RUTINER FOR SIKKERHET FOR PRODUKTREGISTERET OG FOR VIRKSOMHETER SOM BRUKER BESKYTTELSESGRADERT INFORMASJON FRA PRODUKTREGISTERET

Like dokumenter
Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

RHF og HF omfattes av sikkerhetsloven

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Brukermanual for Blancco Data Cleaner+ 4.5

Deklareringsforskriften

Nasjonal sikkerhetsmyndighet

Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker

BILAG 5. Sikkerhetsvedlegg

Nasjonal sikkerhetsmyndighet

2.4 Bruk av datautstyr, databehandling

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Taushetsplikt og skjerming av informasjon v/ Tone Gotheim, seniorrådgiver, juridisk avdeling, Statens jernbanetilsyn

Avtale mellom. om elektronisk utveksling av opplysninger

Rapporteringsskjema for kryptoinstallasjon

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

Sikkerhetskrav for systemer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Kriminalomsorgen. Taushetserklæring

Personvern og informasjonssikkerhet

AVTALE OM TILGANG TIL INFORMASJONSSYSTEM FOR MEDARBEIDER SOM IKKE ER ANSATT I ELLER LØNNET AV VIRKSOMHETEN mellom

Forskrift om deklarering av kjemikalier til produktregisteret (deklareringsforskriften)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Forslag til forskrift om endringer i forskrift om personellsikkerhet og forskrift om sikkerhetsgraderte anskaffelser

Tillatelse til innsamling av farlig avfall for Norsk Gjenvinning Industri AS

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning. Kapittel 1. Alminnelige bestemmelser. Til 1-1. Formål

Bane NOR SF Postboks HAMAR. Att.: Saksbehandler: Tone Gotheim, Vår ref.: 12/ Deres ref.: Dato:

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Prosedyre for skjerming av informasjon

Rapportering av sikkerhetstruende hendelser til NSM

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

M Når Miljødirektoratet kommer på kjemikalieog produktkontroll

Tillatelse til innsamling av farlig avfall for Jacobsen Dental AS

Telenor Norge AS TILBYDER

Kommunens Internkontroll

3. DEFINISJONER... 2

Sikkerhetskrav for systemer

Kjemikaliedeklarering til produktregisteret Elektronisk deklarering

Bilag 14 Databehandleravtale

Personvernerklæring. Nettbasert behandling av personopplysninger

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Sikkerhetskrav for systemer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

heretter kalt Operatøren.

Deklarering til produktregisteret og Produktinformasjonsbanken

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Fjernet all beskrivelse av sikkerhetsklarering og adgangskontroll. Dette er nå beskrevet i en ny prosedyre L-238

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Personvernerklæring. Nettbasert behandling av personopplysninger

M Når Miljødirektoratet kommer på kjemikalieog produktkontroll

Personvernerklæring. Nettbasert behandling av personopplysninger

I I forskrift nr 930: forskrift om gjenvinning og behandling av avfall (avfallsforskriften), gjøres følgende endringer:

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Deres ref: V& ref: Dato: KDI6/ RUNDSKRIV OM ELEKTRONISKE HJELPEMIDLER I FENGSEL

Databehandleravtaler

IKT-reglement for Norges musikkhøgskole

Policy for personvern

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Regler og informasjon til foresatte om bruk av datautstyr for trinn

Databehandleravtale. Denne avtalen er inngått mellom

Autorisasjonsdokumenter ved Frischsenteret

GAMVIK KOMMUNE. Reglement for folkevalgtes innsynsrett. Vedtatt i kommunestyret xx/xx-xx

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

BEDRIFTENS SYSTEM FOR PRODUKSJONSKONTROLL (PKS)

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

REACH NYTT KJEMIKALIEREGELVERK I EU

Full tittel: OPPHEVET Forskrift om godkjent bedriftshelsetjeneste mv.

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

BILAG 5. Sikkerhetsvedlegg

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Rapport etter forurensningstilsyn ved Buskerud Betongvarefabrikk AS i Hurum kommune

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato /EMK

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Retningslinjer for bruk av Universitetets IT-ressurser

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

DRI 1001 Saksbehandlersystemer Forelesning 27. sept. 2006, Arild Jansen, AFIN

Transkript:

Fastsatt av Klima- og miljødepartementet 5. januar 2015 RUTINER FOR SIKKERHET FOR PRODUKTREGISTERET OG FOR VIRKSOMHETER SOM BRUKER BESKYTTELSESGRADERT INFORMASJON FRA PRODUKTREGISTERET INNHOLD 1 INNLEDNING 3 2 VIRKEOMRÅDE 3 3 INFORMASJONSSYSTEMET ASPIK 3 3.1 Godkjenning, revisjon og drift av dataanlegg 4 3.2 Driftsansvar for dataanlegget for produktregisteret 4 3.3 Sikringstiltak for programvare 4 4 SIKKERHETSADMINISTRASJON 4 4.1 Sikkerhetsutvalget for produktregisteret 5 4.2 Autorisasjon 5 4.2.1 Autorisasjon av drifts- og vedlikeholdspersonell ved ekstern drift 5 4.2.2 Autorisasjon av personale i Miljødirektoratet og hos brukervirksomhetene 5 4.3 Organisering av arbeidet 6 4.4 Bruk av IKT- og fotoutstyr etc. 6 4.5 Undervisning 6 4.6 Instrukser 7 4.7 Krise- og beredskapsplan 7 5 TILGANG TIL INFORMASJON FRA PRODUKTREGISTERET 7 5.1 Brukervirksomheter med direkte terminaltilgang til beskyttelsesgradert informasjon _ 7 5.2 Tilgang for andre virksomheter til data fra produktregisteret 7 5.3 Krav ved søking etter og utskrift av beskyttelsesgradert informasjon fra registeret 7 5.4 Makulering og avhending av graderte datamedia 8 5.5 Kommunikasjon av graderte opplysninger 8 6 FYSISKE SIKRINGSTILTAK. 8 6.1 Adgang til rom i Miljødirektoratet med beskyttelsesgradert informasjon 8 6.1.1 Adgang til dataanlegg for produktregisteret og drift av anlegget 9 6.2 Adgang til terminalrom hos eksterne brukere 9 7 SANKSJON - STRAFF 9

8 REVISJON AV RUTINER FOR SIKKERHET 9 9 REFERANSER 10 10 DEFINISJONER 10

beskyttelsesgradert informasjon fra produktregisteret Side 3 av 12 1 INNLEDNING Produktregisteret er statens sentrale register for kjemikalieinformasjon til bruk innen helse-, miljø- og sikkerhetsarbeid. Produktregisteret driftes av miljøgiftavdelingen i Miljødirektoratet. Opplysninger i produktregisteret er offentlige med mindre det foreligger hjemmel for unntak slik det kan være for forretningshemmeligheter (jf offentleglova 13 jf. produktkontrolloven 11). Importører og produsenter av farlige kjemikalier 1 (kalles heretter deklaranter) er pålagt å registrere slike kjemiske produkter til Miljødirektoratet. Miljødirektoratet skal sørge for innhenting, lagring og behandling av næringslivets forretningshemmeligheter på en sikkerhetsmessig forsvarlig måte. 2 VIRKEOMRÅDE Rutinene for sikkerhet gjelder bruk og behandling av forretningshemmeligheter som er innhentet til produktregisteret av Miljødirektoratet. Rutinene for sikkerhet gjelder derfor også for eksterne brukere av beskyttelsesgraderte 2 opplysninger fra produktregisteret. Rutinene for sikkerhet utfyller gjeldende bestemmelser i beskyttelsesinstruksen. 3 INFORMASJONSSYSTEMET ASPIK Produktdeklarasjonene lagres i en database kalt ASPIK 3. ASPIK inneholder store mengder beskyttelsesgraderte data (fortrolig og strengt fortrolig) skal i henhold til beskyttelsesinstruksen minst sikres som angitt i beskyttelsesinstruksens 12. ASPIK skal bare installeres på Miljødirektoratets dataanlegg som er reservert for behandling av beskyttelsesgraderte data. Bare terminalene i datasentralen skal ha administratortilgang til systemet. 1 Forskrift om klassifisering og merking av farlige kjemikalier 2 Beskyttelsesgradert som fortrolig eller strengt fortrolig etter beskyttelsesinstruksen se senere. 3 ASPIK Arkiv for Stoffer og Produkter i Industri og Konsum hoveddatabasen i produktregisteret

beskyttelsesgradert informasjon fra produktregisteret Side 4 av 12 De terminalene som ikke står inne på datasentralen, altså brukerterminaler mot ASPIK, skal bare ha tilgang til de data som blir bestemt for vedkommende brukergruppe og skal ikke kunne nyttiggjøre seg andre system-/dataressurser ved dataanlegget. 3.1 Godkjenning, revisjon og drift av dataanlegg Miljødirektoratet skal utarbeide kravspesifikasjon for sikkerhet for arbeid med produktregisteret. Det datatekniske sikkerhetsopplegget skal godkjennes av Miljødirektøren og med jevne mellomrom revideres av ekstern revisor. Miljødirektoratet skal utarbeide årsplan for sikkerhet knyttet til produktregisteret og sørge for at det foretas risikoanalyser. Miljødirektoratet skal årlig sørge for å gjennomføre sikkerhetsmessig internkontroll av sikkerheten. Miljødirektoratet har ansvaret for å kontrollere at teknisk utstyr og IKT-systemer tilrettelagt for registrering av taushetsbelagt informasjon fungerer slik det er forutsatt. Avvik skal rapporteres løpende til seksjonssjef som har ansvar for produktregisteret, og som skal rapportere videre i linjen. 3.2 Driftsansvar for dataanlegget for produktregisteret Alle driftsprosedyrer og hendelser skal være dokumentert og reviderbare. Det skal foreligge instruks som gir regler for besøk i datarommet (se også kap 4.6). Ved ekstern drift skal driftsansvarlig virksomhet godkjennes av Miljøverndepartementet etter at sikkerhetsutvalget har uttalt seg. 3.3 Sikringstiltak for programvare Bare autorisert personell fra driftsansvarlig virksomhet skal kunne åpne tilgang til operativsystem og database. Dette skal bare kunne utføres fra terminal i datasentralen. Alle andre terminaler skal kun ha tilgang til godkjente applikasjonsprogram. Alle transaksjoner mot maskinen skal være dokumentert og reviderbare. Oppstart av systemet uten aktive logger skal ikke være mulig. 4 SIKKERHETSADMINISTRASJON Miljødirektøren og virksomhetsledere i brukervirksomhetene har ansvaret for sikkerheten i hver sin virksomhet og må sørge for god nok sikkerhet.

beskyttelsesgradert informasjon fra produktregisteret Side 5 av 12 De daglige praktiske sikkerhetstiltak er et linjeansvar og skal inngå som en integrert del av all virksomhet. Ledere på alle nivåer har ansvar for gjennomføring av sikkerhetstiltak. 4.1 Sikkerhetsutvalget for produktregisteret Klima- og miljødepartementet oppnevner for tre år om gangen et sikkerhetsutvalg for arbeidet med produktregisteret som er underlagt departementets instruksjonsmyndighet. Næringslivet skal være representert i utvalget, og Miljødirektoratet skal være sekretariat for utvalget. Utvalget skal gi råd og veiledning for sikkerhets- og virksomhetsledere og bidra til økt forståelse og motivasjon for sikkerhetsopplegget. Sikkerhetsutvalget har adgang til å foreta anmeldte og uanmeldte kontroller av Miljødirektoratet og de eksterne brukeretatene for å se på sikkerheten knyttet til tilgang, bruk og håndtering av dataene i produktregisteret. Etatene skal gi sikkerhetsutvalget tilgang til den informasjon utvalget ber om, herunder adgang til lokaler og tilgang til dokumentasjon og informasjonssystemer med data fra produktregisteret og til aktuelle kontrollrapporter fra intern- og eksternrevisjon. Dersom det oppdages brudd på beskyttelsesinstruks eller rutiner ikke følges, skal utvalget gi beskjed til etatens leder og til seksjonssjef i Miljødirektoratet som har ansvar for produktregisteret. Ved alvorlige brudd skal utvalget rapportere til Klima- og miljødepartementet. 4.2 Autorisasjon Kun autoriserte personer skal gis tilgang til beskyttelsesgraderte opplysninger. Alle som autoriseres skal undertegne taushetserklæring 4. Taushetserklæringen skal påføres henvisning til beskyttelsesinstruksen og Rutiner for sikkerhet og til virksomhetens relevante sikkerhetsinstrukser. 4.2.1 Autorisasjon av drifts- og vedlikeholdspersonell ved ekstern drift Ved ekstern drift skal drifts- og vedlikeholdspersonell være autorisert etter de retningslinjer som gjelder for arbeid med produktregisteret. 4.2.2 Autorisasjon av personale i Miljødirektoratet og hos brukervirksomhetene Personale som skal ha tilgang til beskyttelsesgraderte data fra produktregisteret skal autoriseres av den enkelte virksomhetens leder, eller den som virksomhetens leder har delegert dette til. 4 Kan være egentilpasset taushetserklæring ved virksomheten eller Statens blankett X-0138 B/N (godkjent 06-2001 eller senere)

beskyttelsesgradert informasjon fra produktregisteret Side 6 av 12 Miljødirektoratet bestemmer antallet autoriserte hos brukervirksomhetene som skal ha tilgang til beskyttelsesgraderte opplysninger fra produktregisteret. Vilkår for å gi autorisasjon: Ansatte i Miljødirektoratet som trenger tilgang til informasjonssystemet ASPIK, og ansatte hos brukervirksomheter med terminaladgang, kan gis autorisasjon forutsatt at de har vært ansatt i minst 3 måneder og at de har fått dokumentert opplæring at vedkommende kjenner beskyttelsesinstruksen, Rutiner for sikkerhet og relevante sikkerhetsbestemmelser og instrukser at de har undertegnet taushetserklæring som angitt i kap 4.2. at det er gjennomført autorisasjonssamtale Virksomhetsleder i brukervirksomhet skal gi Miljødirektoratet en fortegnelse over autorisert personell. 4.3 Organisering av arbeidet Arbeidet skal organiseres slik at: beskyttelsesgraderte produktopplysninger og annen taushetsbelagt informasjon ikke spres, eller gis innsyn i, ut over det som det tjenstlige behov tilsier. enkeltpersoner ikke får eneansvar der dette er av stor betydning for sikkerheten uten at det foreligger dokumentert begrunnelse. 4.4 Bruk av IKT- og fotoutstyr etc. Det er forbudt å bringe inn privat datautstyr, inkludert private minnepinner, i datasentral. Det er forbud mot fotografering i datasentral uten at det foreligger tillatelse fra seksjonssjef som har ansvaret for produktregisteret. Det er forbud mot fotografering i brukervirksomhetenes terminalrom som har tilkopling mot produktregisteret, uten at det foreligger tillatelse fra vedkommende virksomhetsleder. 4.5 Undervisning Personellet skal gis den undervisning og opplæring som er nødvendig for at det skal kunne medvirke til en effektiv gjennomføring av sikringstiltakene. Opplæringen skal være dokumentert..

beskyttelsesgradert informasjon fra produktregisteret Side 7 av 12 4.6 Instrukser Miljødirektoratet skal utarbeide driftsinstruks for ASPIK. Miljødirektoratet, og brukervirksomheter som gis tilgang til beskyttelsesgraderte opplysninger fra produktregisteret, skal utarbeide brukerinstruks med retningslinjer for bl.a. sikkerhetsadministrasjon og dokumenthåndtering (se også kap 5.3). Brukerinstrukser og driftsinstruks skal sendes sikkerhetsutvalget til orientering. 4.7 Krise- og beredskapsplan Miljødirektoratet skal utarbeide krise- og beredskapsplaner for å sikre dataene i produktregisteret og for å kunne gjenskape registeret etter en krisesituasjon som for eksempel brann og lignende. Planene skal sendes sikkerhetsutvalget til orientering. 5 TILGANG TIL INFORMASJON FRA PRODUKTREGISTERET 5.1 Brukervirksomheter med direkte terminaltilgang til beskyttelsesgradert informasjon Bare definerte brukervirksomheter kan ha direkte terminaltilgang til ASPIK 5. 5.2 Tilgang for andre virksomheter til data fra produktregisteret Alle statlige virksomheter med informasjonsbehov knyttet til oppgaver som fremgår av lov, eller regelverk gitt med hjemmel i lov, kan ved dokumentert tjenstlig behov og etter vurdering, gis tilgang til beskyttelsesgraderte data enten ved direkte tilgang til produktregisteret eller ved at Miljødirektoratet sender/gir slike data til virksomheten. Den enkelte virksomhetsleder fastsetter hvilke medarbeidere som skal gis autorisasjon til slike opplysninger og det skal foreligge undertegnet taushetserklæring. 5.3 Krav ved søking etter og utskrift av beskyttelsesgradert informasjon fra registeret Miljødirektoratet skal sørge for historikk og sporbarhet som grunnlag for revisjon og kontroll. 5 Disse er p.t.: Arbeidstilsynet og Sosial- og helsedirektoratet avdeling for giftinformasjon (fra 1.1.2015 flyttes giftinformasjonen til Folkehelseinstituttet). Direktoratet for sivil beredskap DSB er i ferd med å anskaffe terminal for direkte adgang til produktregisteret. Statens arbeidsmiljøinstitutt, Folkehelseinstituttet og Petroleumstilsynet er autoriserte for å motta beskyttelsesgraderte opplysninger fra produktregisteret, men har ikke egen terminal.

beskyttelsesgradert informasjon fra produktregisteret Side 8 av 12 Dette skal beskrives i drifts- og brukerinstrukser. 5.4 Makulering og avhending av graderte datamedia Makulering skal skje etter metoder som utelukker lesbar rekonstruksjon (jf forskrift om informasjonssikkerhet 6 ). Miljødirektoratets driftsinstruks for arbeid med produktregisteret skal gi regler for avhending av elektroniske datamedia. Avhending og makulering skal journalføres. 5.5 Kommunikasjon av graderte opplysninger Det er ikke tillatt å avgi beskyttelsesgraderte opplysninger over telefon, mobiltelefon, telefaks, med e-post eller på annen måte hvor opplysningene kan fanges opp av uvedkommende 7. Det kan imidlertid unntaksvis i nødsituasjoner gis graderte opplysninger over telefon til leger og sykehus og til offentlige myndigheter med forvaltningsansvar. Utgivelse av informasjon i slike tilfeller skal journalføres og rapporteres til sikkerhetsutvalget. 6 FYSISKE SIKRINGSTILTAK. Det skal minst sørges for sikringstiltak som tilfredsstiller beskyttelsesinstruksen. For Miljødirektoratet og for eksterne brukere med terminaltilkopling til beskyttelsesgraderte data, skal det iverksettes sikringstiltak som angitt i aktuelle deler av forskrift om informasjonssikkerhet jf beskyttelsesinstruksen 12. Som angitt i 12 skal beskyttelsesgraderte dokumenter i slike tilfeller følge regler for BEGRENSET. 6.1 Adgang til rom i Miljødirektoratet med beskyttelsesgradert informasjon Seksjonssjef i Miljødirektoratet som har ansvar for produktregisteret autoriserer personer som skal ha adgang til lokalene uten følge. 6 4-36 Metoder for tilintetgjøring. Tilintetgjøringsmetoden skal være godkjent av NSM. Godkjenning er ikke nødvendig ved bruk av krysskutting i biter på maksimalt 4 x 80 millimeter eller strimler med bredde på maksimalt 2 millimeter for BEGRENSET. Tjenesteleverandører kan bistå ved tilintetgjøring eller stille anlegg til disposisjon. 7 Henvendelser ved akutte forgiftningstilfeller skal normalt henvises til Giftinformasjonen.

beskyttelsesgradert informasjon fra produktregisteret Side 9 av 12 Service-, rengjøringspersonale o.l., som ikke er autorisert, skal være under konstant oppsikt under utførelsen av sitt arbeid. 6.1.1 Adgang til dataanlegg for produktregisteret og drift av anlegget Dataanlegg med beskyttelsesgradert informasjon skal sikres mot at andre enn autoriserte personer som trengs for betjening og vedlikehold, får adgang til anlegget. 6.2 Adgang til terminalrom hos eksterne brukere Brukervirksomhetens leder autoriserer personer som skal ha adgang til lokalene uten følge. Andre ansatte med tjenstlige behov skal følges av autorisert person. Service-, rengjøringspersonale o.l. skal følges av en autorisert person og skal være under konstant oppsikt under utførelsen av sitt arbeid. Terminalrom skal holdes låst når det ikke er i bruk. Utenom arbeidstid skal terminalrom være sikret mot at uvedkommende får adgang (ved alarm, vakttjeneste e.l.). Miljødirektoratets driftspersonell skal gis adgang til terminalrom ved tjenstlig behov. 7 SANKSJON - STRAFF Alvorlig brudd på beskyttelsesinstruksen og Rutiner for sikkerhet kan medføre tap av autorisasjon og tiltak etter tjenestemannsloven. Straffbare handlinger vil bli anmeldt til politiet. 8 REVISJON AV RUTINER FOR SIKKERHET Klima- og miljødepartementet vurderer løpende behovet for revisjon.

beskyttelsesgradert informasjon fra produktregisteret Side 10 av 12 9 REFERANSER 10 DEFINISJONER a) Lov om offentlighet i forvaltningen (offentlighetsloven). b) Lov om rett til miljøinformasjon og deltakelse i offentlige beslutningsprosesser av betydning for miljøet (miljøinformasjonsloven). c) Lov om kontroll med produkter og forbrukertjenester (produktkontrolloven) d) Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen). e) Forskrift om informasjonssikkerhet. f) Forskrift om personellsikkerhet. g) Kravspesifikasjon for sikkerhet (KSS), utarbeidet av Produktregisteret ASPIK Autorisasjon Autorisasjonsansvarlig Autorisasjonssamtale Arkiv for Stoffer og Produkter i Industri og Konsum. ASPIK er navnet på Miljødirektoratets beskyttelsesgraderte database. Godkjennelse eller bemyndigelse for tilgang til beskyttelsesgradert informasjon Virksomhetens leder er ansvarlig for å autorisere personell for tilgang til beskyttelsesgradert informasjon. Virksomhetens leder kan delegere myndigheten til å gi autorisasjon. For å avklare tillitsforholdet mellom autorisasjonsansvarlig og en person i forbindelse med dennes autorisasjon, skal autorisasjonsansvarlig sørge for at det blir avholdt en autorisasjonssamtale med vedkommende. Den som avholder en autorisasjonssamtale skal 1. informere om lokale sikkerhetsmessige forhold, 2. forsikre seg om at vedkommende kjenner sikkerhetsmessige risikofaktorer og beskyttelsesinstruksen og rutiner for sikkerhet, (pkt 3 nedenfor gjelder bare ved sikkerhetsklarering) 3. kontrollere at opplysninger avgitt i personopplysningsblanketten er korrekte og oppdaterte, og 4. Få eventuelle ytterligere opplysninger av sikkerhetsmessig

beskyttelsesgradert informasjon fra produktregisteret Side 11 av 12 betydning. Beskyttelsesinstruksen Beskyttelsesgradering/ beskyttelsesgradert Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter. Gradering av forretningshemmeligheter jf beskyttelsesinstruksen. STRENGT FORTROLIG I disse bestemmelser menes STRENGT FORTROLIG iht beskyttelsesinstruksen, jfr. offentleglova 13 FORTROLIG I disse bestemmelser menes FORTROLIG iht beskyttelsesinstruksen, jfr. offentleglova 13 Brukervirksomhet Betegnelse på virksomhet som kan motta beskyttelsesgradert produktinformasjon i produktregisteret direkte fra Miljødirektoratet. Bruk og behandling av produktopplysninger/ forretningshemmeligheter Med bruk og behandling av produktopplysninger menes håndtering av dokumentene, innbefattet: - journalføring - gradering - saksbehandling - oppbevaring - forsendelse - makulering Datasentralen Spesielt avlåst og sikret rom i Miljødirektoratet hvor beskyttelsesgraderte servere, kryptoutstyr og annet kommunikasjonsutstyr befinner seg.

beskyttelsesgradert informasjon fra produktregisteret Side 12 av 12 Definert brukervirksomhet Forretningshemmelighet Produktdeklarasjon Brukervirksomheter som kan ha direkte terminaltilgang til strengt fortrolige opplysninger i produktregisteret. Kjemikalienes sammensetning, egenskaper, produksjonsmetoder, forskningsresultater, planer, prognoser, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers som andre foretak vil kunne utnytte til sin egen drift til skade for det foretaket som har gitt opplysningen (jf produktkontrollovens 11). Med "produktdeklarasjon" forstås i disse bestemmelsene bl.a. en fullstendig, nøyaktig og detaljert oppstilling av et kjemikalies sammensetning se forøvrig Miljødirektoratets veiledning på vår hjemmeside www.miljodir.no/produktregisteret Produktregisteret i Miljødirektoratet Statens sentrale register over kjemiske stoffer og stoffblandinger.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding