ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert



Like dokumenter
Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Kommunens Internkontroll

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Brukermanual for Blancco Data Cleaner+ 4.5

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Krav til informasjonssikkerhet

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Overordnet IT beredskapsplan

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Sikkerhetsmål og -strategi

Sikkerhetskrav for systemer

Scan Secure GTS PAS

Bruk av databehandler (ekstern driftsenhet)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Sikkerhetskrav for systemer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

3.1 Prosedyremal. Omfang

Sikkerhetskrav for systemer

Arkivsystemer med skyløsninger

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Sikkerhetsinstruks bruker

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

IKT-reglement for Norges musikkhøgskole

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Databehandleravtale digitale arkiv og uttrekk for deponering

Internkontroll og informasjonssikkerhet lover og standarder

Personopplysninger og opplæring i kriminalomsorgen

Avvikshåndtering og egenkontroll

CLIQ Remote. Beredskap

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Datasikkerhet internt på sykehuset

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

K750i til W800i oppgraderingsinstruksjoner. Instruksjoner

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

- IVER 1. OM TJENESTEN

OBC FileCloud vs. Dropbox

Informasjonssikkerhet og personvern Definisjoner

God IT-skikk. - Informasjonssikkerhet i Norsvin -

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Risikoanalysemetodikk

Mamut Enterprise Travel CRM

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

CLIQ Remote. Energileverandører

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Risikovurdering av cxstafettloggen

GDPR Veiledning. for. Visma Contracting. Oslo Mai Versjon 1.0

IKT-sikkerhet og sårbarhet i Risør kommune

Huldt & Lillevik Lønn og Personal - System 4. Oppdatering. Personec AS. Veiledningen er oppdatert pr

Brudd på personopplysningssikkerheten

Helseforskningsrett med fokus på personvern

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Universitetet i Bergen

Veileder for bruk av tynne klienter

Proplan Attføring. Personalsystemet for attføringsbedrifter

MTU - Krav til informasjonssikkerhet

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK)

Hvordan velge en leverandør for cloud backup

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Databehandleravtale for NLF-medlemmer

Databehandleravtale etter personopplysningsloven

CLIQ Remote. Telenett

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

2.12 Sikkerhetsinstruks bruker

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Kvalitetssikring av IT-systemer på akkrediterte laboratorier (NA Dok. 51)

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

HAsave BRUKERMANUAL V

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

En internett basert og fleksibel database som kan tilpasses til ethvert behov, og som vil vokse med bedriften/institusjonen.

Transkript:

Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra: 29.04.2008 - forts. Uautorisert tilgang fra andre medarbeidere Hvor tjenestlig behov ikke foreligger. Hendelsen truer informasjonens Konfidensialitet Konsekvensen for informasjonens konfidensialitet er vurdert til: Liten Hendelsen kan medføre tap av integritet ved at uvedkommende får tilgang til opplysninger om den registrertes tilstedeværelse uten at registre Autorisasjoner blir ikke revidert periodisk Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Sannsynligheten for denne årsaken er vurdert til: Sannsynlig Risikonivå for informasjonens konfidensialitet beregnes til:

Side: 2 av 5 Brukernavn og passord til enkelttjenester i adgangskontrollsystemet er oppskrevet i interne notater på avdeling der vedlikeholdspersonell arbeider Sannsynligheten for denne årsaken er vurdert til: Sannsynlig Risikonivå for informasjonens konfidensialitet beregnes til: Utilsiktet sletting eller overskriving Data på harddisker kan slettes eller overskrives ved uhell. Dette kan f.eks. skje i forbindelse med oppgradering av systemet eller ved at harddisken flyttes til et annet system enn den opprinnelig ble brukt på, og hvor det nye systemet ikke forstår filsystemet på harddisken. Sletting kan også forekomme hvis det benyttes lavnivå verktøy for å endre på harddisken, f.eks. for å skifte filsystem. Konsekvensen for informasjonens tilgjengelighet er vurdert til: Stor Ved sletting av harddisk med personopplysninger kan man få tilbake nesten alle persondata som er registrert om vedkommende. Det som ikke MAL Adgang til utstyr og programmer (K/T/I) MAL Konfigurasjonskontroll (K/T/I) MAL Oppgradering og vedlikehold av IT-utstyr (K/T/I) MAL Personellopplæring (K/T/I) Bruk av høyere tilgang enn nødvendig av servicepersonell Sannsynligheten for denne årsaken er vurdert til: Lite sannsynlig Risiko må vurderes Feil i programvare eller operativsystem

Side: 3 av 5 Feil i programvaren eller databasene som benyttes kan gjøre at data som er lagret i systemet ikke er tilgjengelig for brukerne. Årsakene kan være feil i programvaren fra leverandøren eller feilkonfigurasjon av systemet. Feil i programvaren kan ha mange konsekvenser med ulik alvorlighetsgrad; fra at hele systemet er utilgjengelig til at enkelte deler av en systemet gjøres utilgjengelig. Hvor alvorlige konsekvensene er avhenger også av om feilen blir oppdaget (tidsnok!), og om dataene lar seg tilgjengliggjøre eller rekonstruere igjen, eller om de er tapt for godt. Feil i operativsystemet, i grensesnittet mellom lagringsmediet og datasystemet eller i selve harddisken kan medføre at data ødelegges. Et område som er særlig utsatt er harddiskdriveren i operativsystemet som kan inneholde programfeil, særlig i tidlige utgaver av et operativsystem. Det kan være vanskelig å oppdage denne typen feil før dataene skal leses tilbake igjen. Konsekvensen for informasjonens tilgjengelighet er vurdert til: Liten MAL Antivirusprogramvare (T/I) MAL Oppgradering og vedlikehold av programvare (K/T/I) Oppdatering av operativsystem og programvare for adgangskontroll ikke utført etter plan og feil oppstår som følge av dette Sannsynligheten for denne årsaken er vurdert til: Mindre sannsynlig Manglende/defekte sikkerhetskopier Manglende eller defekte sikkerhetskopier blir et problem først når uhellet har skjedd, og data skal legges tilbake. Hvis backup har feilet over lengre tid, kan det være store mengden av tapte data være svært omfattende. Siden behovet for å legge tilbake informasjon fra sikkerhetskopi så sjelden oppstår, er det mange som ikke har tilfredsstillende rutiner for å teste dette. Årsaker til at backup kan svikte er feil i backup-programvare, backup-maskinvare, feil i jobboppsett eller manglede bytting og kvalitet av taper. Konsekvensen for informasjonens tilgjengelighet er vurdert til: Liten

Side: 4 av 5 MAL Arkivering (T/I) Test av backup blir ikke rutinemessig oppfulgt Sannsynligheten for denne årsaken er vurdert til: Mindre sannsynlig Utilgjengelighet i nødsituasjon Konsekvensen for informasjonens tilgjengelighet er vurdert til: Stor Ved utilgjengelighet av opplysninger om hvor mange som befinner seg i bedriften ved feks brann eller eksplosjonsfare blir det svært vanskelig MAL Oppgradering og vedlikehold av IT-utstyr (K/T/I) MAL Oppgradering og vedlikehold av programvare (K/T/I) Systemer blir ikke fulgt opp med riktige oppgraderinger av systemene Sannsynligheten for denne årsaken er vurdert til: Lite sannsynlig Risiko må vurderes

Side: 5 av 5 Detaljer risikomatrise:

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding