Strategi for Informasjonssikkerhet

Like dokumenter
Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Seksjon for informasjonssikkerhet

Bergen kommunes strategi for informasjonssikkerhet

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Ny styringsmodell for informasjonssikkerhet og personvern

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

OVERSIKT SIKKERHETSARBEIDET I UDI

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll i praksis (styringssystem/isms)

Raskere digitalisering med god sikkerhet. Evry

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Difis veiledningsmateriell, ISO og Normen

Digitaliseringsstrategi

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Digitaliseringsstrategi

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Hva er sikkerhet for deg?

DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET

Retningslinje for risikostyring for informasjonssikkerhet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Spørreundersøkelse om informasjonssikkerhet

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Anbefalinger om åpenhet rundt IKT-hendelser

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Styringssystem i et rettslig perspektiv

Strategi for informasjonssikkerhet

Personopplysninger og opplæring i kriminalomsorgen

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Digital strategi for HALD Februar 2019

Prosedyre. Prosedyre for konflikthåndtering - Veiledning og prosedyre for oppfølging av konflikter i arbeidslivet - Gjelder for: Alle ansatte

Digitaliseringsstrategi

Informasjonssikkerhet i Norge digitalt Teknologiforum

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Styresak Orienteringssak - Informasjonssikkerhet

FOSEN REGIONRÅD. Nærhet gjennom digital samhandling. ekom munestrategi for Fosen HANDLINGSPLAN

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel mai 2008

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Brudd på personopplysningssikkerheten

Digitaliseringsstrategi

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Avito Bridging the gap

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Digitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Kommunenes rolle i digitalisering av offentlig sektor

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Sikkert nok - Informasjonssikkerhet som strategi

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Tiltaksplan digitalisering 2019

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Politikk for informasjonssikkerhet

Foto: Colourbox.com HELSE, MILJØ OG SIKKERHET HANDLINGSPLAN // UNIVERSITETET I BERGEN

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Hva er et styringssystem?

DET DIGITALE TRUSSEL- OG RISIKOBILDET

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Databehandleravtale etter personopplysningsloven

Databehandleravtale for NLF-medlemmer

Risikovurdering for folk og ledere Normkonferansen 2018

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Saksframlegg Referanse

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

Aggregering av risiko - behov og utfordringer i risikostyringen

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

Kommunikasjon med ledelsen hva kan Difi bidra med?

Risikobasert arbeid med personvern

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Transkript:

Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8

Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt regelverk 5 Kommuneloven, eforvaltningsforskriften og internkontroll 5 Personopplysningsloven, -forskriften og personvern 6 Øvrige nasjonale og lokale føringer 6 Strategisk fokus 6 Fokusområde 1 - Organisering og integrasjon 6 Delmål 1.1 - Arbeidet med informasjonssikkerhet skal være basert på tydelig organisering, roller, ansvar og tverrfaglig samarbeid 7 Delmål 1.2 - Informasjon skal sikres der det er behov for den, i enhetene 7 Fokusområde 2 - Sikkerhetskultur og personvern 7 Delmål 2.1 - Systematisk samarbeid skal bidra til å minimere risiko for brudd på informasjonssikkerheten 7 Delmål 2.2 - Personvern skal være en synlig del av arbeidet med informasjonssikkerhet 8 Tiltak og handlingsplaner 8 Side 2 av 8

SAMMENDRAG Gjennom media blir vi nesten daglig presentert for et stadig mer dramatisk og tilsynelatende teknologisk orientert trusselbilde. Norges hemmelige tjenester anser informasjonssikkerhet for å være vår største sikkerhetsfaglige utfordring, og maner til samarbeid, systematikk og styring. Det er avgjørende å starte arbeidet med informasjonssikkerhet der informasjonen behandles, i den enkelte enhet hvor informasjon utgjør ryggraden i tjenesteleveransene. Informasjonssikkerhet starter med enhetenes krav til sikring og slutter med enhetenes sikre behandling av informasjon. Teknologiens sikkerhet vil aldri bli bedre enn de kravene man stiller. Informasjonens sikkerhet er et produkt av de sikringstiltakene man har foretatt på forhånd og hvordan man behandler sårbarheter, svakheter og feil etter hvert som disse oppstår. Kravene til sikring av informasjon bestemmes i hovedsak av to faktorer, informasjonens innhold og hvilken sammenheng den behandles i. Informasjonssikkerhet handler i bunn og grunn om sikring av informasjonsverdier med betydning for både offentlig forvaltning, virksomheter, organisasjoner og enkeltpersoner derfor angår det oss alle. For at informasjonssikkerheten og personvernet skal være best mulig må det arbeides med på en systematisk måte, og behandles som en integrert del av all informasjonsbehandling, enten behandlingen er helt eller delvis manuell. Derfor må alle i Bergen kommune samarbeide på tvers av faglige enheter og mål. Visjon Bergen kommunes visjon er at informasjonssikkerhet og personvern skal være en naturlig del av kommunen. Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 3 av 8

INNLEDNING Den største trusselen mot informasjonssikkerheten er primært oss mennesker og vår manglende forståelse av behovet for sikring. Sikkerhetsbrudd er forårsaket av svakheter. Det kan handle om manglende forståelse for risiko og dertil manglende sikring, eller om manglende kompetanse. De aller fleste handler i god tro. Sikringstiltak, systematikk, rutiner og prosedyrer innføres for å ivareta informasjonssikkerheten på en formell, systematisk og etterprøvbar måte. For å oppnå tilstrekkelig og tilpasset sikring av informasjon i hele kommunens virksomhet, er det nødvendig med et bredere og dypere fokus på sikring av informasjon i alle prosesser og alt vi gjør ikke bare teknologisk. Strategi for informasjonssikkerhet gjelder alle ansatte, ledere og andre i tjeneste for Bergen kommune. Bergen kommune fikk sin første strategi for informasjonssikkerhet i 2011. Da var det viktig å fokusere på å skape et grunnlag for organisering av arbeidet med informasjonssikkerhet, og på å få i gang en kulturbyggende bevisstgjøring. Mye har endret seg siden den gang. Tiltakene fra forrige strategi er enten gjennomført eller har avdekket mer spesifikke behov. For eksempel innen organisering av informasjonssikkerhetsarbeidet er det avdekket et behov for tettere integrasjon med kommunens mangfoldige tjenesteproduksjon. Arbeidet med styrking av sikkerhetskultur og bevisstgjøring er i gang, men skal systematiseres ytterligere og få et tydeligere fokus på personvern. Trusselbildet blir stadig konkretisert gjennom oppslag i media. Norges hemmelige tjenester, Etterretningstjenesten, PST og Nasjonal sikkerhetsmyndighet, er alle enige om at informasjonssikkerhet er en av de største utfordringene vi står overfor fra et sikkerhetsfaglig ståsted. Organisert kriminalitet og andre nasjoner er blant de trusselaktørene som stadig blir mer profesjonelle i sin tilnærming. Derfor er det avgjørende at systematiseringen av arbeidet med informasjonssikkerhet i Bergen kommune står i forhold til profesjonaliseringen man observerer blant trusselaktørene. Selv når man ser bort fra ondsinnede trusselaktører finnes det også andre trusler mot informasjonssikkerheten i Bergen kommune. Digitalisering av informasjonsbehandling gir oss mange gevinster, men også mange utfordringer som må adresseres allerede på planleggingsstadiet og på en systematisk og dokumentert måte. Dette arbeidet starter ute i den enkelte enhet. Bergen kommune vil alltid håndtere store mengder informasjon, som ligger til grunn for all tjenesteproduksjon i kommunen. Informasjon som er helt nødvendig for at kommunen skal ha mulighet til å oppfylle sine forpliktelser og leve opp til innbyggernes forventninger. Den er ikke bare er verdifull for kommunens tjenesteproduksjon, men også verdifull for de den omhandler, ansatte, elever, innbyggere og virksomheter. Mye informasjon krever beskyttelse fra uvedkommende, enten de er eksterne eller interne. Balansert beskyttelse og sikring av informasjon krever at alle i kommunen samarbeider om å jobbe systematisk og strukturert med personvern og informasjonssikkerhet. Side 4 av 8

Begreper Informasjonsbehandling Enhver handling som innebærer håndtering av informasjon. Å lagre informasjon på en minnepenn, sende e-post eller brev, lete opp informasjon om noe eller noen og saksbehandling er noen få eksempler på informasjonsbehandling. Informasjonssikkerhet Sikring av informasjon for å hindre brudd på konfidensialitet, integritet og/eller tilgjengelighet. Informasjonsverdi All informasjon har en verdi for noen, for offentlig forvaltning, virksomheter, organisasjoner eller enkeltpersoner. Integritet At informasjonens innhold er korrekt. Urettmessig endring av lønn, karakterer eller andre opplysninger vil være et brudd på integritet. Konfidensialitet At informasjon bare behandles av de som har behov for den, og at utilsiktet innsyn i informasjon unngås. Brudd på taushetsplikt vil være et brudd på konfidensialitet. Personopplysninger Alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Navn, telefonnummer og adresse er personopplysninger mange kjenner til, men karakterer, hendelseslogger, bilder og vurderinger av noens økonomiske situasjon er også eksempler på personopplysninger. Tilgjengelighet At informasjonen er tilgjengelig når det er behov for den. Et dokument som blir borte, som det ikke finnes kopier av, vil være et brudd på tilgjengelighet. Trusselbilde En sammenstilling av trusler Bergen kommune står overfor. Trusselaktør En enkeltperson, organisasjon eller en fremmed makt som utgjør en trussel for Bergen kommune. NASJONALT REGELVERK Både lovverket og nasjonale strategier har samme fokus. Innenfor rammene av den rettslige reguleringen møtes organisatoriske, juridiske og teknologiske spørsmål. Formålet er å oppnå tilfredsstillende informasjonssikkerhet med hensyn til ivaretakelse av informasjonens konfidensialitet, integritet og tilgjengelighet (jf. personopplysningsloven 13). Informasjonssikkerhet blir stadig viktigere for organisasjoner så vel som for den enkelte, og vi må alle bygge den inn i alt vi gjør. Kommuneloven, eforvaltningsforskriften og internkontroll Bergen Kommune må følge en rekke lovpålagte krav i sitt arbeid med informasjonssikkerhet. Dette er gjengitt i kommunelovens generelle krav om at internkontroll skal «drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll» (jf. kommuneloven 20 nr. 1 og 2). I eforvaltningsforskriftens 15 utdypes dette kravet innen informasjonssikkerhet til «Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet». ISO/IEC 27001 er å anse som den foretrukne standarden innen dette området, og er den standarden som benyttes som utgangspunkt for bygging av et slikt styringssystem i Bergen kommune. Standarden beskriver et sett med krav til som skal bidra til å beskytte virksomhetens informasjon mot tilsiktede og utilsiktede brudd på konfidensialitet, integritet og tilgjengelighet. Standarden stiller krav til at sikkerhetsarbeidet gjennomføres på en helhetlig og systematisk måte, og med tilstrekkelig styring og kontroll. Side 5 av 8

Personopplysningsloven, -forskriften og personvern Personopplysningslovens formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Personopplysninger er informasjon som kan knyttes til en enkeltperson, enten vedkommende er innbygger eller ansatt. Godt personvern avhenger av god informasjonssikkerhet og kravene i personopplysningsloven og -forskriften er derfor i stor grad basert på samme utgangspunkt som eforvaltningsforskriftens «anerkjente standarder» 1. Bestemmelsene regulerer sikring av opplysningenes konfidensialitet, tilgjengelighet og integritet, og pålegger behandlingsansvarlig en plikt til å vurdere om behandlingen er innenfor regelverkets rammer, eller om det er behov for å iverksette tiltak. Loven angir i liten grad hvilke tiltak som er aktuelle for å oppnå lovens krav til tilfredsstillende sikring. Den legger opp til at tiltak må være basert på dokumentert risikostyring, systematiske tiltak og internkontroll. Det handler om å etablere en systematisk og dokumentert tilnærming for å sikre at alle informasjonsbehandlinger ivaretar informasjonssikkerheten, og overholder de krav som stilles gjennom lover og regler. Øvrige nasjonale og lokale føringer Nasjonalt er det spesielt regjeringens nasjonale strategi og handlingsplan for informasjonssikkerhet fra 2012 2 som viser vei i arbeidet med informasjonssikkerhet i det offentlige Norge. I tillegg har DIFI 3 fått et styrket fagmiljø for informasjonssikkerhet, som på kort tid har kommet med gode bidrag, også i samarbeid med kommunesektoren og Bergen kommune. DIFI har blant annet lansert faglige fora, veiledningsmateriale og startet omfattende opplærings- og undersøkelsesprogrammer. Ellers samarbeider Bergen kommune med både NorSIS 4, NorCERT 5, HelseCSIRT 6, med flere. I kommunen er det en nær tilknytning mellom kommunens IKT-strategi 7 og strategi for informasjonssikkerhet. Internt i kommunen har det skjedd en styrking av det tverrfaglige arbeidet med internkontroll, et økt fokus på risikostyring generelt og et stadig tettere samarbeid mellom miljøene for samfunnssikkerhet, HMS og informasjonssikkerhet. STRATEGISK FOKUS Arbeidet med å sikre informasjon generelt og sørge for godt personvern spesielt, er begge helt avhengig av gode prosesser for internkontroll, god sikkerhetskultur, tverrfaglig samarbeid og integrasjon med organisasjonens eksisterende styringsmekanismer. I det systematiske arbeidet med kontinuerlig forbedring av informasjonssikkerhet ønsker Bergen kommune i kommende strategiperiode å ha spesielt fokus på to områder. Fokusområde 1 - Organisering og integrasjon Behovet for sikring av informasjon henger sammen med informasjonens innhold og sammenhengen den benyttes innenfor. Det er derfor avgjørende at organiseringen av arbeidet med informasjonssikkerhet bygger på kommunens organisering av tjenesteområder. 1 Jf. 13 og 14 i personopplysningsloven og 15 i eforvaltningsforskriften. 2 https://www.regjeringen.no/nb/dokumenter/nasjonal-strategi-for-informasjonssikker/id710469/ 3 Direktoratet for forvaltning og IKT 4 Norsk senter for informasjonssikring (http://www.norsis.no) 5 Norsk Computer Emergency Response Team, drevet av NSM (http:// nsm.stat.no) 6 Helse- og omsorgssektorens Computer Security Incident Response Team 7 IKT-strategi for Bergen kommune 2014-2017 Side 6 av 8

Avgjørelser om sikring av informasjon skal ligge nærmest mulig der behovet for behandling av spesifikk informasjon i organisasjonen finnes. Det er avgjørende at arbeid med sikring foregår på grunnlag av tjenesteområdenes egne behov, evne til sikring og anledning og vilje til å akseptere risiko. Delmål 1.1 - Arbeidet med informasjonssikkerhet skal være basert på tydelig organisering, roller, ansvar og tverrfaglig samarbeid Den enkelte leder må ta hensyn til flere former for sikkerhet i sin enhet, ikke bare sikring av informasjon, men også sikring av den enkeltes arbeidsmiljø eller sikring av skjermingsverdige objekter i samfunnet rundt oss. Disse ulike formene for sikkerhet henger sammen og er avhengig av hverandre. Uansett hvilket perspektiv man har på sikkerhet vil målsettingen være den samme, å sikre seg mot at uvedkommende truer verdiene våre. Dette gjøres best med hjelp av en tydelig organisering, med klart definerte roller og ansvar. I tillegg er det viktig å sørge for at belastningen på den enkelte leder blir minst mulig med et best mulig tverrfaglig samarbeid om verktøy og metodikk. Delmål 1.2 - Informasjon skal sikres der det er behov for den, i enhetene Informasjon må i første rekke sikres der den behandles, i enhetene. Informasjonen eies av enhetene i kraft av å være en ufravikelig del av de prosesser og tjenesteleveranser den enkelte enhet står ansvarlig for. Det betyr at informasjonssikkerhet må være en del av all informasjonsbehandling i kommunen, og at resultatenhetsledere må bli mer bevisst det ansvaret de har for informasjon. For å kunne sikre informasjon er det avgjørende at resultatenhetsledere sørger for å ha en god oversikt over hvilken informasjon som behandles, hvor den behandles, av hvem, hvordan og hvor stor risikoen med behandling er. De må også sørge for at enhetens ansatte vet hva de skal gjøre når en uønsket hendelse oppstår, og hvordan de best skal sørge for at det ikke skjer igjen. Fokusområde 2 - Sikkerhetskultur og personvern Delmål 2.1 - Systematisk samarbeid skal bidra til å minimere risiko for brudd på informasjonssikkerheten Utilstrekkelig kompetanse eller bevissthet om rutiner og retningslinjer, og sviktende kompetanse blant de ansatte utgjør helt sentrale risikoer. Alle ledere skal vite, ha oversikt over og informere om hvilken informasjon enheten behandler, hvem de kan dele informasjonen med, og hvordan dette kan gjøres på en forsvarlig måte. Uforsvarlig håndtering av informasjon kan uansett forekomme, men da er det avgjørende å skape kultur i alle enheter for å rapportere alle avvik, små som store, slik at man på en systematisk måte forsøker å unngå at det skjer igjen. Alle må være bevisst på sikkerhetsrisikoer, og ta ansvar for å gjennomføre tiltak som kan styrke informasjonssikkerheten og personvernet. Ved at alle trekker i samme retning vil summen av tiltak og holdninger bidra til utvikling av en sikkerhetskultur, som vil styrke informasjonssikkerheten og personvernet i alle ledd i Bergen kommune. Side 7 av 8

Delmål 2.2 - Personvern skal være en synlig del av arbeidet med informasjonssikkerhet Store deler av informasjonen Bergen kommune forvalter er personopplysninger om kommunens innbyggere og ansatte. Gjennom fokus på styrking av informasjonssikkerhet generelt har Bergen kommune jobbet indirekte med å styrke personvernet kontinuerlig i en årrekke. For å styrke tilliten hos den enkelte innbygger og ansatte, skal kommunen være tydeligere i sitt fokus på å praktisere innebygget personvern, og ved å synliggjøre ivaretakelsen av personvernet for den enkelte, f.eks. gjennom etablering av personvernombud i Bergen kommune. TILTAK OG HANDLINGSPLANER Tiltakene BFEE og avdeling for informasjonssikkerhet jobber etter, nedfelles i en overordnet handlingsplan for informasjonssikkerhet. Arbeid med tiltak har utviklet seg siden forrige strategi og er i dag planmessig og systematisk fulgt opp gjennom balansert målstyring. For å nå målene beskrevet i fokusområdene ovenfor er det avgjørende å gjennomføre de rette tiltakene til rett tid, og å justere tiltakene etter hvert som trusselbildet endrer seg. Side 8 av 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding