Kvalitetssikring av arkivene

Like dokumenter
Risikoanalysemetodikk

Risiko- og sårbarhetsvurdering

KF Brukerkonferanse 2013

Personopplysninger og opplæring i kriminalomsorgen

Erfaringer fra tre fusjoner

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Retningslinje for risikostyring for informasjonssikkerhet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Informasjonssikkerhet

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Endelig kontrollrapport

VIRKE. 12. mars 2015

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

RETNINGSLINJE for klassifisering av informasjon

Risikovurdering av Public 360

Kommunens Internkontroll

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Standarder for risikostyring av informasjonssikkerhet

Brudd på personopplysningssikkerheten

ROS - forskningsprosjekter

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

R102 Retningslinjer for gjennomføring av risikovurderinger

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Endelig kontrollrapport

Kan du legge personopplysninger i skyen?

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Policy for informasjonssikkerhet og personvern i Sbanken ASA

RISIKOVURDERING Enhet Avdeling/Seksjon. Risikovurdering av * Sammendrag

Endelig kontrollrapport

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Styresak Orienteringssak - Informasjonssikkerhet

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

Anbud, innkjøp, anskaffelser og sånn: Journalføring og innsyn. Interkommunalt arkiv i Vest-Agder IKS (IKAVA)

Risiko- og sårbarhetsanalyse for Reguleringsplan for Drevsjø barnehage

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg.

Ready or not, here we come

Har du kontroll på verdiene dine

Gjelder fra: Godkjent av: Fylkesrådet

Policy for personvern

Hjelp til selvhjelp hvordan måle god arkivdanning? Marianne Høiklev Tengs Norsk Arkivråd 21.oktober 2015

Arkivsystemer med skyløsninger

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig Kontrollrapport

Retningslinje for elektroniske saker gjeldende barn i barnehager

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Akkumulert risikovurdering oktober 2014 Sannsynlighet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Revisjon av informasjonssikkerhet

BESKRIVELSE AV METODE

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Risikovurdering av cxstafettloggen

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Endelig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Risikoanalyse i arkivarbeidet Ta sjansen?

RISIKO- OG SÅRBARHETSANALYSE. Detaljregulering av fortau i Holmengata og Idrettsveien. Tynset kommune

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Internkontroll i mindre virksomheter - introduksjon

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Risiko og sårbarhetsanalyse

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Hva vil vi egentlig måles på? - et moderne arkivtilsyn

Aktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse.

Oversending av revisjonsrapport - Sunndal Energi Kf

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Styringssystem for informasjonssikkerhet i Arbeidstilsynet

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG

Transkript:

Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg

Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått med Høgskolen i Tromsø (2009) og Høgskolen i Finnmark (2013) 2600 ansatte 9300 studenter Organisasjonen er delt inn i 7 fakulteter og 7 avdelinger i administrasjonen. I tillegg har vi UB og Tromsø Museum. Arkivtjenesten er sentralisert og driftes av Seksjon for arkiv. Vi er 11 ansatte i seksjonen som journalfører Ca 47000 dokumenter i året og veileder ca. 800 brukere.

Informasjonssikkerhet Beskytte virksomhetens informasjon og informasjonssystemer, fysisk sikkerhet, personellsikkerhet Med sikkerhet i denne sammenheng menes systemets evne til å opprettholde: Konfidensialitet = informasjon er bare tilgjengelig for de som skal har tilgang Integritet = informasjonen er korrekt og fullstendig Tilgjengelighet = informasjon er tilgjengelig til riktig tid (og i riktig format)

Policy Lovverket (ulik lovverk for ulik område; stat, kommune, helse, bank, forsvar etc.etc.) sier noe om hvordan (og hvorfor): Personopplysningsloven 13 og 14 om informasjonssikkerhet og internkontroll - Dokumentere systemet og tiltakene Personopplysningsforskriften 2-4 Risikovurdering Fastsette kriterier for akseptabel risiko forbundet med behandling av personopplysninger Egne mål og prosesser Trusselbildet (www.norsis.no) Teknologi

Systemlandskapet og klassifikasjon av informasjonsaktiva (steg 1) Eksempel: Eksempel:

Risikoanalyse Sannsynlighet x Konsekvens Risiko

Risiko- og sårbarhetsanalyse (ROS) 1. Definisjon av akseptabel risiko (kriterier) 2. Kartlegging av mulige hendelser 3. Vurdering og evaluering (sammenligning av risikobildet og kriteriene - sannsynlighet og konsekvenser) 4. Tiltak 1. Implementering av tiltak 2. Oppføring av tiltak 3. Evaluering av tiltak 4. Oppdatering www.datatilsynet.no - Riksikovurdering av informasjonssystem

Metodikk Definisjoner for konsekvens: Konfidensialitet Ubetydelig (1) Moderat (2) Alvorlig (3) Katastrofal (4) Ingen uautorisert innsyn i ikke sensitive personopplysninger Uautorisert innsyn i ikke sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. I forhold til enkeltpersoner Uautorisert innsyn i enkelte sensitive personopplysninger eller personopplysninger Brudd på lov. En eller få kan få innsyn Fullt uautorisert innsyn i alle sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. Mange kan få innsyn der konfidensialitet er nødvendig. K Integritet Tilgjengjelighet Journal/ nedtegnelser er tilnærmet komplett Systembrudd er uvesentlig. Utfall 1 dag Noen mangler i Journal/ nedtegnelser Mulighet for endring av personopplysninger Registeret har tapt integritet for enkeltperson. Systembrudd kan føre til skade dersom reservesystem ikke fins. Utfall opptil 5 dager. Viktig informasjon mangler i journal/ nedtegnelser Mulighet for endring av enkelte sensitive personopplysninger eller personopplysninger der integritet er nødvendig. System settes ut av drift opptil 14 dager Kritisk informasjon mangler i journal/ nedtegnelser og brudd på lov. Mulighet for omfattende uautorisert endring av alle sensitive personopplysninger eller personopplysninger der integritet er nødvendig. System settes ut av drift mer enn 4 uker

Metodikk - sannsynlighet Hvor ofte? Kan legge til flere faktorer som letthet (hva skal til for at.) og motivering (uaktsomhet, forsett og overlegg). Betegnes som S1, S2, S3, S4 etc.

Risikoanalyse Tilgjengelighet Konfidensialitet Integritet «Hendelse» Identifisere, vurdere, håndtere og følge opp = riksikostyring Hvor ofte? Sannsynlighet Hvor alvorlig? Konsekvens Akseptabel risiko

Kartleggingen Hendelse og årsak Mangler/ svakheter Sann synlig het S1-S4 Kons ekve ns K1- K4 Risi kofak tor Aksep tabel risiko Tiltak Arkivsystemet Konfidensialitet K01 Tilgangsrettigheter fjernes ikke når bruker bytter stilling Systemeier får ikke beskjed når ansatt bytter stilling 4 3 12 K02 Integritet I01 Mangler vedlegg /side ved skanning Menneskelig svikt, utstyrssvikt Saksbehandl er skanner selv Sjekkliste for skanning for arkivarer Manuell kontroll 2 2 4 I02 Tilgjengelighet T01 Arkivsystemet er nede som følge av driftsstans 1 2 2

Matrisen

Matrisen

Noen resultater/funn 19 hendelser vedr. konfidensialitet, eks. Hendelse Mangler/ svakhet Beskytt else Kontroller Tiltak S K Risikofaktor K13 Print med PO «ligger og flyter» slik at uautoriserte kan få innsyn i PO der konfidensialit et er nødvendig Finnes ikke «follow me» m.m. 4 3 12

Noen resultater/funn 7 hendelser vedr. integritet, eks. Hendelse Mangler/ svakhet Beskytt else Kontroller Tiltak S K Risikofaktor I13 Dokumenter blir ikke ferdigstilt fortløpende, slik at opplysninger kan være mangelfulle/ inkorrekte Purring 4 g/år 3 2 6

Noen resultater/funn 5 hendelser vedr. tilgjengelighet, for eksempel Hendelse Mangler/ svakhet Beskytt else Kontroller Tiltak S K Risikofaktor T36 ephorteapplikasjonen er nede som følge av driftsproblem er 1 2 2

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding