Lukk

Tips noen om denne nettsiden

Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Sidemeny

Informasjonssikkerhet

Krav og begreper om informasjonssikkerhet

(Publisert: 10.01.2012 Sist endret: 08.03.2012)
Kravene til informasjonssikkerhet finnes i personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2. Helseregisterlovens § 16 stiller tilsvarende krav.

Kravene omfatter blant annet at virksomheten skal ha:

  • definerte sikkerhetsmål
  • sikkerhetsstrategi
  • gjennomført risikovurdering
  • organisasjonskart som beskriver ansvar og myndighet i forhold til informasjonssikkerhet og drift
  • beskrivelse av informasjonssystemet

Forklaring av begreper

Her følger en kort omtale av begreper som blir benyttet i arbeidet med informasjonssikkerhet.

Sikkerhetsmål:

Sikkerhetsmålene omfatter ledelsens beslutninger om hva informasjonsteknologien skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Sikkerhetsmål vil således utgjøre en del av virksomhetens beskrivelse av sin totale målsetting

Sikkerhetsstrategi:

Sikkerhetsstrategien inneholder beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette dreier seg blant annet om fordeling av arbeidsoppgavene mellom ledelse og driftspersonell og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell og den enkelte bruker må være tydelig avklares i sikkerhetsstrategien. Organisatoriske samt tekniske strategiske valg skal også beskrives i sikkerhetsstrategien.

Akseptkriterium:

Et akseptkriterium er det nivået av risiko virksomheten kan akseptere. Det betyr at virksomheten har vurdert ulike scenarioer og konsekvenser av disse og avgjort hvilken grad av risiko for dette, ledelsen kan akseptere. Datatilsynet kan overprøve virksomhetens valg dersom tilsynet mener virksomheten aksepterer for stor risiko.

Risikovurdering:

En risikovurdering har til hensikt å undersøke hvor stor sikkerhetsrisiko det er ved bruk av informasjonssystemet. Resultatet av denne vurderingen skal sammenliknes med det risikonivået virksomheten kan akseptere (akseptkriteriene). En risikovurdering må derfor inneholde en beskrivelse av hvilke personopplysninger som behandles og hvilke sikkerhetskrav som stilles til disse behandlingene. Risiko er kombinasjonen av konsekvensen av en hendelse og sannsynligheten for at denne hendelsen inntreffer. (Se Datatilsynets veiledning ”Risikovurdering av informasjonssystem” – lenke til siden om risikovurdering med veilederen. )

Konfigurasjonsbeskrivelse:

En konfigurasjonsbeskrivelse er en oversikt over infrastruktur, nettverkskomponenter og datalagringsenheter og brukere i virksomhetens nett. Det bør også komme tydelig frem hvilken funksjon enhetene har. Eventuelle eksterne tilknytninger må også komme klart frem. Beskrivelsen bør også forklare hvilke enheter som er lagringsmedium for personopplysninger. Et konfigurasjonskart er ofte en viktig del av en konfigurasjonsbeskrivelse.

Åpne og les hele artikkelen Skjul full artikkel

Sentrale krav

BestemmelseKommentarKrav i personopplysningsforskriften
Sikkerhetsmål 

Sikkerhetsstrategien inneholder beslutninger om organisering og gjennomføring av sikkerhetsarbeidet:

• Hvilke personopplysninger blir lagret elektronisk/manuelt?
• Hvilke sikringsbehov har opplysningene med hensyn til konfidensialitet, integritet og tilgjengelighet?
• Hvilke elektroniske hjelpemidler tas i bruk?
• Hvordan skal disse opplysningene kunne brukes?
• Eventuell privat bruk av informasjonssystemet

 § 2-3
Sikkerhetsstrategi

Beskrivelse av valg og prioriteringer i sikkerhetsarbeidet:

• Overordnede valg for gjennomføring av sikkerhetsarbeidet
• Overordnede føringer for bruk av informasjonssystemet
• Eventuell bruk av eksterne samarbeidspartnere, f.eks. databehandlere og sikkerhetsleverandører
• Overordene krav til sikkerhetsarkitektur (flere nivå i nettverk, overvåkingssystem med mer)
• Overordnet oppgavefordeling

 § 2-3
Risikovurdering Skal gjennomføres før behandling av personopplysninger starter, deretter ved endringer i informasjonssystemet eller endring i trusselbildet. En risikovurdering bør som et minimum, inneholde:

• Kartlegging av hvilke personopplysninger som behandles og hvilke sikkerhetsbehov disse har
• Identifisering av uønskede hendelser som kan true sikkerheten og konsekvensene av disse
• Vurdering av sannsynligheten for at uønskede hendelser skal inntreffe
• Vurdering av avdekket risiko for sikkerhetsbrudd sett i forhold til aksepterbar risiko
Datatilsynet forutsetter at risikonivået ligger innenfor akseptable grenser før behandling av personopplysninger settes i gang. Gjør det ikke det, skal resultatene av risikovurderingen brukes som grunnlag for planlegging og gjennomføring av tiltak som sikrer tilfredsstillende informasjonssikkerhet.
§ 2-4
Organisering Her skal sikkerhetsorganisasjonen beskrives. Det skal være etablert klare ansvars- og myndighetsforhold ut fra hva virksomhetens ledelse har bestemt(sikkerhetsstrategien).:

• Ansvar og myndighet for drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeid (sikkerhetsledelse) må klarlegges. I mindre organisasjoner kan det være samme person som ivaretar disse oppgavene.
• I større organisasjoner bør det lages et organisasjonskart som viser alle sikkerhetsfunksjoner og deres plassering i forhold til ledelse og de ansatte virksomheten.
• Det skal fremgå tydelig i kartet hvem som har ansvar og hvem som har myndighet.		 § 2-7
Konfigurasjon Det bør foreligge et konfigurasjonskart, men dersom konfigurasjonen er enkel er det greit å ha en skriftlig beskrivelse istedenfor et kart. Dette kartet eller beskrivelsen må inneholde:

• Oversikt over virksomhetens infrastruktur og de forskjellige brukere i virksomhetens nett.
• Identifisering av datalagringsenhetene, nettverkskomponentene og datalagringsenhetene.
• Kartet eller beskrivelsen skal også inneholde en funksjonell beskrivelse av sikkerhetskomponentene		 § 2-7

Synes du denne artikkelen var nyttig?

Ja, jeg fikk svar på de spørsmålene jeg hadde
Nei, jeg fant ikke det jeg lette etter

Veiledere

Verktøy og skjema

Regelverk

Om Datatilsynet

Datatilsynet skal medvirke til at den einskilde ikkje vert krenka gjennom bruk av opplysningar som kan knyttast til han eller henne

Kontakt oss

postkasse@datatilsynet.no
Telefon: +47 22 39 69 00

Postboks 8177 Dep
0034 Oslo

Personvernerklæring