Denne artikkelen er over 1 år gammel og kan innehold utdatert informasjon

Sikkerheitsstrategi

Sikkerheitsstrategien skal konkretisere korleis ein arbeider for å vareta sikkerheitsmåla for organisasjonen.

Aktivitetar

Akseptabel nivå av risiko

  • For alle system skal det fastsettast nivå for akseptabel risiko for systemets tilgjengelegheit, konfidensialitet, integritet og kvalitet.

 

Risikovurdering

  • Ei risikovurdering er eit verktøy for å identifisere uønskte hendingar og risikoen for at desse skal hende. Risiko har to dimensjonar: skadeverking (konsekvens av eit sikkerheitsbrot hender og sårbarheit (sannsynlegheit for at eit sikkerheitsbrot hender). Risikovurderinga må sjåast i samanheng med etablert akseptkriterium for risiko, og den behandlingsansvarlege skal setje i verk nødvendige tiltak for å oppnå tilfredsstillande informasjonssikkerheit.
  • Sjå meir om ROS i kapittel 6 i styringsdokumentet.

 

Kontraktar

  • Alle formalitetar mellom kommunen og leverandørar skal vere formulerte i formelle kontraktar (SLA - Service Level Agreement) og skal inkludere relevante sikkerheitskrav.
  • Register/datasystem som leverandørar driftar på vegner av kommunen skal sikrast gjennom ein databehandlaravtale.
  • Forordninga krev at det vert etablert ein databehandlaravtale i alle tilfelle kor forordninga krev at «en behandling skal utføres på vegne av en behandlingsansvarlig», jf. art. 28. (1). Det kan være tilfelle der ein tredjepart behandlar personopplysningar på vegne av kommunen utan at tredjeparten driftar eit datasystem for kommunen.

 

Eigenkontroll

  • Eigenkontroll/måling av sikkerheitsnivå ved kommunen skal utførast regelmessig i samsvar med prosedyrar.
  • Sjå meir om eigenkontroll i styringsdokumentet kap. 8.

 

System

  • Einingsleiar er ansvarleg/eigar av dei fagsystema/behandlingar som er spesifikke for eininga si.
  • Behandlingsansvarleg (kommunedirektør) utpeiker systemansvarleg og eigar på dei systema som blir brukte av fleire einingar.
  • Dagleg vedlikehald, tryggleik og drift blir varetatt av organisasjonen sin IT eining, dersom løysinga er lokal.
  • Administrasjon av endringar/rettar i systemet blir varetatt av eininga.

 

Tilgang til informasjonssystem/behandlingar

  • Leiar er ansvarleg for å klarleggje og autorisere den einskilde tilsette sitt behov for tilgang, og skal formidle dette til IT-ansvarleg/systemadministrator.
  • Einingsleiar er ansvarleg for å melde til IT-/systemansvarleg at personell sluttar, slik at tilgangsrettar blir fjerna.
  • Kommunen skal ha ei oversikt over dei tilgangsrettane som er gitt.
  • Kommunen skal ha ein enkel oversikt over kva personsensitive opplysningar kommunen behandlar og kva fagsystem som behandlar desse. Einingsleiar er ansvarleg for at det er oppretta protokollar for behandling av personopplysningar i si eining.
  • Kommunen har også prosedyrar som hindrar uautoriert tilgang til person- og helseopplysningar og uautorisert endring av slike opplysningar.
  • Oversikt over behandling av kva personopplysningar kommunen behandlar, er beskrive i behandlingsprotkollane.
     

  • Kommunikasjonsløysingar

  • Kommunikasjonsløysingar som blir nytta ved overføring av personinformasjon og sensitiv informasjon skal sikrast i samsvar med godkjente løysingar.

  •  

    Generell teieplikt

  • Alle som får tilgang til kommunen sine personopplysingar og informasjonssystem skal underskrive erklæring om teieplikt.
    • Teieplikt for tilsette og politikarar.
    • Teieplikt for eksterne aktørar.

  •  

    Sikkerheitsinstruks/databrukaravtale

  • Tilsette med tilgang til informasjonssystema skal få ein gjennomgang av retningslinjer for informasjonssikkerheit.
  • Tilsette skal signere ein databrukaravtale før dei får tilgang til informasjonssystema.

  •  

    Opplæring

  • Ved innføring av nye system/ oppdateringar/ nye tilsetjingar er leiar ansvarleg for at opplæring blir gitt.
  • Opplæringa skal sikre at alle tilsette er kjende med det ansvaret det er å behandle personopplysingar, sensitive personopplysingar, elektronisk, munnleg og fysisk (papir).
  • Meir om opplæring, sjå kap. 11 i styringsdokumentet.

  •  

    Soneinndeling og tilgangskontroll

  • Tilgang til lokalar der det blir behandla/oppbevara person-, sensitive personopplysingar skal sikrast mot uvedkomande.
  • Arkiv, serverrom og rom med anna sentralt IT-utstyr skal sikrast slik at det er mogeleg å avgrense tilgangen til området.
  • Ytterdører skal vere låste etter arbeidstida sin slutt.

  •  

    Dokumentsikkerheit

  • Alle dokument med personopplysingar skal bli oppbevarast, sendt og makulert på ein trygg måte.
  • Konfigurasjon og konfigurasjonskontroll: Tilpassing og innstilling av eit datasystem eller programvare.
  • Leiar har ansvaret for å utarbeide og vedlikehalde oversikt over utstyr, programvare og systemkonfigurasjon.

  •  

    Endringskontroll

  • Ved endringar/innføring av informasjonssystem skal det vurderast kva konsekvensar dette kan få for tryggleiken.
  • Endringar som kan ha konsekvensar for informasjonssikkerheita, skal drøftast og godkjennast av behandlingsansvarleg/sikkerheitsleiar/arkivleiar/personvernombod, eller eit sikkerheitsutval.
  • For endringar av fellessystem som kan ha konsekvens for sikkerheita, skal det utarbeidast ei risikovurdering inkludert forslag til tiltak.

  • Beredskap

  • Einingane skal ha plan for å sikre normaldrift.
  • Meir om beredskap, sjå kap. 10 i styringsdokumentet.

  •  

    Tiltak for å hindre uhell/kriser

  • Brann:
    • Brannsløkkingsutstyr skal vere tilgjengeleg.
    • Brann, straumbrot eller andre uhell skal ikkje kunne slette eller øydeleggje informasjon.
  • Vatn:
    • Sikring mot vasslekkasje i relevante rom.
       

  • Avviksbehandling

  • Hendingar for personvern skal alltid rapporterast til nærmaste leiar via organisasjonen sitt internkontrollsystem
  • Behandling av hendingar/avvik skal følgje organisasjonen sin prosedyre for avvikshandtering.
  • Meir om avvik, sjå kap. 2 i styringsdokumentet. 
     

  • Systemteknisk sikkerheit

  • It avdeling eller driftspartnar skal ha ein oppdatert plan for systemteknisk sikkerheit.
     

  • Krav til dokumentasjon

  • Det skal føreligge ei oversikt over behandling av personopplysingar (protokollar)
  • Prosedyrane skal vere oppdaterte
  • Risikoanalysar skal vere oppdaterte
  • Referat frå leiinga sin gjennomgang skal arkiverast
  • Skisse som viser samankopling av infrastruktur
  • Driftsdokumentasjon for It-systema (ved lokal drift) 

  •  

    Infrastruktur   

  • Mekanismar i nettverkskomponentar, operativsystem og anna programvare skal brukast for at tilsette berre har tilgang til relevant informasjon.
  • Automatisk passordbeskytta skjermsparer skal nyttast.
  • Systema skal regelmessig oppdaterast med relevante sikkerheitsløysingar
  • Servar og klientar skal vere hindra mot innbrot og nedetid.
  • PC som ikkje er kommunal eigedom, skal ikkje koplast til kommunen sitt nettverk.
  • All PC'ar knytt til kommunen sitt nettverk skal vere innkjøpt, forvalta og konfigurert av IT- ansvarleg.
  • Det skal ikkje lagrast sensitive opplysingar på berbar medium som kan fjernast frå kommunen sine lokale.
  • Informasjonssystem skal vere konfigurert til å logge uautorisert tilgang eller forsøk på uautorisert tilgang.
  • Tilgang relatert til brukarar skal vere sporbart til brukarnamn/-identifikasjon
  • Programvare- og maskinvareplattformer nytta i kommunen sitt informasjonssystem skal vere standardiserte.
  • Det er ikkje tillate å installere eiga programvare for behandling av personopplysingar.
     

  • Leverandørar og partnerar

  • Leverandørar og partnerar skal vere godkjente av organisasjonen. Dette skal skje gjennom innkjøpsavtalar og databehandlaravtalar.

    Innkjøp av hardware og software

  • Ved innkjøp av hardware og software skal alltid IT-leiar vurdere teknologiske spørsmål før innkjøpet skjer.
     

  • Heimekontorløysingar

  • Alle som nyttar heimekontorløysing på open sone skal sikrast med teknisk sikkerheit i løysinga og etter policy for heimekontor.
Sist endret 04.09.2021 15.01