kriminalomsorgen

Databehandleravtale etter personopplysningsloven m.m

Transkript:

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE Hva vi har fått til og hva gjenstår? Rikke Bødtker Skoe Senior rådgiver 8. Norske arkivmøte 8. april 2019 Foto: Thomas Widerberg

Agenda Litt om NVE Internkontroll for informasjonssikkerhet Internkontroll GDPR Informasjonsforvaltning Veien videre

NVE kort om oss

FOR AT DU SKAL VITE AT DAMMEN HOLDER

FOR AT DU SKAL VÆRE TRYGG NÅR FJELLET FALLER

FOR AT DU SKAL BO TRYGT I ET ENDRET KLIMA

FOR AT DU IKKE SKAL BETALE MER ENN NØDVENDIG

FOR AT NESTE GENERASJON SKAL LEVE GODT

FOR AT DU SKAL SE I MØRKET

NVE i Norge

Internkontroll for informasjonssikkerhet i NVE litt historikk KPMG ISO 27001 sertifisering - 2013 Nytt prosjekt oppstart 2015 - klart mandat Følge og tilpasse Difis veiledning Dokumentasjonen for internkontrollsystemet godkjent av øverste ledelse juni 2016 Oppfølging og opplæring Informasjonssikkerhet - informasjonsforvaltning

Sikkerhetsområder definert i mandatet 1. Sikkerhet mot uautorisert ekstern adgang til IKT-systemene (både infrastruktur og data). 2. Intern tilgangsstyring og logging av intern tilgang til sensitiv informasjon. 3. Sikkerhet mot at gradert eller sensitiv informasjon som NVEs medarbeidere har legitim tilgang til, kommer på avveie ved uhell eller tyveri. 4. Sikkerhet mot tap av NVEs informasjon, eller midlertidig bortfall av tilgang til NVEs informasjon, pga manglende redundans 5. Sikkerhet mot uautorisert fysisk adgang til lokaler eller deler av lokaler som NVE disponerer. 6. Sikker utvikling/endring av programvare i NVE, for å sikre nødvendig kompatibilitet med andre IT-systemer.

Hva er et internkontrollsystem? Systematisk oppfølging av lover og regler Verktøy for overordnet styring og kontroll Omhandler som regel minimum hovedelementene: Overordnet policy Risikostyring Ønsket resultat: Mer effektiv og sikker drift Avvikshåndtering Årlig gjennomgang

Internkontroll for informasjonssikkert - dokumentasjon

Grunnlag for internkontroll digitale verdier - verdivurdering Oversikt over informasjonstyper, arbeidsoppgaver, arbeidsprosesser og systemer I hvilken grad disse er skjermingsverdige Hva som er riktig grad av beskyttelsestiltak Hvilke systemer benyttes Krav til oppetid - tilgjengelighet

Orden i eget hus - KIT Rett person Rettt informasjon Rett tid System (Konf. Nivå) Tilgangskontroll Versjon (Historikk) Ekte og unikt Systemer oppe Oversikt over info

Konsekvens Sannsynlighet Risikotabell Hyppighet pr år <-- Risikonivå --> Over 25 Svært høy Moderat Høy Høy Svært høy Inntil 25 Høy Moderat Moderat Høy Høy Inntil 5 Moderat Lav Moderat Moderat Høy 1 Lav Lav Lav Moderat Moderat Kategori Indikatorer Lav Moderat Høy Svært høy Vår økonomi Økonomisk tap < = 10.000 < = 100.000 < = 500.000 < Liv og helse (HMS) Personvern Nasjonal sikkerhet Omdømme Behandlingsbehov Skader < må til lege < = 2 dager på sykehus < = 2 uker på sykehus Sykemelding < = 1 uke < = 5 uker < = 25 uker < Uføregrad < = 1% < = 5% < = 25% < Krenkelse, økonomi, liv og helse Norges eller samarb. lands sikkerhetsint. Tillitsnivå Noen kan føle seg krenket < Ingen skadefølger Kan medføre mindre skadevirkninger De fleste ville følt seg krenket < Kan medføre mindre skadevirkninger Påvirker fungering i samfunnet < Kan skade < Vesentlig hindrer fungering i samfunnet Kan alvorlig skade Kan skade Vil skade Vil alvorlig skade Sannsynlighetsnivå Konsekvensnivå

Avviksrapportering i NVE

NVE har foretatt internkontroller Fysisk sikring Personellkontroll Sikkerhet ved anskaffelse Nasjonalt begrenset nett Alle funn blir fulgt opp

Trusselvurderinger Følger med på nasjonal trusselvurderingene fra PST Statlig etterretningsvirksomhet Politisk motivert vold Trusler mot myndighetspersoner Datatilsynet Nasjonale sikkerhetsmyndigheter KraftCERT

Ny personvernlov GDPR prosjektmandat Kartlegge personopplysning behandling, lagring Databehandleravtaler Innebygget personvern Rutiner for behandling av personopplysninger og krav fra registrerte Personvernombud Tilstrekkelig personvernsikkerhet

GDPR - internkontroll Dokumenter vedtatt: Personvernpolicy Prosedyre for behandling av personopplysninger Personvernerklæringer eksternt og internt Databehandleravtalen

Krav til dokumentasjon, revisjon og egenkontroll Informasjonssikkerhet og risikovurdering ROS analyse ved alle endringer; arbeidsoppgaver, informasjonstyper og systemer Dokumentasjon: Oversikt over hvilke personopplysninger NVE behandler Oversikt over digitale verdier Rutiner for lagringstid, -sted og sletting Varsling ved brudd Årlige revisjoner

Drift av internkontrollsystemet

Utfordringer videre arbeid Arkivplan skal erstattes av internkontroll for dokumentasjon Utvide internkontrollsystemet med underliggende prosedyrer som skal vedlikeholdes og følges Se sammenheng mellom informasjonssikkerhet informasjonsforvaltning og digitalisering

Utfordringer videre arbeid Vedlikeholde digitale verdier grunnlaget for å vite hvilken informasjon som er lagret hvor Implementer og gi opplæring i ansvaret ved å ta risikovurderinger ved nye arbeidsoppgaver, behandling av nye informasjonstyper Senke terskelen for å melde avvik

Utfordringer Digitalisering Automatisering Prosesstyring - integrasjoner Se sammenhenger mellom informasjonssikkerhet og informasjonsforvaltning

Målbilde integrasjon P360 MinSide / nve.no Fagsystem Fagsystem Fagsystem eformidling Skjema -portal nve.no publisering einnsyn Ekspedering einnsyn Ekspedering NVE tjenestelag SIF (P360 integrasjonslag) P360 v.5 einnsyn Filområde (Azure/sky) einnsyn journal Oppslag Folkeregister Brønnøysund Process engine eworker - mobil Møtemodul Opplæringsmodul

Ny sikkerhetslov NVE er underlagt ny sikkerhetslov fordi: GNF grunnleggende nasjonale funksjoner KIKS samfunnskritiske funksjoner Skal ha overansikt over skjermingsverdig informasjon, systemer, infrastruktur og objekter

TAKK FOR OPPMERKSOMHETEN Rikke Bødtker Skoe rbs@nve.no Foto: Thomas Widerberg

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding