Ledelsesforankring rettskrav, muligheter og utfordringer. Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

Like dokumenter
Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtaler. Tommy Tranvik Unit

Endelig kontrollrapport

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Endelig kontrollrapport

Endelig Kontrollrapport

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Endelig kontrollrapport

Kommunens Internkontroll

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Informasjonssikkerhet i forordningen

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Kan du legge personopplysninger i skyen?

VIRKE. 12. mars 2015

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Databehandleravtale for NLF-medlemmer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

TRYGG DIGITALISERING I OS KOMMUNE

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Styringssystem i et rettslig perspektiv

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Strategi for Informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Bilag 14 Databehandleravtale

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Sikkerhet og personvern i skole og klasserom

Veileder: Risikovurdering av informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Hva er et styringssystem?

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Norges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU

KF Brukerkonferanse 2013

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Bruk av databehandler (ekstern driftsenhet)

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel mai 2008

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Endelig kontrollrapport

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Tjenester i skyen hva må vi tenke på?

Policy for personvern

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Foreløpig kontrollrapport

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Politikk for informasjonssikkerhet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Endelig kontrollrapport

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Status personvern Hedmark og Oppland fylkeskommuner

Noen aktuelle tema for personvernombud i finans

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Transkript:

Ledelsesforankring rettskrav, muligheter og utfordringer Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

Agenda Reglene om informasjonssikkerhet i personopplysningsloven med forskrift Fokus på reglene om ledelsesinvolvering Erfaringer fra et forskningsprosjekt Studier av primærkommuner Prosjektperiode 2007-2010

Personopplysningsloven med forskrift Formål: unngå krenkelser av grunnleggende personvernhensyn (bl.a. privatlivets fred og personlig integritet) Gjelder ved elektronisk behandling av personopplysninger Gjelder når personopplysninger inngår i manuelle personregistre Personopplysninger alle opplysninger og vurderinger som kan knyttes til en enkeltperson

Reglene om informasjonssikkerhet Personopplysningsloven 13 og forskriften kapittel 2: 1. Tilfredsstillende sikring av personopplysningenes konfidensialitet, integritet og tilgjengelighet 2. Systematiske og planlagte tiltak tilpasset lokale forhold

Kapittel to i forskriften Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges (forskriften 2-3) Betyr at den daglige ledelsen formelt sett er ansvarlig for at informasjonssikkerheten er tilfredsstillende Vid delegasjonsadgang

Ledelsens konkrete plikter Sikkerhetsmål og strategi Sikkerhetsorganisering Ledelsesgjennomganger Risikovurderinger (akseptkriterier) Sikkerhetsrevisjon Avvikshåndtering Endringskontroll Opplæring Sikringstiltak Kontroll med databehandlere, kommunikasjonspartnere, osv. Dokumentasjon

Datagrunnlaget Intervjuer og dokumenter 1. 19 store kommuner 2. Datatilsynet 3. Andre nasjonale aktører (FAD, KIS, DIFI, KINS, KS, NorSIS og leverandører)

Kommunene To mellomstore (ca. 17 500 innb.) og 17 store (mer enn 20 000 innb.) Fra seks til 35 IT-ansatte Mellom 80 og 140 fag- og fellessystemer Fra ca. 1 600 til omkring 7 600 maskiner Fordelt på ca. 45 til omkring 250 ulike lokasjoner

Datatilsynet Ca. 100 stedlige kontroller hos primærkommunene (2001-2010) Pålegg om retting av regelavvik ved over 90 prosent av kontrollene I gjennomsnitt over fire pålegg per kontroll Omfanget av hvert pålegg er blitt mindre

Hovedmønsteret: Hva er blitt gjort? 1. Dokumentasjon (13 kommuner) 2. Implementering (fire kommuner) 3. Ingen av delene (to kommuner) Ser på papiret ut som om ledelsen har ivaretatt sine plikter

Hovedmangler Problematisk forhold mellom dokumenter og praksis Dokumentasjonen skjuler: 1. Svak ledelsesinvolvering og styring 2. Begrenset rutinebruk hos de ansatte

Gevinster ved ledelsesforankring Sikkerhetsleder får større synlighet i organisasjonen Lettere for sikkerhetsleder å komme i inngrep med mellomledere Sikkerhetsleder snakker med større autoritet overfor de øvrige ansatte Enklere å få penger til tekniske sikkerhetstiltak (og i noen grad til stillingsprosenter) Fører dette til tilfredsstillende informasjonssikkerhet?

Problembeskrivelse Påstand: Bedre ledelsesforankring vil føre til økt sikkerhetsbevissthet og styrket rutinebruk i organisasjonen Altså: Problem: svak ledelsesforankring Løsning: sterk ledelsesforankring Men hvordan gå fra problem til løsning?

Hovedsvar Kan vanligvis ikke forvente at styrket ledelsesforankring skyldes egenskaper ved ledelsen selv: Ofte lite opptatt av informasjonssikkerhet Oppfattes som en teknisk spesialisert oppgave Trenger et push fra omgivelsene for å involvere seg i styringen av arbeidet

Løsning 1 Ildsjelengasjement: Sikkerhetsleder er spesielt interessert i og opptatt av informasjonssikkerhet Sikkerhetsleder er villig til å legge mye krefter i å komme i inngrep med ledelsen

Løsning 2 Ildsjelenes personlige egenskaper: Sikkerhetsleder har god personkjemi med ledelsen Sikkerhetsleder er en god organisasjonspolitiker

Løsning 3 Organisatoriske forhold: Sikkerhetsleder arbeider med basis i et sikkerhetsutvalg hvor ledelsen er representert Sikkerhetsleder kan finne støtte i sitt arbeid fra et lokalt personvernombud

Løsning 4 Situasjonsbestemte forhold: Organisasjonen utsattes for et sjokk (medieoppmerksomhet omkring sikkerhetsbrudd) Organisasjonen utsettes for kontroll fra Datatilsynet

Løsning 5 Lederen er genuint opptatt av informasjonssikkerhet: Tar selvstendige grep Har egne ideer/ambisjoner Stiller krav til arbeidet

Problemer Ildsjelen brenner lyset i begge ender (gir opp, kynisme, skifter jobb) Ildsjelen mangler de personlige egenskapene (beskjeden, innadvendt, snakker dårlig med sjefen) Mangler sikkerhetsutvalg eller personvernombud (eller begge deler fungerer dårlig) Sjokk eller kontroller fra Datatilsynet har en kortvarig effekt For sterk ledelsesinvolvering er ikke alltid like populært hos sikkerhetslederne (og andre ansatte i IT-avdelingen)

Konklusjon Ledelsesforankring er viktig, men ikke alt Viktigere med kompetente ildsjeler på sikkerhetsledernivå (eller tilsvarende) Forankringen kommer sjelden fra ledelsen selv Forankringen skyldes vanligvis de kompetente ildsjelene (i kombinasjon med enkelte andre forhold) Forankringen er ofte sårbar

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding