Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Like dokumenter
Hva er et styringssystem?

Styringssystem i et rettslig perspektiv

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Regelverk for digital kommunikasjon i og med forvaltningen

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Databehandleravtale. Denne avtalen er inngått mellom

Internkontroll i praksis (styringssystem/isms)

Endelig kontrollrapport

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Kan du legge personopplysninger i skyen?

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Difis veiledningsmateriell, ISO og Normen

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

KF Brukerkonferanse 2013

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Risikoanalysemetodikk

Bergen kommunes strategi for informasjonssikkerhet

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Informasjonssikkerhet i forordningen

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Måling av informasjonssikkerhet i norske virksomheter

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Styringssystem for informasjonssikkerhet et topplederansvar

Sikkert nok - Informasjonssikkerhet som strategi

Standarder for risikostyring av informasjonssikkerhet

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Endelig kontrollrapport

Endelig kontrollrapport

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Endelig kontrollrapport

Endelig kontrollrapport

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Tjenester i skyen hva må vi tenke på?

VIRKE. 12. mars 2015

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Endelig kontrollrapport

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Kommunens Internkontroll

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner

Avito Bridging the gap

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Kort innføring i personopplysningsloven

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel mai 2008

Strategi for Informasjonssikkerhet

EDB Business Partner. Sikkerhetskontroller / -revisjoner

OVERSIKT SIKKERHETSARBEIDET I UDI

Krav til informasjonssikkerhet i nytt personvernregelverk

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Bilag 14 Databehandleravtale

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Politikk for informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Proff behandling av personopplysninger. Bjørn Erik Thon direktør i personvernbloggen.no

Avtale mellom. om elektronisk utveksling av opplysninger

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Bruk av skytjenester og sosiale medier i skolen

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Styringssystem for informasjonssikkerhet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Introduksjon til DRI1010 Personvern i offentlig forvaltning: Oversikt over personvern og personvernlovgivningen. Dag Wiese Schartum, AFIN

Styresak Orienteringssak - Informasjonssikkerhet

Ledelsesforankring rettskrav, muligheter og utfordringer. Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Revisjon av IT-sikkerhetshåndboka

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

Nye personvernregler

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale etter personopplysningsloven

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

IKT-sikkerhet og sårbarhet i Risør kommune

Transkript:

Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen

Hva får dere IKKE?

Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Fra Datatilsynets veiledning om internkontroll og informasjonssikkerhet

Rettslige krav? Lover og forskrifter Instrukser Kontraktsforpliktelser virksomhet

STYRING AV INFORMASJONSSIKKERHET?

Besk.instr 2 Pol. 13 eforvf. 13 Pof. 2-4 Pof. 2-5 Pof. 2-7 Sikkerhl. 11 Pof. 2-2 Helsereglov

ISO 27001 og 27002 Vedtatt i standardiseringsrådet som anbefalte standarder for offentlig sektor Difi arbeider med ny versjon av Referansekatalogen hvor dette skal inn Evalueres og vurderes om standardene skal gjøres obligatoriske etter ett år www.standard.difi.no

11 områder, 39 sikringsmål og 133 sikringstiltak Utdyping av 133 sikringstiltak

Rettskilder Lov Forskrift Rundskriv/interne meldinger ISO/IEC 27001:2005

Sikkerhetsloven eforvaltningsforskriften Personopplysningsloven Rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser Forskrift om infosikk Fokus på konfidensialitet Forskrift om sikkerhetsadministrasjon Forvaltningsorgan som benytter elektronisk kommunikasjon Krav til sikkerhetsmål og sikkerhetsstrategi I henhold til anerkjente prinsipper Er det noen grunn til å problematisere dette da?? Internkontroll Personopplysninger Informasjonssikkerhet

Krav til internkontroll (pol 14) Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i loven og forskriften, herunder sikre personopplysningenes kvalitet

Krav til informasjonssikkerhet (pol 13) Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet mht konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger For å oppnå tilfredsstillende informasjonssikkerhet skal de nevnte ansvarlige dokumentere informasjonssystemet og sikkerhetstiltakene (for medarbeidere, Datatilsynet og Personvernnemnda) Behandlingsansvarlig skal påse at eksterne som får tilgang til personopplysninger (databehandler/oppdragstaker) oppfyller kravene over

Du skal planlegge Du skal jobbe systematisk Du skal ha tilfredsstillende informasjonssikkerhet Du skal dokumentere Du har ansvaret for eksterne

Personopplysningsforskriften Kap. 2 Flere bestemmelser men liten veiledning for hvordan du går frem Krav på overordnet nivå Veiledninger fra Datatilsynet

Et kort overblikk Pof 2-1 Forholdsmessige krav om sikring av personopplysninger 2-6 Avvik ISO 27001 Krav til risikotilnærming 2-3 Sikkerhetsledelse Management 2-4 Risikovurdering Risk management 2-5 Sikkerhetsrevisjon Internal audit Corrective and preventive action 2-16 Dokumentasjon Documentation requirements

Forholdet mellom regelverk og ISO 27001 Regelverk gjelder Standarden kan utfylle Vi må avstemme

ISO/IEC 27001:2005 Standard for et styringssystem for informasjonssikkerhet Information Security Management Systems (ISMS) Plan Do Check Act

To deler: obligatorisk og valgfri Risikotilnærming ISMS for en definert del av virksomheten samsvar med regelverk og andre rettslige forpliktelser (kontrakt) Omfattende dokumentasjonskrav

PLAN ACT DO CHECK

Du skal planlegge det du skal gjøre P FOR PLAN

PLAN Hva skal styringssystemet gjelde for? ISMS-policy (Mål og strategi) Risikovurdering og -tilnærming Ut fra risikovurderingen skal vi velge sikringsmål og tiltak for håndtering av risiko (Annex A) Få ledelsens godkjennelse for foreslåtte restrisiko

Ivaretakelse av rettslige krav Skal vurdere de rettslige krav i planleggingsfasen Vedlegg A A.15 compliance Mål: Å unngå brudd på lover, forskrifter og kontraktsforpliktelser A.15.1 Compliance with legal requirements Kontraktsforpliktelser Opphavsrettigheter Personvern og personopplysningsvern Med mer

PLAN overgang til neste fase Få ledelsens godkjenning til å implementere og drifte ISMS Forberede SoA sikkerhetstiltak..og deretter starter DO-fasen PLAN ACT DO CHECK

Du skal gjøre det du planla å gjøre D FOR DO

D for DO Utarbeide risikohåndteringsplan ( prosjektplan ) Gjennomføre planen Definere hvordan man skal måle virkningen av sikringstiltak Utarbeide og implementere prosedyrer og rutiner Gjennomføre opplæring Styre ressurser Implementere prosedyrer/tiltak for å oppdage og håndtere avvik

Du skal sjekke at du gjør det du planla å gjøre C FOR CHECK

C for check Tiltak for å overvåke og revidere ISMS Undersøke om sikkerhetskrav blir oppfylt Revidere risikovurderingen(e) Revidere restrisiko Revidere akseptabelt risikonivå Gjennomføre intern revisjon Gjennomføre ledelsens gjennomgang Oppdatere planer Dokumentasjon på isms-hendelser og tiltak

Du skal korrigere og forbedre P-D-C A FOR ACT

A for act Du skal korrigere og forbedre P-D-C

Dokumentasjonskrav den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene Mer spesifisert i pof ISO 27001 kap. 4.3 Documentation requirements

PLAN ACT Personopplysninger? Gradert informasjon? DO CHECK

Oppsummering Rettslige krav er mer enn formelt regelverk Regelverket krever ikke et fullt ISMS ISMS ~= pof. Kap. 2 ISMS vil hjelpe deg å oppnå tilfredsstillende informasjonssikkerhet ISMS som inngangsport til å oppfylle regelverk!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding