Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Like dokumenter
SIKKERHETSINSTRUKS - Informasjonssikkerhet

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

IKT-reglement for Norges musikkhøgskole

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

2.4 Bruk av datautstyr, databehandling

Sikkerhetsmål og -strategi

Felles datanett for kommunene Inderøy, Verran og Steinkjer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

4.2 Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

Avvikshåndtering og egenkontroll

IT-reglement Aurskog-Høland kommune for ansatte og politikere

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Krav til informasjonssikkerhet

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte

Dokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: mars 2018

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK)

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

2.12 Sikkerhetsinstruks bruker

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Sikkerhetskrav for systemer

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Databehandleravtale. Denne avtalen er inngått mellom

Personvern - sjekkliste for databehandleravtale

Kommunens Internkontroll

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM TILGANG TIL INFORMASJONSSYSTEM FOR MEDARBEIDER SOM IKKE ER ANSATT I ELLER LØNNET AV VIRKSOMHETEN mellom

Internkontroll i mindre virksomheter - introduksjon

heretter kalt Operatøren.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtale mellom Oslo universitetssykehus HF (org nr ) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

God IT-skikk. - Informasjonssikkerhet i Norsvin -

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

Datasikkerhet internt på sykehuset

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

Databehandleravtale for NLF-medlemmer

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Internkontroll og informasjonssikkerhet lover og standarder

3_5. le, BJUGN KOMMUNE ØRLAND KOMMUNE BEKREFTELSE

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Databehandleravtale digitale arkiv og uttrekk for deponering

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

Møteinnkalling. Administrasjonsutvalget. Utvalg: Inderøy Rådhus, møterom: Skarnsundet. Dato: Tidspunkt: 09:00

CLIQ Remote. Beredskap

Overordnet IT beredskapsplan

3.1 Prosedyremal. Omfang

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

KONKURRANSEGRUNNLAG. Bilag 4 Prosedyre A63-V01 Krav til ekstern driftsleverandør

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

BILAG 5. Sikkerhetsvedlegg

Egenevalueringsskjema

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

Regler og informasjon til foresatte om bruk av datautstyr for trinn

Sikkerhet ved PC-basert eksamen

Retningslinjer for ansattes bruk av IKT

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Risikovurdering av cxstafettloggen

Trusler, trender og tiltak 2009

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Risikovurdering for folk og ledere Normkonferansen 2018

RHF og HF omfattes av sikkerhetsloven

Sikkerhet. Brukerhåndbok

Saksbehandler: Rigmor J. Leknes Tlf: Arkiv: 033 Arkivsaksnr.: 11/

Personvernerklæring for Webstep AS

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Lagring av forskningsdata i Tjeneste for Sensitive Data

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Foretakets navn : Dato: Underskrift :

Sikkerhetskrav for systemer

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Nasjonal sikkerhetsmyndighet

IKT-reglement for NMBU

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Videokonsultasjon - sjekkliste

Sikkerhetskrav for systemer

Endelig kontrollrapport

CLIQ Remote. Telenett

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Transkript:

Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy. All informasjon og alle IKT-systemer skal ha en eier. Eier er ansvarlig for at systemet tilfredsstiller virksomhetens behov for funksjonalitet, sikkerhet og kvalitet og skal sørge for at oppgavene knyttet til systemet er ivaretatt. Eier er ansvarlig for å holde en oppdatert oversikt over alle verdier. Med verdi forstås her informasjon, databaser, programmer, fysisk IKT-utstyr. Eier er ansvarlig for å foreta en klassifisering av alle sine verdier. Klassifiseringen «meget kritisk, kritisk og lite kritisk» skal benyttes for tilgjenglighet og integritet. For konfidensialitet benyttes klassifiseringer og graderinger gitt i lover og forskrifter. Risiko Linjeleder er ansvarlig for at det foretas risikovurderinger i sin avdeling på periodisk basis. Risikovurderinger skal dokumenteres. Leder er ansvarlig for å foreta uavhengige gjennomganger (revisjoner) av sikkerheten. Anskaffelse Alle kontrakter skal være ferdigstilt og undertegnet av begge parter før tjenesten leveres eller systemet settes i produksjon. Krav til sikkerhet skal presiseres i alle kontrakter. Alle lisensavtaler, kontrakter og andre bevis på eierskap skal arkiveres. Alle tjenester som utkontrakteres skal tilfredsstille «Virksomhetens» krav til sikkerhet. I tilfeller der utvikling er satt ut til tredjepart må kontrakten minst inneholde: Lisensavtaler og eiendomsrett til koder og intellektuell eiendom. Deponeringsavtaler i tilfelle svikt fra tredjepart. Eier skal dokumentere hvilke lover, vedtekter eller forskrifter systemet skal tilfredsstille. Eier av et system skal spesifiseres hvilke krav som stilles til tilgjengelighet, integritet og konfidensialitet for informasjonen og systemet. Sikkerhetshendelser og brudd En sikkerhetshendelse skader eller truer personell, informasjon eller verdier. Leder er ansvarlig for å vurdere alle kritiske hendelser og sette i verk nødvendige tiltak med tanke på forbedring og læring. Den som oppdager en hendelse skal umiddelbart varsle nærmeste leder. Ved uregelmessigheter og misligheter fra ansatte eller oppdragstakere, skal vanlige regler for intern oppfølging av uregelmessigheter i «Virksomheten» benyttes. Lovbrudd anmeldes. Beredskap Daglig leder skal godkjenne «Virksomhetens» beredskapsplaner. Beredskapsplan skal minst inneholde varslingslister og prosedyrer for å håndtere kritiske sikkerhetsbrudd på utstyr, systemer og informasjon. Daglig leder er ansvarlig for å vurdere behovet for og eventuelt etablere alternativ løsning for informasjon, systemer og infrastruktur.

Daglig leder er ansvarlig for å avholde planlagte øvelser minst en gang per år for kritiske situasjoner. Personellsikkerhet Målet med personellsikkerhet er å sikre at ansatte, kontraktører og tredjepartsbrukere forstår sitt ansvar og er egnet for rollen de har, og å redusere risikoen for svindel og misbruk. Organisering Alle eksterne deltakere i et prosjekt skal signere gjeldende taushetserklæring. Leder er ansvarlig for at ansatte er organisert slik at man ikke blir for avhengig av enkeltpersoner. Leder er ansvarlig for å atskille aktiviteter som krever samordning for å gjennomføre svindel eller på andre måter grovt kunne utnytte eller misligholde et system. Holdninger og opplæring Alle som gjør tjeneste for «Virksomheten» skal underskrive taushetserklæring. Enhver leder er ansvarlig for å fremme riktige holdninger. Leder er ansvarlig for at personell får tilstrekkelig opplæring innen trusselbildet og sikkerhet til å ivareta sitt arbeid på en tilfredsstillende måte. Leder er ansvarlig for at de ansatte setter seg inn i gjeldende regler og rutiner. Fysisk sikring Målet er å forhindre adgang til, skade på og forstyrrelser av lokaler og informasjon. Sikre lokaler Fysiske soner skal brukes for å beskytte områder som inneholder informasjon og utstyr for å behandle informasjon. Dette omfatter vegger, dører og porter med godkjente låser / adgangskort eller bemannede skranker. Adgangskontroll Adgang til lokaler bør begrenses til autorisert personale. Alle medarbeidere skal bære synlig identifikasjon. (Fjernes for små virksomheter) Besøkende skal registreres i gjestebok. Bærbare datamaskiner Maskinrom Bærbare datamaskiner skal ikke etterlates ubevoktet på offentlig sted. De skal alltid fraktes som håndbagasje og låses ned på hotellet når bruker ikke er tilstede. Leder skal umiddelbart varsles hvis IKT-utstyr eller mobiltelefon blir stjålet eller mistes. Datamaskiner eid av andre skal ikke koples til «Virksomhetens» infrastruktur. Maskinrom som inneholder datautstyr skal vernes mot brann, flom, lyn og andre fysiske trusler, og som et minimum ha egnet brannvarslings-, brannslukningsutstyr og innbruddsalarmer installert. Alle kabler skal legges beskyttet og merkes. Klimaet i maskinrom skal være i henhold til krav fra leverandøren av datautstyret.

Det skal oppbevares minimalt med brennbart materiale på maskinrom. Alle servere som behandler produksjonsdata, skal plasseres i maskinrom. Sikkerhetskopier skal oppbevares fysisk atskilt fra produksjonsmiljøet og minimum i brannsikkert skap. Avhending av utstyr Ved avhending av IKT-utstyr skal all informasjon på utstyret slettes på en sikker måte. Disketter og taper skal tilintetgjøres ved avmagnetisering eller makulering. Optiske disker skal knuses. Disker på PC og server skal informasjon slettes ved bruk av programvare før gjenbruk. Se egen veiledning om sikker sletting. Behandling av informasjon Målet er å sikre integritet, tilgjenglighet og konfidensialitet til informasjon som behandles for å løse «Virksomhetens» oppgaver. Lagring av informasjon Tjenstlig informasjon skal lagres på sentrale disker. Tjenstlig informasjon uten spesielle krav til beskyttelse skal ikke krypteres. Bruker må selv ta sikkerhetskopi av tjenstlig informasjon som lagres på lokal PC. Eier av system eller informasjon er ansvarlig for at det tas sikkerhetskopier av nødvendige informasjon og programmer. Sikkerhetskopi av informasjon og programmer skal også oppbevares utenfor «Virksomhetens» lokaler. Kopiene skal oppdateres jevnlig. Utveksling av informasjon Tjenstlig informasjon skal bare utleveres til autorisert mottaker. Eksterne oppkoplinger skal være regulert av en kontrakt. Spesielt virksomhetskritisk informasjon Informasjon som er spesielt kritisk skal ikke sendes elektronisk utenfor «Virksomhetens» nettverk uten godkjent kryptering. Dokumenter med spesielt kritisk informasjonen skal tydelig merkes. Privat informasjon og programmer For å sikre at «Virksomheten» kan utføre sine oppgaver med tilfredsstillende tilgjenglighet og til en tilfredsstillende kostnad må privat behandling av informasjon begrenses. En begrenset mengde privat informasjon kan lagres på egen mappe merket Privat. Filer av utpreget privat karakter utenfor "PRIVAT"-mappen kan bli slettet uten varsel. Private filer kan lagres på lokal disk på PC så langt det ikke skaper driftsmessige problemer. ITavdeling er ikke ansvarlig for å foreta sikkerhetskopier av lokale disker. Personopplysningsloven omfatter behandling av opplysninger og vurderinger som kan knyttes til en enkeltperson. Lov om behandling av personopplysninger og forskrift til denne regulerer krav til informasjonssikkerhet for behandling av personopplysninger.

Sikkerhetsloven omfatter behandling av informasjon som kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. Internett og E-post All bruk av Internett vil bli logget og overvåket av drifts- og sikkerhetsmessige årsaker. All tilgang til Internett skal skje gjennom brannmur. Det er ikke tillatt å foreta endringer i nettleseren i forhold til standard oppsett. Det er ikke tillatt å foreta aktiviteter som er forbudt etter norsk lov eller som kan oppfattes som uetisk eller støtende. Åpen tjenstlig informasjon kan utveksles via E-post. Det er ikke tillatt automatisk å videresende E-post til private postkasser. Å sende eller videresende kjedebrev pr E-post er ikke tillatt. Teknisk sikkerhet Målet er å sikre konfidensialitet, integritet og tilgjengelighet til alle driftsmessige og systemmessige IKTleveranser for «Virksomheten». Tilgangskontroll De ansatte skal gis tilgang (autoriseres) til «Virksomhetens» lokaler, systemer, infrastruktur og informasjon ut fra tjenstlig behov. Alle systemer, informasjon og infrastruktur skal sikres med tilgangskontroll. Alle brukere skal ha en personlig eid brukeridentitet. Alle brukere skal autentisere seg ved hjelp av et personlig eid passord og / eller andre autentiseringsmekanismer. Tilganger til systemet endres løpende når en bruker endrer sine tilgangsbehov eller slutter. Leder er ansvarlig for at det minst årlig foretas en gjennomgang av alle tilganger. Passord skal være på minimum åtte tegn, og skal inneholde både bokstaver, tall og eventuelt spesialtegn. Passordbeskyttet skjermsparer skal aktiveres når arbeidsplassen forlates, og skal automatisk aktiveres etter minimum 10 minutter. Alle standard brukeridentiteter og passord fra leverandører skal endres før produktet settes i produksjon. Bruk av «Virksomhetens» systemer og nettverk logges for å administrere og sikre systemer og informasjon. Aktiviteter skal registreres og kunne spores tilbake til den enkelte bruker. Endringskontroll Eier er ansvarlig for at det utarbeides nødvendig dokumentasjon for nye systemer og at dokumentasjonen oppdateres. Alle endringer skal vurderes med tanke på endret sikkerhet. Risikoen for at endringene påvirker andre komponenter skal vurderes. Alle nye systemer og endringer til systemer skal gjennomgå grundig og systematisk testing før systemet eller endringen settes i produksjon. Testing skal foregå separat fra produksjonsmiljøet. Resultatet av testingen skal dokumenteres. Eier skal sørge for å skille mellom utviklings-/ test- og produksjonsmiljøene.

Driftssikkerhet Det skal foretas risikoanalyse før opprettelse av nye tilknytninger og andre større endringer i infrastrukturen. Alle infrastrukturkomponenter skal merkes. IT-ansvarlig er ansvarlig for å dokumentere infrastrukturen. Eier er ansvarlig for å definere hva som er tilstrekkelig tilgjengelighet og svartider. IT-avdeling er ansvarlig for å ha nødvendige tiltak for å sikre tilgjengeligheten for systemet. IT-avdeling skal observere endringer i bruksmønster med tanke på kapasitet og planlegge tiltak for å overholde systemeiers krav. Eier er ansvarlig for konfigurasjonsstyring av sine systemer, infrastruktur og informasjon. Det skal finnes en oppdatert liste over alle komponenter virksomheten er avhengig av; programvare og infrastruktur. Driftsprosedyrer skal etableres og dokumenteres. Eier kan gi mulighet for bruk av fjernstyringsverktøy etter risikoanalyse. Ansvarlig for IT-avdeling skal sørge for at spesielt kraftfulle funksjoner og tjenester, som det ikke er forretningsmessig behov for, er deaktivert. IT-avdelingen er ansvarlig for at det installeres anti-virus program, som til en hver tid er oppdatert IT-avdelingen skal sørge for at det finnes prosedyrer for å fjerne virus. «Virksomheten» skal ha rutiner for sikkerhetskopiering Sikkerhetskopier skal testes periodisk. Det skal jevnlige foretas gjennomganger av feillogger for å sikre at problemer blir løst på tilfredsstillende måte. Rutiner for å oppdage og å forhindre uautorisert tilgang eller inntrenging i systemer og nettverk skal etableres og gjennomføres. Logger gjennomgås jevnlig for å avdekke unormal aktivitet eller bruk. «Virksomheten» skal ha rutiner for oppgradering av all programvare. Nettverkssikkerhet Eksterne oppkoplinger skal beskyttes og kontrolleres i samsvar med den risikoen utvekslingen representerer. Ekstern oppkopling skal fjernes når det ikke lenger er behov for den. Interne nettverk skal beskyttes utenfra med brannmur og autentiseringsmekanismer. Systemer og informasjon med spesielt høye krav til konfidensialitet bør fysisk eller logisk atskilles fra andre nettverk. Trådløse nettverk tillates ikke/tillates bare for åpen informasjon/ tillates kun etter en grundig risikovurdering

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding