Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Like dokumenter
Vedtatt av: Vedtatt: Erstatter: Saksnr: Brv 1316/02

Internkontroll og informasjonssikkerhet lover og standarder

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Kommunens Internkontroll

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtaler

VEILEDNING TIL INSTRUKS FOR INFORMASJONSSIKKERHET

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale digitale arkiv og uttrekk for deponering

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

3.1 Prosedyremal. Omfang

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Overordnet IT beredskapsplan

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Bilag 14 Databehandleravtale

Databehandleravtale etter personopplysningsloven

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Sikkerhetskrav for systemer

Avvikshåndtering og egenkontroll

Personvern og informasjonssikkerhet

Helseforskningsrett med fokus på personvern

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

OVERSIKT SIKKERHETSARBEIDET I UDI

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Endelig kontrollrapport

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Informasjonssikkerhet i Nordre Land kommune

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Endelig kontrollrapport

Skytjenester. Forside og Databehandleravtale. Telenor Norge

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

RETNINGSLINJE for klassifisering av informasjon

Databehandleravtale. Denne avtalen er inngått mellom

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og -strategi

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Endelig Kontrollrapport

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Retningslinjer for databehandleravtaler

VIRKE. 12. mars 2015

Avtale mellom. om elektronisk utveksling av opplysninger

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Personvern - sjekkliste for databehandleravtale

Databehandleravtale etter personopplysningsloven

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Kan du legge personopplysninger i skyen?

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Informasjon interesseorganisasjoner

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Endelig kontrollrapport

Endelig kontrollrapport

Policy for personvern

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Bergen kommunes strategi for informasjonssikkerhet

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Sikkerhetskrav for systemer

Om personopplysningslovens betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO

Risikoanalysemetodikk

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Transkript:

Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr: A-0039 INSTRUKS FOR INFORMASJONSSIKKERHET 1 BAKGRUNN 1.1 Formål Denne instruksen fastlegger Oslo kommunes overordnede krav til beskyttelse av informasjon som samles inn, lagres, bearbeides, overføres og formidles såvel manuelt som elektronisk ved hjelp av IKT-systemer. Instruksen tar i spesiell grad hensyn til kravene til organisatoriske, fysiske og systemtekniske sikkerhetstiltak i forskriftene til Personopplysningsloven (POL). Instruksen er også harmonisert med anbefalingene i den internasjonale sikkerhetsstandarden ISO 17799(1) [1]. Kravene til informasjonssikkerhetstiltak i denne instruks skal tjene som basis for det praktiske arbeid med informasjonssikkerhet i den enkelte virksomhet. For å lette dette arbeidet er det utviklet en veiledning til Instruksen og et sentralt malverk for informasjonssikkerhet. Instruksen, veiledningen og malverket utgjør et felles rammeverk for det praktiske arbeidet med informasjonssikkerhet i kommunens virksomheter, og skal benyttes a) til å skape en felles sikkerhetskultur gjennom økt forståelse av behovet for informasjonssikkerhet b) som grunnlag for å etablere lokale sikkerhetsregelverk c) som utgangspunkt for å iverksette lokale fysiske, organisatoriske og systemtekniske sikkerhetstiltak d) som grunnlag for meldinger og konsesjonssøknader til Datatilsynet 1.2 Gyldighetsområde Instruksen har gyldighet for samtlige virksomheter i Oslo kommune.

2 Figur 1.1 Organisasjonskart for Oslo Kommune I den grad aksjeselskaper, kommunale foretak, interkommunale virksomheter, stiftelser eller andre privatrettslige subjekter gis anledning til å anvende kommunens teknologiske infrastruktur, skal sikkerhetskravene i denne instruksen legges til grunn. 2 INFORMASJONSSIKKERHET I OSLO KOMMUNE 2.1 Mål og overordnede sikkerhetskrav Målet for informasjonssikkerhet i Oslo kommune er rett informasjon til rette vedkommende til rett tid. Kommunens overordnede krav til virksomhetene for å oppnå dette målet er som følger: 1. Informasjonssikkerhet er et kollektivt ansvar, men først og fremst et lederansvar som følger linjen. Dette innebærer at hver enkelt medarbeider har et personlig ansvar, mens ansvaret formelt sett påhviler virksomhetens øverste ledelse. 2. Tilfredsstillende sikkerhetsnivå skal etableres gjennom en fornuftig avveining mellom ulike tiltak for å sikre informasjonens kvalitet, tilgjengelighet og konfidensialitet. Tilgjengelighetsfremmende tiltak skal generelt tillegges like sterk vekt som tiltak for å sikre integritet og konfidensialitet. Blant alternative tiltak med tilstrekkelig sikkerhetsmessig verdi (nytte), bør det tiltak som har lavest kost/nytte-forhold velges (mest sikkerhet pr. krone). 3. Sikkerhetsarbeidet skal ivareta lover og forskrifter og kommunens øvrige regelverk og instrukser for behandling av informasjon samt hensynet til kommunale effektivitetskrav. 4. Sikkerhetsarbeidet skal rette særlig oppmerksomhet mot interne trusler. Interne trusler utgjør generelt en overveiende andel av en virksomhets truselbilde.

3 5. Sikkerhetsarbeidet skal omfatte både fysiske, systemtekniske og organisatoriske sikringstiltak. Tiltakene skal omfatte informasjonssystemenes omgivelser, systemene selv og kommunens personell (ansvarsfordeling/administrative rutiner.) 6. Sikkerhetstiltak skal forebygge, oppdage og reparere skade eller forringelse av informasjon forårsaket av uhell og feil såvel som overlagte handlinger. Det skal rettes fokus på å innarbeide sikkerhet i den enkelte medarbeiders tanke- og handlingsmønster, dvs. å skape en sikkerhetskultur. 7. Sikringsområder skal prioriteres basert på risiko- og sårbarhetsvurdering. Det skal foretas en løpende vurdering av trusler, skadesannsynlighet og konsekvenser. Risiko- og sårbarhetsvurderingen skal resultere i en rapport som skal oppbevares for videre bruk i det interne sikkerhetsarbeidet. Slike rapporter skal også vedlegges eventuelle konsesjonssøknader til Datatilsynet. (Oslo kommune er i henhold til Personopplysningsloven i all hovedsak meldepliktig, men opplysninger knyttet til barnevern er fremdeles konsesjonspliktig). 8. Den enkelte virksomhet må selv beskrive og iverksette nødvendige sikkerhetstiltak som en oppfølging av risiko- og sårbarhetsvurderingen. 9. Kommunens virksomheter skal etablere og dokumentere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten. 10. Det skal etableres rutiner for internkontroll i samsvar med kravene i Personopplysningsloven. Egenkontroller/sikkerhetsrevisjoner skal utføres jevnlig og helst årlig og skal omfatte alle enheter som behandler personopplysninger i kommunen. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er tilfredsstillende, skal dette behandles som avvik. 2.2 Krav til fysisk, systemteknisk og organisatorisk sikring Virksomhetene skal etablere et tilfredsstillende sikkerhetsnivå for såvel fysiske som systemtekniske og organisatoriske forhold. De overordnede krav til sikkerhet i kommunens virksomheter på disse områdene, er som følger: Fysiske sikringstiltak

4 Det skal treffes nødvendige tiltak mot uautorisert adgang til virksomhetens lokaliteter. IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans, m.v. IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive opplysninger, datarom/arkivrom og andre kritiske rom skal være avlåst når de ikke er bemannet. Systemtekniske sikringstiltak Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og på felles systemer. Det skal foretas stikkprøvekontroller av at backup-/reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll. IT-systemene skal inneholde funksjoner for logging i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. o Registrering av uautorisert bruk, forsøk på slik bruk og eventuelle andre hendelser som har eller kan ha betydning for informasjonssikkerheten, skal lagres i minst 3 måneder. Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort. Kommunens virksomheter skal etablere tilfredsstillende kommunikasjonssikkerhet: o Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av SRE. o Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere som bl.a. skal sikre at brukere i intern eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. o Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv

5 informasjon som sendes over OKDN. Det er lignende sikringskrav til internkommunikasjon dersom denne (ifølge Datatilsynet) skjer mellom bygg hvor avstanden er lengre enn ca. 300 m. Organisatoriske sikringstiltak Ved planlegging av nye, lokale IT-systemer skal krav knyttet til informasjonssikkerhet vurderes. Ved større anskaffelser, skal krav til systemtekniske tiltak innarbeides i den kravspesifikasjon som følger tilbudsforespørselen. For alle IT-anvendelser i Oslo kommune, også virksomhetsspesifikke, skal standardløsninger som hovedregel velges. For øvrig skal rammekontrakter og vedtatte felles og sektorvise standardiseringskrav mht. teknologi og IT-anvendelser følges. Pålegg knyttet til bruk av felles rammeavtaler med leverandører innen ulike produktog tjenesteområder skal følges. Det skal være etablert virksomhetsspesifikke instrukser/rutiner for administrasjon av alle IT-systemer. For felles- og sektorsystemer, skal all systemadministrasjon koordineres av systemansvarlig instans for disse systemene. Det skal være etablert rutiner for å sikre en enkel, effektiv og sikker drift av IT-systemene, uansett om driftsoppgavene utføres internt eller eksternt. Det skal føres oversikt (inventarliste) over alt IT-utstyr og bruken av dette. Det skal likeledes være etablert rutiner for administrasjon av programvarelisenser. For hvert system skal det utarbeides og vedlikeholdes en datamodell som beskriver hvor dataene kommer fra, hvilke bearbeidende prosesser de inngår i og hvor de avgis. Det skal føres oversikt over alle personopplysninger som behandles i virksomheten og tiltak for å sikre tilfredsstillende behandling av disse skal dokumenteres. Denne dokumentasjonen skal være tilgjengelig for de den måtte angå. Personopplysninger skal uansett ikke behandles før evt. nødvendig samtykke er innhentet iht. kravene i personopplysningslovens 8. Det skal være etablert rutiner for rapportering, registrering og oppfølging av avvik og feilsituasjoner. Det skal være utarbeidet en plan over tiltak som skal iverksettes dersom det oppstår en situasjon som kan eller er i ferd med å utvikle seg til et større uhell eller en katastrofe for virksomheten og for IT-systemene. Medarbeidere på alle nivåer skal gjennomgå behovstilpasset opplæring i bruk av IT innen eget arbeidsområde generelt og informasjonssikkerhet spesielt. Alle eksterne rådgivere, konsulenter og leverandører av IT-tjenester skal gjøres kjent med de reguleringer IT-området i virksomheten er underlagt. Oppdragstaker må forplikte seg til å etterkomme disse generelt, og dokumentere at krav til informasjonssikkerhet spesielt, er tilfredsstilt. Taushetserklæring skal undertegnes før arbeid igangsettes.

6 Det skal være utarbeidet rutiner for administrasjon av den taushetsplikt som påhviler kommunens ansatte og eksterne oppdragstakere. Det skal være utarbeidet rutiner for håndtering av innsynsrett i forhold til innsynsbegjæringer knyttet til personopplysningslovens 18, forvaltningslovens kap. IV og V og offentlighetsloven. Alvorlige brudd på sikkerhetsbestemmelsene skal rapporteres til nærmeste overordnede.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding