Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Like dokumenter
Internkontroll og informasjonssikkerhet lover og standarder

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

IKT-sikkerhet og sårbarhet i Risør kommune

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Kommunens Internkontroll

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Endelig Kontrollrapport

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Endelig kontrollrapport

Kan du legge personopplysninger i skyen?

Personvern - sjekkliste for databehandleravtale

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

VIRKE. 12. mars 2015

Endelig kontrollrapport

Databehandleravtaler

Databehandleravtaler. Tommy Tranvik Unit

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Sikkerhetskrav for systemer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Endelig kontrollrapport

Databehandleravtale for NLF-medlemmer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personopplysninger og opplæring i kriminalomsorgen

Databehandleravtale etter personopplysningsloven

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. Denne avtalen er inngått mellom

Informasjon interesseorganisasjoner

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Foreløpig kontrollrapport

Endelig kontrollrapport

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Endelig kontrollrapport

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale etter personopplysningsloven m.m

Endelig kontrollrapport

Endelig kontrollrapport

Krav til informasjonssikkerhet i nytt personvernregelverk

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Endelig kontrollrapport

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Sikkerhetskrav for systemer

Transkript:

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav om sikring av personopplysninger 2-2 Pålegg fra Datatilsynet 2-3 Sikkerhetsledelse 2-3 Sikkerhetsledelse Gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. For manuelle behandlinger som omfattes av personopplysningsloven, gjelder kun de generelle reglene om i lovens 13. Der det er fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd. Forholdet til Datatilsynet som offentlig tilsynsmyndighet. Eventuelle pålegg eller kriterier for risiko fra Datatilsynet skal følges Virksomhetens mål Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene følges. Sikkerhetsstrategi Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi. 6.1.1 Planlegging: Tiltak for å håndtere risiko og muligheter 6.1.2 Planlegging: Risikovurdering 6.1.3 Planlegging: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering Kontroll A.18.2.Revisjon 4.1 Virksomhetens kontekst: Forstå virksomheten og dens kontekst 4.2 Virksomhetens kontekst: Forstå interessenters behov og forventninger Kontroll A.6.1.3 Kontakt med myndigheter Kontroll A.18: Samsvar med krav i regelverk og avtalevilkår 5.1 Ledelse: Ledelse og forpliktelse 5.2 Ledelse: Policy 6.2 Planlegging: Mål for og planlegging for å oppnå disse 5.1 Ledelse: Ledelsen og forpliktelse 5.2 Ledelse: Policy 5.3 Ledelse: Virksomhetenes roller, ansvar og myndighet 5.2 Ledelse: Policy 6.2 Planlegging: Mål for og planlegging for å oppnå disse 9.3 Evaluering av gjennomføring: Ledelsens gjennomgang 9.3 Evaluering av gjennomføring: Ledelsens gjennomgang

2-4 Risikovurdering 2-5 Sikkerhetsrevisjon 2-6 Avvik Risikovurdering Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for en. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. Første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres. Sikkerhetsrevisjon Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikker-hetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. 2-6. Resultat fra sikkerhetsrevisjon skal dokumenteres. Avviksbehandling Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultat fra avviksbehandling skal dokumenteres. 4 Virksomhetens kontekst Kontroll A.8.1 Forvaltning av aktiva: Ansvar for aktiva Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon 6.1.1 Planlegging: Tiltak for å håndtere risiko og muligheter 6.1.2 Planlegging: Risikovurdering 6.1.2 Planlegging: Risikovurdering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering 6.1.2.e) Planlegging: Risikovurdering 6.1.3 Planlegging: Risikohåndtering 6.1.2 Planlegging: Risikovurdering 6.1.3 Planlegging: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering 9.1 Evaluering av gjennomføring: Overvåking, 9.2 Evaluering av gjennomføring: Intern revisjon 9.1 Evaluering av gjennomføring: Overvåking, Kontroll A.15.2.1 Leverandørforhold: Overvåkning og revisjon av tjenesteleverandør Kontroll A.18.2 Samsvar: Sikkerhetsrevisjon 10: Forbedring Kontroll A.16 Hendelseshåndtering 9.1 Evaluering av gjennomføring: Overvåking, 9.2 Evaluering av gjennomføring: Intern revisjon Kontroll A.16 Hendelseshåndtering 6.1.3 Planlegging: Risikohåndtering 8.3 Drift Risikohåndtering Kontroll A.16.1.6 Hendelseshåndtering: Læring av sikkerhetshendelser Kontroll A.17.1 Kontinuitetsplan: Kontinuitet 6.1.2 Planlegging Risikovurdering 7.4 Støtte: Kommunikasjon 10.1 Forbedring: Avvik og korrigerende tiltak Kontroll A.16 Hendelseshåndtering

2-7 Organisering 2-8 Personell 2-9 Taushetsplikt Organisering Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Informasjonssystemet skal konfigureres slik at tilfredsstillende oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for en, skal utføres i henhold til fastlagte rutiner. Kompetanse og autorisasjon Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Taushetsplikt Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. 5.3 Ledelse: Roller, ansvar og myndighet 7 Støtte 5.3 Ledelse: Roller, ansvar og myndighet 7 Støtte 5.2 Ledelse: Policy 7.5 Støtte: Dokumentasjon 5.1 Ledelse: Ledelse og forpliktelse 5.3 Ledelse: Roller, ansvar og myndighet Kontroll A.14 Anskaffelse, utvikling og vedlikehold Kontroll A.14 Anskaffelse, utvikling og vedlikehold 5.3 Ledelse: Roller, ansvar og myndighet Kontroll A.6.1.1 Organisering av : Informasjonssikkerhet roller og ansvar Kontroll A.6.1.2 Organisering av : Arbeidsdeling Kontroll A.7.2 Personellsikkerhet: Under ansettelsesforholdet Kontroll A.9 Tilgangskontroll Kontroll A.9.2 Styring av brukertilgang 7.2 Støtte: Kompetanse 7.3 Støtte: Bevisstgjøring Kontroll A12.4 Driftssikkerhet: Logging og overvåkning 7.3 Støtte: Bevisstgjøring Kontroll A.7 Personellsikkerhet Kontroll A.7.1.2 Personellsikkerhet: Vilkår og betingelser for ansettelse Kontroll A.7.2.3 Personellsikkerhet: Disiplinærprosess Kontroll A.7.3.1 Personellsikkerhet: Opphør eller endring av ansvar i ansvarsforhold Kontroll A.8.1.3 Forvaltning av aktiva: Akseptabel bruk av aktiva Kontroll A.8.2.3 Forvaltning av aktiva: Håndtering av aktiva Kontroll A.9.3.1 Aksesskontroll: Bruk av hemmelig autentiseringsinformasjon Kontroll A.13.2.4 Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer

2-10 Fysisk sikring 2-11 Sikring av konfidensialitet Taushetsplikten skal også omfatte annen informasjon med betydning for en. Fysisk sikring og adgangskontroll Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for en. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger. Sikring av konfidensialitet Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. 7.3 Støtte: Bevisstgjøring Kontroll A.7 Personellsikkerhet Kontroll A.7.1.2 Personellsikkerhet: Vilkår og betingelser for ansettelse Kontroll A.7.2.3 Personellsikkerhet: Disiplinærprosess Kontroll A.7.3.1 Personellsikkerhet: Opphør eller endring av ansvar i ansvarsforhold Kontroll A.8.1.3 Forvaltning av aktiva: Akseptabel bruk av aktiva Kontroll A.8.2.3 Forvaltning av aktiva: Håndtering av aktiva Kontroll A.9.3.1 Aksesskontroll: Bruk av hemmelig autentiseringsinformasjon Kontroll A.13.2.4 Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer 7.3.c) Støtte: Bevisstgjøring Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A.11.2 Fysisk og miljømessig sikkerhet: Utstyr Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A.12.1.4 Driftssikkerhet: Separasjon av miljøer for utvikling, testing og drift Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.9 Aksesskontroll Kontroll A.10 Kryptografi Kontroll A.12.4.2 Driftssikkerhet: Beskyttelse av logginformasjon Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.14.3 Anskaffelse, utvikling og vedlikehold av systemer: Testdata Kontroll A.15.2 Leverandørforhold: Styring av leverandørers tjenesteleveranser

2-12 Sikring av tilgjengelighet Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for en. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet. Sikring av tilgjengelighet og planlegging av alternative løsninger Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for en. Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.9 Aksesskontroll Kontroll A.10 Kryptografi Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.14.3 Anskaffelse, utvikling og vedlikehold av systemer: Testdata Kontroll A.15.2 Leverandørforhold: Styring av leverandørers tjenesteleveranser Kontroll A.10 Kryptografi Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A.11.2.6 Fysisk og miljømessig sikkerhet: Sikring av utstyr og aktiva utenfor organisasjonen Kontroll A.8.3.2 Forvaltning av aktiva: Avhending av medier Kontroll A.11.1.4 Fysisk og miljømessig sikkerhet

2-13 Sikring av integritet 2-14 Sikkerhetstiltak Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres. Uautoriserte endringer og ødeleggende program Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for en. Det skal treffes tiltak mot ødeleggende programvare. Sikkerhetstiltak Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Kontroll A.12.2 Driftssikkerhet: Beskyttelse mot ødeleggende programvare Kontroll A.16 Styring av sbrudd Kontroll A.12.3 Driftssikkerhet: Sikkerhetskopiering Kontroll A.12.2 Driftssikkerhet: Beskyttelse mot ødeleggende programvare Kontroll A.12.6 Driftssikkerhet: Styring av tekniske sårbarheter 7.3 Bevisstgjøring 8.3 Drift: Håndtering av srisikoene Kontroll A.6.1.2 Organisering av : Arbeidsdeling Kontroll A.8.3.3 Forvaltning av aktiva: Fysisk overføring av medier Kontroll A.9.2 Aksesskontroll: Styring av brukeraksess Kontroll A.9.4 Aksesskontroll: Kontroll av aksess til systemer og applikasjoner

Kontroll A.12.1 Driftssikkerhet: Driftsprosedyrer og ansvar Kontroll A.12.4 Driftssikkerhet: Logging og overvåking 2-15 Sikkerhet hos andre virksomheter Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres. Sikkerhet hos andre virksomheter Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i POL 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register (gjelder overføring til utlandet). Kontroll A.9 Aksesskontroll Kontroll A.6.1.2 Organisering av : Arbeidsdeling Kontroll A.9.2 Aksesskontroll: Styring av brukeraksess Kontroll A.9.4 Aksesskontroll: Kontroll av aksess til systemer og applikasjoner 7.5 Støtte: Dokumentert informasjon 4.1 Virksomhetens kontekst: Fostå organisasjonens og dens kontekst 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 5.1 Ledelse: Ledelse og forpliktlese 6 Planlegging Kontroll A.13.2.2 Kommunikasjonssikkerhet: Avtaler om informasjonsoverføring Kontroll A.13.2.4 Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer Kontroll A.14.1.1 Anskaffelse, utvikling og vedlikehold av systemer: Behovsanalyse og beskrivelse av krav til Kontroll A.14.2.7 Anskaffelse, utvikling og vedlikehold av systemer: Utkontraktert utvikling Kontroll A.14.2.9 Anskaffelse, utvikling og vedlikehold av systemer: Systemakseptansetest Kontroll A.16:1.3 Styring av brudd: Rapportering av svakheter i en Kontroll A.18.1.1 Samsvar: Identifisering av gjeldende lovgivning og kontraktsmessige krav beskyttelse av personlig identifiserbar informasjon Kontroll A.18.2.2 Samsvar: Samsvar med policyer og standard for sikkerhet 6.2 Planlegging: Informasjonssikkerhetsmål og planlegging for å oppnå disse

2-16 Dokumentasjon Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartner og leverandører, og jevnlig forsikre seg om at strategien gir tilfredsstillende. Dokumentasjon og lagring av rutiner og logger med hensyn til bruk av informasjonssystemene Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for en, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidsdokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for en. 7 Støtte 5.3 Ledelse: Virksomhetens roller, ansvar og myndighet 7.5 Støtte: Dokumentert informasjon 9.1 Evaluering av gjennomføring: Overvåkning, Kontroll A.12.4 Driftssikkerhet: Logging og monitorering 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 9.1 Evaluering av gjennomføring: Overvåkning, 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 9.1 Evaluering av gjennomføring: Overvåkning, Kontroll A.9 Aksesskontroll 3-1 Systematiske tiltak for behandling av personopplysninger Systematiske tiltak for behandling av personopplysninger 3-1, 1. ledd, 1. setn. Den behandlingsansvarlige skal etablere intern-kontroll i samsvar med personopplysningsloven 14. 3-1, 1. ledd, 2. setn. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. 3-1, 2. ledd Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå.

3-1, 3. ledd Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for: 3-1 a) innhenting og kontroll av de registrertes samtykke, jf. personopplysningloven 8, 9 og 11, 3-1 b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven 11 bokstav a, 3-1 c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik, 3-1 d) oppfyllelse av begjæringer om innsyn og informasjon, jf. Personopplysningsloven 16 til 24, 3-1 e) oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. Personopplysningsloven 25 og 26, 3-1 f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. Person-opplysningsloven 31 til 33. g) iverksettelse eller opphør av behandling, h) for sletting av personopplysninger, i) for utlevering av personopplysninger til andre, j) for oppfyllelse av plikt til informasjon, k) innsyn, retting og supplering. 3-2. Dispensasjon Datatilsynet kan dispensere fra hele eller deler av dette kapittelet når særlige forhold foreligger. Avklaringer om eventuelle forhold som kan ha betydning for 3-2. 9.2 Evaluering av gjennomføring: Intern revisjon

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding