Avvikshåndtering og egenkontroll



Like dokumenter
Internkontroll og informasjonssikkerhet lover og standarder

Overordnet IT beredskapsplan

Sikkerhetsmål og -strategi

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Sikkerhetsinstruks bruker

IKT-reglement for Norges musikkhøgskole

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

3.1 Prosedyremal. Omfang

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Revisjon av informasjonssikkerhet

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Personvern - sjekkliste for databehandleravtale

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

2.12 Sikkerhetsinstruks bruker

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

Lagring av forskningsdata i Tjeneste for Sensitive Data

Rapportering av sikkerhetstruende hendelser til NSM

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Databehandleravtale. Denne avtalen er inngått mellom

2.4 Bruk av datautstyr, databehandling

Når det brukes "vi", "våre" eller "oss" nedenfor, menes det Norsk Byggtjeneste AS.

Mørketallsundersøkelsen 2006

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

Bilag 14 Databehandleravtale

Databehandleravtaler. Tommy Tranvik Unit

4.2 Sikkerhetsinstruks bruker

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Revisjon av IKT-området i en mindre bank

Kommunens Internkontroll

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

GDPR-status fra en kommune

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Styringsdokument internkontroll

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Noen aktuelle tema for personvernombud i finans

Personvern og informasjonssikkerhet

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtaler

Lagring av forskningsdata i Tjeneste for

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Programområde for IKT-servicefag - Læreplan i felles programfag Vg2

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Internkontroll i mindre virksomheter - introduksjon

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Endelig kontrollrapport

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Underbygger lovverket kravene til en digital offentlighet

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

Referansearkitektur sikkerhet

3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon

Fylkeskommunenes landssamarbeid. Eksamensveiledning. - om vurdering av eksamensbesvarelser. LOKALT GITT SKRIFTLIG EKSAMEN ISF2001 Drift og vedlikehold

Brudd på personopplysningssikkerheten

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Prosedyre for håndtering av avvik, uønska hendelser, kritikkverdige forhold, korrigerende og forebyggende tiltak

STYRESAK. Styremedlemmer Helse Fonna HF GÅR TIL: FØRETAK: DATO:

BILAG 5. Sikkerhetsvedlegg

Trusler, trender og tiltak 2009

VIRKE. 12. mars 2015

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

PC som tjeneste. Serit tilbyr abonnement på PC og drift. Enkelt og lønnsomt. Østereng IT

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Transkript:

Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke relevant informasjon. Det gjøres oppmerksom på at eksempelet kan være mer omfattende enn minimumskrav etter personopplysningsloven. 1 Avvikshåndtering Hva er et avvik: Enhver hendelse eller tilstand som bryter med <Virksomhet>s internkontroll. 1.1 Behandling av hendelser Hendelser kan defineres inn i følgende kategorier: Avvik fra gjeldende rutiner Hendelser som kan ha sikkerhetsmessig konsekvens Utført av ansatte, som brudd på sikkerhetsbestemmelser Utført av eksterne, som fysisk innbrudd, elektroniske angrep Beredskapshendelser 1.2 Hensikt Rutiner for rapportering av hendelser og håndtering av avvik skal sikre at man har mulighet til å gjøre forbedringer i internkontrollen og at eventuelle sikkerhetsbrudd rapporteres til ansvarlig person. På denne måten kan organisasjonen lære av avvik, og sette i gang tiltak for å forbedre tilstanden i virksomheten. 1.3 Utførelse Alle ansatte er ansvarlig for å rapportere avvik fra gjeldende rutiner og andre hendelser til den som er ansvarlig for det aktuelle området eller sikkerhetsansvarlig. Feil i programvare og maskinvare rapporteres til. Sikkerhetshendelser og beredskapshendelser krever ofte en rask reaksjon og må rapporteres omgående, muntlig eller helst som e-mail. Avvik håndteres av linjeleder eller sikkerhetsansvarlig avhengig av avvikets art. Avviket registreres i det verktøyet som er formålstjenlig, men på en slik måtte at det er enkelt å få oversikt over status på avvik og korrigerende tiltak.

Avvikshåndtering og egenkontroll Side 2 av 5 1.4 Sikkerhetshendelser 1.4.1 Utført av ansatte 1.4.1.1 Bevisste sikkerhetsbrudd Dersom det avdekkes tegn på bevisste sikkerhetsbrudd som f eks: Misbruk av virksomhetens IKT-systemer Tyveri av virksomhetens eiendom Tilsiktet spredning av ondsinnet programvare Forsøk på å sende sensitive personopplysninger i e-post/vedlegg Sikkerhetsansvarlig skal varsle personalansvarlig og disse skal sammen avgjøre tiltak. 1.4.1.2 Brudd på generell taushetsplikt Brudd på den generelle taushetsplikten fra ansatte eller tidligere ansatte skal rapporteres til sikkerhetsansvarlig som vurderer hvilke tiltak som skal iverksettes. 1.4.2 Utført av eksterne Alle innbrudd og forsøk på innbrudd skal politianmeldes. Alle elektroniske angrep som medfører økonomiske konsekvenser for virksomhet, skal vurderes anmeldt til Politiet. 1.5 Beredskapshendelser skal håndtere alle beredskapshendelser og rapportere dette på utarbeidet skjema. 1.6 Avviksliste og rapportering Avviksliste skal holdes løpende oppdatert og kan inneholde: Dato Beskrivelse Kilde Avdeling/systemområde Alvorlighet Status Ansvarlig for oppfølging Frist for neste oppfølgingspunkt Kommentar / korrektivt tiltak Sikkerhetsansvarlig er ansvarlig for at det utarbeides en årlig rapport fra avviksbehandling til Ledelsens gjennomgang.

Avvikshåndtering og egenkontroll Side 3 av 5 2 Egenkontroll 2.1 Plan Sikkerhetsansvarlig er ansvarlig for at det opprettes og vedlikeholdes en plan over egenkontrollaktiviteter. <Planen bør dekke et tidsrom på minimum ett år men kan løpe over flere år. Det kan være ønskelig å gjøre en grundig kontroll av noen områder eller avdelinger i virksomheten sjeldnere enn en gang pr. år men det skal fremgå av planen at alle aktuelle områder eller avdelinger dekkes i løpet av 2-5 år.> Eksempel: Egenkontrolltiltak Eier av aktivitet Frekvens Resultat Test av uautorisert fysisk Eiendom og Årlig adgang til virksomhets lokaler og kontorer Sikkerhet Brukeres tilgangsrettigheter. Avdelingsleder sjekker liste tilsendt fra IT-avdeling og kvitterer denne. gjør Halvårlig nødvendige oppdateringer Gjennomgang av privilegerte brukeres tilgangsrettigheter administrator rettigheter Bekrefte skifte av administratorpassord. Verifikasjon og evt oppdatering av konfigurasjonskart - Nettverk Kontroll av liste over IT-utstyr og lagringsmedia Gjennomgå status på oppdatering av antivirusprogram på hver enkelt PC/server Gjennomføring av sikkerhetstester (virksomhetskritiske applikasjoner og infrastruktur) Sikkerhetsovervåking IDP (Intrusion Detection Prevention) av kritiske servere samt eksterne forbindelser., telefoni og system, telefoni og system Sikkerhetsansvarlig Halvårlig Årlig / når driftspersonel l slutter Halvårlig/ved Årlig / ved Kvartal/ stikkprøver Ved Kontinuerlig Bekrefte regelsett i IDP Årlig /ved

Avvikshåndtering og egenkontroll Side 4 av 5 Periodisk måling av oppetid IT drift og telefoni Periodisk på viktige og prioriterte systemer. Bekrefte herding av Årlig nettverksenheter, inklusiv sjekk av sikkerhetskopi av svitsje/ruterkonfigurasjon Bekrefte herding av servere Årlig / ved Bekreftelse av fungerende sikkerhetskopi. For de systemer der dette er gjort som en del av vanlig drift, kreves ikke egen separat egenkontroll aktivitet Bekreftelse av kjennskap -håndteringsrutiner Verifikasjon av etterlevelse -håndteringsrutiner og telefoni sikkerhetsansvarlig Årlig / ved Årlig sikkerhetsansvarlig Årlig 2.2 Rutine Egenkontroll gjennomføres i henhold til dokumentert plan av enheten som "eier" aktiviteten. Sikkerhetsansvarlig har ansvar for å følge opp at planlagte aktiviteter blir gjennomført. 2.3 Rapportering Resultater fra egenkontrollaktiviteter skal dokumenteres og rapporteres til sikkerhetsansvarlig. Avvik som avdekkes i forbindelse med egenkontroll, varsles/rapporteres som beskrevet i kapittel 1. Sikkerhetsansvarlig er ansvarlig for at det utarbeides en årlig rapport fra egenkontroll til Ledelsens gjennomgang. 3 Gjennomgang av rutiner Rutiner for håndtering av personopplysninger og for informasjonssikkerhet bør gjennomgås periodisk for å sikre at rutinene er oppdaterte i henhold til interne og eksterne forhold, hensiktsmessige og tilstrekkelige.

Avvikshåndtering og egenkontroll Side 5 av 5 Periodisk gjennomgang bør inngå i egenkontrollplan, ref. kapittel 2. I tillegg kan det være behov for gjennomgang og oppdatering utover dette ved betydelige i interne eller eksterne forhold.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding