Internkontroll og informasjonssikkerhet lover og standarder

Like dokumenter
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Endelig kontrollrapport

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Kan du legge personopplysninger i skyen?

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Hva er et styringssystem?

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Styringssystem i et rettslig perspektiv

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kommunens Internkontroll

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Endelig kontrollrapport

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Tjenester i skyen hva må vi tenke på?

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Endelig Kontrollrapport

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

ekommune 2017 Prosessplan for god praksis om personvern

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Endelig kontrollrapport

Endelig kontrollrapport

VIRKE. 12. mars 2015

Endelig kontrollrapport

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Personvern - sjekkliste for databehandleravtale

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Databehandleravtaler. Tommy Tranvik Unit

Foreløpig kontrollrapport

Databehandleravtaler

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Endelig kontrollrapport

Endelig kontrollrapport

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven

Bruk av skytjenester og sosiale medier i skolen

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

KF Brukerkonferanse 2013

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Endelig kontrollrapport

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personopplysninger og opplæring i kriminalomsorgen

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven m.m

Informasjonssikkerhet i forordningen

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

OVERSIKT SIKKERHETSARBEIDET I UDI

Databehandleravtale. Denne avtalen er inngått mellom

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Foreløpig kontrollrapport

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Status personvern Hedmark og Oppland fylkeskommuner

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Sikkerhet og personvern i skole og klasserom

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Databehandleravtale etter personopplysningsloven

Endelig kontrollrapport

Endelig kontrollrapport

Transkript:

Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1

Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften kapittel 2 Normer og standarder Veiledningsmateriale Hvordan komme i gang?

Redegjørelse for arbeidet med internkontroll og informasjonssikkerhet

Side 4

Veileder og maler Veileder og maler er tilgjengelig på datatilsynet.no Støtteverktøy Maler Risikovurdering Databehandleravtale Cloud computing Sikkerhetsarkitektur

Administrasjon av informasjonssikkerhet Norm og standard Side 6

ISO/IEC 27002 Code of practice for information security management En katalog med forslag til sikringstiltak

Sikkerhetspolicy Side 8

Side 9

Personopplysningsloven POL 13 Informasjonssikkerhet..gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Hva er tilfredsstillende? Og tilfredsstillende for meg? Hva krever 14 Internkontroll? Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder personopplysningenes kvalitet Den behandlingsansvarlige skal dokumentere tiltakene Dokumentasjonen skal være tilgjengelig hos den behandlingsansvarlige og hos databehandleren Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemda

Personopplysningsforskriften kapittel 2 Informasjonssikkerhet 2-1 Forholdsmessige krav om sikring av personopplysninger Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd.

Personopplysningsforskriften Hva sier forskriften til kapittel 3:...pålegger den behandlingsansvarlige å ha et system som sikrer gjennomføring av de pliktene loven pålegger....behandlingsansvarlige må ha rutiner også for etterlevelse av disse bestemmelsene. Det bør ikke være enkelt å få dispensasjon fra forskriften bl.a. fordi internkontrollsystemet er et av de sentrale kontrollinstrumenter personopplysningsloven stiller

Styringssystem for informasjonssikkerhet(isms) Ledelse og organisering Formål, sikkerhetsmål, sikkerhetsstrategi, akseptkriterier Sikkerhetsorganisasjon Hvem gjør hva? Ansvar og oppgaver Sikkerhetsbestemmelser 13 Informasjonssikkerhet Prosedyrer (drift, administrasjon, rapportering) 14 Internkontroll Prosedyrer (ivaretakelse av loven) Kontroll og oppfølging Sikkerhetsrevisjon Risikovurdering Avviksrapportering Ledelsens gjennomgang

Styrende del: Internkontroll - styrende Ansvarsplassering Oversikt over behandlinger Formål og hjemmelsgrunnlag for behandlingene Identifisere krav og plikter Mål / policy overordnede rammer for behandlinger av personopplysninger Sikkerhetsrevisjoner(egenkontroll) og avviksbehandling Styrende dokumenter for informasjonssikkerhet Mål Strategier Akseptkriterier(akseptert risikonivå) Organisering

Internkontroll - gjennomførende Gjennomførende del (rutiner for): Innhenting og kontroll av samtykke Informasjonsplikt når det samles inn opplysninger fra den registrerte fra andre en den registrerte Vurdering av opplysningenes kvalitet Innsyn og retting Sletting av personopplysningene Melde- og konsesjonsplikt Oppstart og opphør av behandling Med flere Informasjonssikkerhet

Kontrollerende del: Internkontroll - kontrollerende Sikkerhetsrevisjoner(egenkontroll) rutiner for kontroll av rutiner Avvikshåndtering rutiner for håndtering av brudd på internkontroll og informasjonssikkerhet Rapport fra sikkerhetsrevisjoner(egenkontroll) og forslag til tiltak Ledelsens gjennomgang Den behandlingsansvarliges verktøy for å se til at regelverket følges (gjennom rutiner) Skal også avdekke uhensiktsmessige eller manglende rutiner

Personopplysningsforskriften Kapittel 2 Informasjonssikkerhet Veilederen gjelder for offentlige og private virksomheter som behandler personopplysninger Veilederen fokuserer på hvordan en virksomhet bør implementere teknologiske tiltak for informasjonssikkerhet

Personopplysningsforskriften (krav) Organisering - ansvar og myndighet/drift og styring 2-7 kontrollerende sikkerhetsledelse, utøvende eks. driftspersonell personvernombud konfigurasjon, sikkerhetsbarrierer, soner(informasjonssystemets utforming) dokumenterte rutiner Personell 2-8 opplæring, kunnskap og kompetanse Taushetsplikt 2-9 Ansatte, databehandlere og eksterne Fysisk sikring 2-10 adgangskontroll bygningsmessig sikring utstyr

Personopplysningsforskrift (krav) Sikring av konfidensialitet - ref risikovurdering 2-11 hindre uautorisert innsyn; kryptering, skjerming, merking, sletting, sikker sone, klipp og lim, lagring osv. Sikring av tilgjengelighet - ref risikovurdering 2-12 alternativ tilgang, sikkerhetskopier, osv Sikring av integritet - ref risikovurdering 2-13 hindre utilsiktet endring av personopplysninger og sikkerhetstiltak, tilgangsstyring, autorisasjonskontroll, logging Sikkerhetstiltak 2-14 Tilfredsstillende sikkerhet, nettverks- og applikasjonskontroller, hindre sikkerhetsbrudd, soner, avdekke hendelser, opplæring Sikkerhet hos andre virksomheter 2-15 partnere og leverandører, kontrakter(databehandleravtale) Side 19

Prosesstilnærming Plan (Planlegge): sette kvalitetsmål og utarbeide handlingsplan for å nå dette; dette er ledelsens ansvar og alles oppgave. Do (Utføre): iverksette og gjennomføre handlingsplanen; er et lederansvar og alles oppgave Check /Study (Evaluere/måle): evaluere at handlingsplanen har medført endringer i praksis som er i tråd med kvalitetsmål Act (Korrigere): omfatter avviksbehandling og eventuelt iverksettelse av korrigerende tiltak (fjerne avvik) for å forbedre praksis ytterligere AS Korrigere: - ledelsens gjennomgåelse av status Act- A Kontrollere: Check - - overvåking C/Study av målinger - forebyggende og korrigerende tiltak - registreringer - intern revisjon Plan - P Do- D Planlegge: - lover og krav - overordnede mål - handlingsplaner Utføre: - organisering - opplæring - dokumentasjon - driftrutiner - beredskap

Hva gjør vi videre? Datatilsynet: Ser på regelverket Informerer om funnene og utfordringene Råd og veiledning Tilsyn Samarbeid: Vi er avhengig av drahjelp fra andre Ønsker et samarbeid om å gripe fatt i utfordringen Hvordan kan vi løse dette i fellesskap

Takk for oppmerksomheten!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding