OVERSIKT SIKKERHETSARBEIDET I UDI

Like dokumenter
Internkontroll og informasjonssikkerhet lover og standarder

STYRINGSDOKUMENT FOR PERSONVERN OG INFORMASJONSSIKKERHET

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Retningslinjer for databehandleravtaler

Styringssystem i et rettslig perspektiv

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Nasjonal sikkerhetsmyndighet

Endelig kontrollrapport

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Strategi for Informasjonssikkerhet

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Endelig kontrollrapport

Legitimitet, effektivitet, brukerorientering

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Endelig kontrollrapport

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Overordnet IT beredskapsplan

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Endelig Kontrollrapport

RHF og HF omfattes av sikkerhetsloven

Kommunens Internkontroll

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Helseforskningsrett med fokus på personvern

Policy for personvern

Ny sikkerhetslov og forskrifter

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Endelig kontrollrapport

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Endelig kontrollrapport

Servicestrategi for utlendingsforvaltningen

Hva er et styringssystem?

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Prinsipper for virksomhetsstyring i Oslo kommune

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Hvordan bidrar internrevisjonen til bedre styring og kontroll? DFØ, 27. oktober 2015

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Endelig kontrollrapport

Instruks for konsernrevisjonen Helse Sør-Øst

Endelig kontrollrapport

Avtale mellom. om elektronisk utveksling av opplysninger

Plan for informasjonssikkerhet Bjugn kommune

Kort innføring i personopplysningsloven

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Personopplysninger og opplæring i kriminalomsorgen

Vår referanse (bes oppgitt ved svar)

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Endelig kontrollrapport

Innledning. Kapittel 1. Alminnelige bestemmelser. Til 1-1. Formål

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Anskaffelsesstrategi for Stavanger kommune

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Krav til informasjonssikkerhet i nytt personvernregelverk

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel mai 2008

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Virksomhetsstrategi Justis- og beredskapsdepartementet

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Endelig kontrollrapport

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Vedlegg 2 - Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten Vurdering av status i Helse Nord IKT

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Saksframlegg Referanse

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Endelig kontrollrapport

Høringssvar fra Utlendingsdirektoratet politiets tilgang til utlendingsmyndighetenes registre

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Saksframlegg. Styret Pasientreiser HF 24/04/2017

Om personopplysningslovens btdi betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Transkript:

OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument Rutine for innhenting av samtykke Styrende nivå Generelle Policynivå Gjennomførende nivå Avdeling 1 Oppgave 1 Oppgave 2 Spesifikke 10/2011 1

Versjon Dato Endring Utført av Godkjent av 1.0 13.02.2008 Første versjon IEL/CHAA Ida Børresen 2.0 20.10.2010 Nye figurer satt inn før IEL/CHAA IEL/CHAA høringsrunden på de øvrige dokumenter. 3.0 19.10.2011 Justert versjon ved at deler av styringsdokumentet for personopplysningsloven er flyttet til dette oversiktsdokumentet. IEL/CHAA Ida Børresen, DM 19.10.2011 Innholdsfortegnelse 1. Innledning 1.1 Hvorfor er personvern og sikkerhet viktig i UDI? 1.2 Særlige utfordringer i UDI 2. UDIs Internkontrollsystem 2.1 Hva er et internkontrollsystem 2.2 Internkontrollsystemets tre deler 2.3 Oversikt og sammenheng i dokumentstrukturen 1. Innledning UDI er underlagt en rekke rettslige rammebetingelser som har betydning for sikkerheten; sikkerhetsloven med tilhørende forskrifter, personopplysningsloven med tilhørende forskrift, forskrift om elektronisk kommunikasjon med og i forvaltningen, lov om elektronisk signatur med videre. Vi bruker begrepet sikkerhet vidt i dette dokumentet og det vil omfatte alle aspekter som følger av de rettslige rammebetingelsene som er nevnt over med mindre noe annet er presisert. 1.1 Hvorfor er personvern og sikkerhet viktig i UDI? UDI må ha tilgang til informasjon Som ledd i UDIs oppgaveløsning innhentes det store mengder personinformasjon om søkere og andre berørte og deres relasjoner. Tilgang til opplysninger er nødvendig for å iverksette og bidra til å utvikle regjeringens innvandrings- og flyktningpolitikk slik som forventet. Denne personinformasjonen er ofte av meget personlig og sensitiv karakter. Deler av informasjonen vil også være gradert etter sikkerhetsloven ut fra nasjonale sikkerhetsinteresser. Sammenheng med våre kjerneverdier UDIs skal være et brukerorientert og åpent direktorat som utfører sine oppgaver så effektivt som mulig samtidig som vi opptrer innenfor rammene av lover, forskrifter, instrukser og internasjonale forpliktelser og egne kjerneverdier om menneskeverd, profesjonalitet og helhet. Søkere, berørte og andre aktører må både kunne forvente og rent faktisk ha tillit til at UDI forvalter personopplysninger på en betryggende måte. Hvordan ivaretar vi personvernet og sikrer godt sikkerhetsnivå? 10/2011 2

Dette oppnås gjennom gode systemer og internkontroll, den enkelte medarbeiders årvåkenhet, og etterlevelse av gjeldende lover, forskrifter regelverk og intern sikkerhetsbestemmelser. Ivaretakelse av personvern og sikkerhet er å vise respekt for brukerne og deres situasjon. Viktige bidrag for å oppnå dette er: God risikostyring hvor uønskede hendelser blir identifisert og utbedret før de blir kritiske, vil bidra til å skape gode resultater for UDI. Sikkerhetsbevisste medarbeidere som tenker på personvern samtidig som oppgavene skal løses effektivt, bidrar til å ivareta helheten i og samspillet mellom våre arbeidsoppgaver. Gode kontrollmekanismer vil bidra til kvalitet og effektivitet i alt vi gjør. Enkle og oppdaterte rutiner vil gjøre det lettere å oppfylle formålet med regelverk, instrukser og virksomhetsmålene. Sikkerhet og satsing på elektronisk saksbehandling og kommunikasjon Ivaretakelse av personvern og informasjonssikkerhet er avgjørende for at UDI skal kunne nå sin strategiske målsetting om å realisere potensialet innenfor IKT. UDI har ambisjon om å være langt fremme innen offentlig forvaltning i bruk teknologiske løsninger for å øke effektiviteten i saksbehandlingen, redusere saksbehandlingstidene og gi bedre service til brukerne. Full elektronisk saksbehandling krever at nødvendig konfidensialitet, integritet og tilgjengelighet sikres for personopplysninger som behandles. Det må derfor fra start planlegges med både tilstrekkelig tid og ressurser for å finne egnede tekniske løsninger slik at den ønskede utvikling kan finne sted samtidig som personvern- og sikkerhetshensyn ivaretas i tilstrekkelig grad. Automatisering av informasjonsutvekslingen med andre offentlige registre stiller krav til opplysningskvaliteten på personopplysningene i våre informasjonssystemer slik at det er tilstrekkelige, relevante, korrekte og oppdaterte opplysninger for formålet. 1.2 Særlige utfordringer i UDI Noen av hovedutfordringene i forbindelse med behandlingene av personopplysninger på utlendingsforvaltningens område er at: Det behandles mye taushetsbelagt informasjon og omfanget av sensitive personopplysninger er omfattende, i tillegg til at mange av de sensitive opplysningene må karakteriseres som av særlig følsom karakter. De tillatelser som UDI forvalter har i de fleste tilfeller meget stor betydning for den og de det gjelder. Dette gir utfordringer i forhold til bruk av samtykke som grunnlag for både innhenting og videre behandling av personopplysningene som følge av kravet om at samtykke skal være frivillig. Dette innebærer også fare for overskuddsinformasjon ved at opplysninger gis til oss uoppfordret fordi søker antar at det vil kunne innvirke på sakens utfall i tillegg til at søker kan ønske å sikre at vi har all den informasjonen vi trenger for å fatte et vedtak i vedkommendes favør. Behandlingen av opplysningene skjer i stor grad elektronisk og er ofte fordelt på flere fagsystemer. Det er mange som er involvert i behandlingen av personopplysninger og aktørbildet innen utlendingsforvaltningen er komplekst. Det er flere aktører som har en rolle i arbeidet med den enkelte sak og i løpet av en persons opphold i Norge; Utenriksstasjonene, politiets utlendingsenhet, lokale politidistrikt, Kripos, asylmottak, UDI og UNE. Rolle- og ansvarsbildet er ikke alltid like tydelig klargjort eller kjent for alle aktører og ansvarsforholdet mellom disse aktørene kan endre seg avhengig av den aktuelle settingen fordi noen av aktører har flere roller på samme tid eller over tid. I enkelte saker vil behandlingen av personopplysninger i tillegg til personopplysningsloven også være underlagt sikkerhetslovens bestemmelser noe som krever særlige tilpasninger når det gjelder fysisk sikring, håndtering, autorisert personell og den elektroniske behandlingen. Dette er forhold og utfordringer som medfører at det er ekstra viktig at vi i UDI opptrer ryddig, informerer godt utad og har en korrekt behandling av de personopplysninger vi forvalter. Klarer vi ikke det, vil det kunne svekke den tillit som UDI må ha hos søkerne, samarbeidspartnere, departementenes og tilsynsmyndigheten med de utfordring som det vil medføre. Enten det gjelder å få tilgang til den informasjonen vi trenger eller det fører til pålegg om utbedring og mer rapportering. 10/2011 3

2. UDIs Internkontrollsystem 2.1 Hva er et internkontrollsystem Et internkontrollsystem er summen av de planlagte og systematiske tiltakene som skal sikre at all behandling av personinformasjon i en virksomhet utøves i samsvar med krav fastsatt i medhold av lov, forskrift, samt andre fastsatte eller avtalte. Slike systematiske tiltak skal vedlikeholdes og være dokumentert og er et pålegg som følger av både personopplysningsloven 1 og sikkerhetsloven 2. Sikring av tilfredsstillende informasjonssikkerhet innebærer sikring med hensyn til: Konfidensialitet (sikre at ikke uvedkommende får tilgang til opplysningene), Integritet (sikre at opplysninger ikke endres uautorisert eller utilsiktet) og Tilgjengelighet (sikre at opplysninger er tilgjengelig ved tjenestlig behov for behandling av de relevante personopplysninger). Tiltakene for å oppnå dette vil typisk omfatte ulike varianter av organisatoriske, administrative, fysiske og systemtekniske tiltak. 2.2 Internkontrollsystemets tre deler Hensikten med internkontrollsystemet er å: Legge til rette for at lover og tilhørende regelverk følges intern i virksomheten blant annet ved at det er dokumentert og gjort kjent hvilke tiltak som er innført. Bidra til at det er en sammenheng og helhet i de ulike tiltakene. UDI har valgt å dele Internkontrollsystemet inn i henholdsvis en styrende, en gjennomførende og en kontrollerende del. Den styrende delen er, som begrepet indikerer, direktørens verktøy for å gi retning på UDIs arbeid med å sikre etterlevelse av de rettslige rammebetingelser. Den gjennomførende delen består av summen av alle tiltak (fysisk, organisatorisk, teknisk) som er iverksatt for å sikre god etterlevelse av de rettslige rammebetingelsene ved å gi anvisning på hvordan personopplysningene skal behandles. Den kontrollerende delen består tiltak for å ettergå etterlevelsen og utføre kontroll av om UDI har de riktige tiltakene. Erfaringer herfra gir grunnlag for forslag om forbedringstiltak. Disse delene skal virke sammen slik at vi får en kontinuerlig evaluerings- og læringsprosess som realiserer det såkalte års- og kvalitetshjulet i praksis. 1 Personopplysningslovens 13 og 14 og personopplysningsforskriftens kapittel 2 og 3. 2 Sikkerhetsloven 5 og tilhørende forskrifter. 10/2011 4

ACT Evaluere Analysere avvik og finne årsaker. Utføre tilpasninger hvor nødvendig. Styre Etablere og tilpasse mål, strategi og ansvarsområder. PLAN CHECK Kontrollere Undersøke og verifisere gjeldende praksis. Avdekke eventuelle avvik. Gjennomføre Implementere mål og strategi gjennom styringsprinsipper, og instrukser. DO 2.3 Oversikt og sammenheng i dokumentstrukturen Dokumentene som til sammen utgjør UDIs internkontrollsystem har vi delt inn i nivåer. Målgruppen for de ulike nivåene er noe ulik, men det er viktig at det faktisk er en sammenheng og en rød tråd mellom innholdet i henholdsvis mål, strategi og konkrete for personvern og ulike sikkerhetstema. Felles toppdokument (dette dokumentet) er felles for alt sikkerhetsarbeid. Oversikt og sammenheng kan illustreres på følgende måte: Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument Rutine for innhenting av samtykke Styrende nivå Generelle Policynivå Gjennomførende nivå Avdeling 1 Oppgave 1 Oppgave 2 Spesifikke Innhold i og tilgang til den underliggende dokumentasjon: 10/2011 5

Grunnlagsdokumentet for sikkerhet Beskriver de grunnleggende forutsetninger for UDIs håndtering av skjermingsverdig informasjon etter sikkerhetsloven med forskrifter. Inneholder en beskrivelse av UDIs sikkerhetsorganisasjon og dens myndighet, den sikkerhetsmessige inndelingen i fysiske områder, informasjonssystemer for håndtering av gradert informasjon, sikkerhetsgradert kommunikasjon, behovet for tilgang til sikkerhetsgradert informasjon og en oversikt over UDIs sikkerhetsdokumentasjon i henhold til sikkerhetsloven. Dokumentet er gradert og tilgjengelig for sikkerhetsklarerte ledere og avdelingenes sikkerhetsrådgivere. De tilhørende konkrete rutiner i forbindelse med sikkerhetsloven er tilgjengelig for UDIs medarbeidere på intranett under fanen Verktøykassa/Sikkerhet. Internkontrollsystemet for personvern og informasjonssikkerhet Styringsdokumentet for ivaretakelse av personopplysningsloven inneholder blant annet sikkerhetsmål, overordnede sikkerhetsstrategier, beskrivelse av ansvar og roller på området samt vedlegg som inneholder oversikt over alle behandlingsformål, og prioriterte fokusområder. Policydokument konkretiserer hvilke krav som gjelder innen personvern og informasjonssikkerhet. All dokumentasjon og de mer gjennomførende dokumenter og rutiner er per i dag tilgjengelig for alle medarbeidere, og de kan ses via intranett, se under fanen Verktøykassa/Personvern. Utvalgte deler er i tillegg tilgjengelig via Regelverksportalen (RVP). 10/2011 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding