Risikoanalyse i arkivarbeidet Ta sjansen?

Like dokumenter
Åpenhet i Bærum kommune

Retningslinje for risikostyring for informasjonssikkerhet

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Norsk Arkivråd Frokostmøte om e-postfangst kommentarer til rapport fra arbeidsgruppe i SAMDOK. 12. februar 2015 Jorunn Bødtker

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Personvernerklæring. Nettbasert behandling av personopplysninger

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Innføring av einnsyn i Difi. Per Ivar Hammershaug Seksjonssjef arkiv og dokumentforvaltning

ISO27001 som del av forvaltningen

Personvernerklæring. Nettbasert behandling av personopplysninger

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personvernerklæring. Nettbasert behandling av personopplysninger

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Standarder for risikostyring av informasjonssikkerhet

Kvalitetssikring av arkivene

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Har du kontroll på verdiene dine

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Arkivsystemer med skyløsninger

Statusrapport for omstillingsprogrammet, hovedstadsprosessen. Overføringsprosjektene OUS AHUS, OUS - Vestre Viken og AHUS - Vestre Viken

Aggregering av risiko - behov og utfordringer i risikostyringen

Kravspesifikasjon Digital distribusjon av sakspapirer

Akkumulert risikovurdering oktober 2015

Forvaltningsrevisjon gjennomført 2012/13: Prosedyrer og rutiner for journalføring og tilgjengeliggjøring av dokument/saksutredning

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

Hvordan yte gode tjenester når vi aldri har definert hva god arkivkvalitet er? Hvilken betydning har statistikken for å måle kvalitet?

Retningslinjer for bruk av E-post i saksbehandling i Bergen kommune

SENTRALISERT POST- / ARKIVTJENESTE.

Postbehandling og dokumentflyt. Beate Aasen Bøe

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

HELSE MIDT-NORGE RHF STYRET

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Årsplan for de de sentralkirkelige råd KR, MKR og SKR

Når integrasjon ikke er mulig dokumentfangst fra eksterne databaser

Planlegging av øvelser

Vår referanse (bes oppgitt ved svar)

Egenevalueringsskjema

Samdok samla samfunnsdokumentasjon

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

kommunesamling 6. Juni 2007 Svein Amblie

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

HVORDAN TENKE NOARK 5. og hvordan gå frem for å skrive kravspesifikasjoner

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Tilhører prosjekt: A3, Virksomhetsstyring, økonomi og eierskap / A3.16 Helhetlig virksomhetsstyring. Magnar Benjaminson (oppdragsansvarlig A3.16.

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

HVEM ER JEG OG HVOR «BOR» JEG?

Anbudskonkurranse med forhandlinger: Webstrategi og utvikling av kravspesifikasjon for webtjenester

Avito Bridging the gap

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Arkivering og journalføring av SMS- og dokument på sosiale medier

Styringssystem for informasjonssikkerhet et topplederansvar

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

Rammeverk for risikostyring i Helse Midt-Norge

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Databehandleravtale etter personopplysningsloven m.m

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler

Personvernerklæring. 3.1 Informasjon vi får fra deg Vi får informasjon fra deg når du:

Databehandleravtale. Denne avtalen er inngått mellom

Erfaringer fra offentlige anskaffelser

Målekriterier og sjekklister for arkivdanning Medlemsmøte i Norsk Arkivråd

Vedtatt av: Byråd for kultur og næring Vedtatt:

Konkurransegrunnlag for for leasing av personbil

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Utviklingsprosjekt. Prosjektveiledning

1.6 Sentrale lover og forskrifter

Sikkerhet i Jernbaneverket

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

HELSE MIDT-NORGE RHELSEFORETAK STYRET

Konkurransegrunnlag. Åpen anbudskonkurranse. for anskaffelse av. medieovervåkningstjenester. til Difi. Anskaffelsesnummer: 13/00612

Konkurransegrunnlag for. for kjøp av. Kurs til statsforvaltningen i ISO Lead Implementer

Risikovurdering for folk og ledere Normkonferansen 2018

Nye arkivforskifter. Monika Kurszus Håland Fagdag onsdag 30.mai 2018

Direktoratet for e-helse viser til Kulturdepartementets høring på forslag til ny arkivforskrift, datert 18. oktober 2016.

Saksdokumenter: KR 23.1/11 Årsplan KR sak doc. Årsplan 2011 for de sentralkirkelige råd

Sikkert nok - Informasjonssikkerhet som strategi

Krav til utkontraktering av drift 1 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon

Retningslinjer for deponering og avlevering av digitalt arkiv. Kontaktkonferansen 2018 Arkiv Troms v/jan Grav, IT-rådgiver

einnsyn i Difi Per Ivar Hammershaug Seksjonssjef arkiv og dokumentforvaltning

Arkivforskriften og Riksarkivarens forskrift. Ikrafttredelse

Utdrag fra utkast til oppsummeringsnotatet fra referansegruppen

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

Foretakets navn : Dato: Underskrift :

RISIKOANALYSE /2013. Oversikt over utvikling av prosjektgjennomføringsrisiko

Personvernerklæring. 3.1 Informasjon vi får fra deg Vi får informasjon fra deg når du:

Riksrevisjonens undersøkelse av arkivering og åpenhet i statlig forvaltning (bilde settes inn her av stab)

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Arkiv og enkeltindivider. Kim Ellertsen IKA 22. april 2010

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Transkript:

Risikoanalyse i arkivarbeidet Ta sjansen? Jorunn Bødtker, 23. mars 2010 1 Risikoanalyse - NA 23.3.2010 - Jorunn Bødtker

Begreper Norsk standard 5814:2005 og ISO 27002 Risiko: Muligheten for å lide tap eller skade Risikostyring: Koordinerte aktiviteter for å styre og kontrollere en virksomhet med hensyn til risiko Risikovurdering: Samlet prosess som består av risikoanalyse og risikoevaluering Risikoanalyse: Systematisk bruk av informasjon for å identifisere kilder og anslå risiko Risikoevaluering: prosess for å sammenligne anslått risiko med gitte risikokriterier for å bestemme risikoens betydning Risikohåndtering: Prosess for å velge og iverksette tiltak som skal endre risiko 2

Ulike lover ulike krav til risikohåndtering Noen eksempler Eforvaltningsforskriften Esignaturforskriften Esignaturloven Forskrift om risikostyring og internkontroll Forvaltningsloven Helsepersonelloven Helseregisterloven IKT-forskriften Kommuneloven personopplysningsforskriften Personopplysningsloven Reglement for økonomistyring i staten Sikkerhetsloven m/forskrifter 3

Arkivregelverket - eksempel FOR 1999-12-01 nr 1566: Forskrift om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver. Kapittel IX: Elektronisk arkivering av saksdokumenter B. Krav til systemer, formater og lagringsmedier C. Krav til organisering og rutiner 4

Arkivarbeidet risikovurdering både i drift og utviklingsarbeid Analyse av den daglige driften Analyse før innføring av nye prosjekter Akseptabelt risikonivå er en ledelsesbeslutning! 5

Risikomatrise Sannsynlighet/konsekvens meget lav/lav/moderat/høy/meget høy hendelser (nummerert) 6

Hendelse: Ufullstendig offentlig postjournal Mulige årsaker: Manglende eller sein journalføring, særlig av e-post adressert til den enkelte ansatte Sannsynlighet: Høy Konsekvens: Moderat - avhengig av hva saken gjelder. Tap av omdømme, kritikk fra presse, tilsynsmyndighet eller granskere Tiltak for å redusere sannsynligheten for hendelsen: Brukeropplæring, informasjon, mer brukervennlige systemer, etablering av felles rutiner for journalføring og arkivering Tiltak for å redusere konsekvensen av hendelsen: Legge seg flat med én gang journalføre og produsere ny versjon av offentlig journal 7

Hendelse: Feilutsendelse av e-post (taushetsbelagte eller unntatte opplysninger) Mulige årsaker: menneskelig feil, dårlige systemer Sannsynlighet: Lav Konsekvens: Moderat / høy avhengig av hva saken gjelder. Erstatningssøkmål, tap av omdømme, kritikk fra presse, tilsynsmyndighet eller granskere Tiltak for å redusere sannsynligheten for hendelsen: Sperre i systemene mot å sende ut forhåndsklassifiserte dokumenter, soneløsning, forsinkelse i e-post, slå av gjettefunksjon, toleddet ekspedering, arbeid i fred og ro Tiltak for å redusere konsekvensen av hendelsen: Tilbakekalle e-post, varsle internt om hendelsen, varsle eksternt om hendelsen 8

Hendelse: Feilpublisering av dokumenter på nett Mulige årsaker: menneskelig feil, dårlige systemer og rutiner Sannsynlighet: Lav Konsekvens: Moderat / høy avhengig av hva saken gjelder. Erstatningssøkmål, tap av omdømme, kritikk fra presse, tilsynsmyndighet eller granskere Tiltak for å redusere sannsynligheten for hendelsen: Opplæring, informasjon, rutiner, forsinkelser i publisering, to-leddet publisering, forhåndsvisning Tiltak for å redusere konsekvensen av hendelsen: Slette på nettsted Ta kontakt med søkemotorene 9

Hendelse: Arkiv- og saksbehandlingssystemet ikke tilgjengelig Mulige årsaker: Feil eller feil ved retting/oppdatering av systemet. Mangelfull testing og pilotdrift. Mangelfulle rutiner ved drift. Feil på applikasjons- eller databaseserver. Sannsynlighet: Moderat Konsekvens: Moderat / Høy avhengig av omfang, varighet og tidspunkt. Tiltak for å redusere sannsynligheten for hendelsen: Bedre IKT-infrastruktur, clusterløsning, kopiere (deler av) databasen til test- eller kursdatabasen, etablere gode driftsrutiner internt og ha avtaler med kompetent tredjepart. Tiltak for å redusere konsekvensen av hendelsen: Hente på forespørsel dokumenter fra test- eller kursdatabasen, utlevere originaldokumenter (inngående post), hente ut lokalt lagrede filer 10

Eksempel risikooppfølging i et anskaffelsesprosjekt Avdelingene bidrar ikke med avtalte prosjektressurser Forankring i styringsgruppen. Direkte kontakt med styringsgruppens deltakere. For stram tidsplan til evaluering- og forhandlingsfasen for å oppnå ønsket kvalitet Endring av milepæler med forankring i styringsgruppen. Følge opp fremdrift Prosjektets deltakere har ikke riktig kompetanse til å foreta evaluering- og forhandlingsoppgavene Involvere personer med kompetanse fra kravspesifikasjonsarbeidet samt bruk av spisskompetanse ved behov. Avdelingene ønsker ikke å binde seg til ny løsningen. Involvere avdelingene i alle faser av prosjektet inklusiv en aktiv styringsgruppe. 11

Eksempel anskaffelsesprosjekt (forts.) Manglende samordning med IKT prosjekt Kontinuerlig dialog med prosjektet for å sikre implementering av ny elektronisk saksbehandlerløsning Velger en løsning som er på vei ut/velger løsning basert på gale kriterier Involvere spisskompetanse i evalueringsarbeidet. Tilbyderne forstår ikke leveransens omfang Klargjøre dette i forhandlingsmøtene Strukturert og gjennomarbeidet konkurransegrunnlag Velger komplisert system med høy brukerterskel. Legger stor vekt på brukervennlighet ved tildeling av kontrakt. 12

Nyttig informasjon - eksempler Senter for statlig økonomistyring (SSØ) http://www.sfso.no/templates/page 141.aspx Datatilsynet Risikovurdering av informasjonssystem http://www.datatilsynet.no/upload/dokumenter/vei ledere/risikoveileder_pdf.pdf Nasjonal sikkerhetsmyndighet (NSM) https://www.nsm.stat.no/documents/veiledninger/ ROS_2004_veiledning.pdf 13

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding