Kravene til informasjonssikkerhet finnes i personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2.
For vurderingen trenger Datatilsynet kopi av noen av de overordnede dokumentene som den behandlingsansvarlige skal ha ifølge forskriften. Omfanget av dokumentene vil variere avhengig av hvilken type behandling som foretas samt virksomhetens størrelse og kompleksitet.
Dette må være vedlagt:
- definerte sikkerhetsmål
- sikkerhetsstrategi
- risikovurdering
- organisasjonskart som beskriver ansvar og myndighet i forhold til informasjonssikkerhet og drift
- konfigurasjonskart
Dersom dokumentasjon i henhold til pkt. 3 i søknadsskjemaet mangler eller er for mangelfull til at Datatilsynet kan gjøre en forsvarlig vurdering av informasjonssikkerheten, vil søknaden kunne bli returnert uten behandling, med anvisning om hva som mangler. Dette kommer nødvendigvis til å forsinke prosessen.
Om begrepene
Her følger en kort omtale av begreper som blir benyttet i arbeidet med informasjonssikkerhet. Se også vedlegg I som forteller mer om hva begrepene innebærer.
- Sikkerhetsmål: Sikkerhetsmålene omfatter ledelsens beslutninger om til hva og hvordan informasjonsteknologien skal benyttes i virksomheten for å kunne nå sine øvrige mål. Den vil således utgjøre en del av virksomhetens beskrivelse av sin totale målsetting.
- Sikkerhetsstrategi: Sikkerhetsstrategien vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgavene mellom ledelse og driftspersonell, beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell og den enkelte bruker må avklares her. Sikkerhetsstrategi skal gjøre rede for organisatoriske og tekniske strategiske valg. Sikkerhetsstrategien må være utformet på en måte som gjør at de ansatte forstår hva ledelsen har bestemt.
- Akseptkriterium: Bestemmer hvilken risiko som kan aksepteres av virksomheten. Ved behov har Datatilsynet anledning til å fastlegge særskilte kriterier for akseptabelt risikonivå eller å fastlegge spesielle vilkår for sikkerhet ved behandling.
- Risikovurdering: Risikovurderingen har til hensikt å undersøke hvor stor personvernrisiko det er ved bruk av informasjonssystemet. Resultatet av vurderingen skal sammenliknes med det risikonivå virksomheten kan akseptere (akseptkriteriene). En risikovurdering må derfor måtte inneholde beskrivelse av hvilke personopplysninger som behandles og sikkerhetskravene til disse. Personvernrisiko er kombinasjonen av en hendelses konsekvens og sannsynligheten for at hendelsen inntreffer. (Se Datatilsynets veiledning ”Risikovurdering av informasjonssystem” som finnes på informasjonssikkerhetssidene til Datatilsynets websted.)
- Konfigurasjonskart: På et slikt kart bør nettets infrastruktur og de forskjellige brukere, nettverkskomponentene, datalagringsenhetene fremgå samt hvilken funksjon disse enhetene har. Ekstern tilknytning må tydelig fremgå. Det bør også inngå hvilke enheter som er lagringsmedium for personopplysninger.
Hva bør dokumentasjonen som vedlegges søknaden inneholde?
Tabellen under kan fungere som en sjekkliste for virksomheten. Innholdet er kun veiledende og ikke nødvendigvis uttømmende. Personopplysningsforskriften forkortes pof og punkt henviser til punktet i søknadsskjemaet.
| Krav | Bestemmelse | Kommentar |
pof 2-3, jf. punkt 3.1 | Sikkerhetsmål | Sikkerhetsmål bør omfatte beslutninger om til hva og hvordan virksomheten skal kunne benytte informasjonsteknologi: - Hvilke personopplysninger blir lagret elektronisk/manuelt?
- Må opplysningene sikres med hensyn på konfidensialitet, integritet og tilgjengelighet?
- Hvilke elektroniske hjelpemidler tas i bruk?
- Hvordan skal disse opplysningene kunne brukes?
- Eventuell privat bruk av informasjonssystemet
|
pof 2-3, jf. punkt 3.2 | Sikkerhets-strategi | Beskrivelse av valg og prioriteringer i sikkerhetsarbeidet. - Overordnede valg for gjennomføring av sikkerhetsarbeidet
- Overordnede føringer for bruk av informasjonssystemet
- Eventuell bruk av eksterne samarbeidspartnere, f.eks. databehandler
- Beslutning om tilknytning til eksterne virksomheter
- Overordnet oppgavefordeling
|
pof 2-4, jf. punkt 3.4 | Risikovurdering | Skal gjennomføres før behandling av personopplysninger starter, deretter ved endringer i informasjonssystemet eller trusler som kan påvirke risikobildet. En risikovurdering bør som et minimum inneholde: - Kartlegging av personopplysninger som behandles og hvilke sikkerhetsbehov disse har
- Identifisering av uønskede hendelser som kan true sikkerheten og konsekvensene av disse
- Vurdering av sannsynlighet for at uønskede hendelser skal inntreffe
- Vurdering av avdekket risiko i forhold til aksepterbar risiko
Det forutsettes at risikonivået ligger innenfor akseptable grenser før behandling av personopplysninger settes i gang. Gjør de ikke det, brukes resultatene av risikovurderingen som grunnlag for planlagging og gjennomføring av tiltak som kan gi tilfredsstillende informasjonssikkerhet |
pof 2-7, jf. punkt 3.4 og 3.5 | Organisering | Her skal sikkerhetsorganisasjonen beskrives. Det skal etableres klare ansvars- og myndighetsforhold med utgangspunkt i beslutninger tatt av virksomhetens ledelse (sikkerhetsstrategien). - Ansvar og myndighet relatert til drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeid (sikkerhetsledelse) må klarlegges. I mindre organisasjoner kan det være samme person som ivaretar disse oppgavene.
- For større organisasjoner fremlegges organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelse og virksomheten for øvrig.
- Ansvar og myndighet skal fremgå tydelig.
|
pof 2-7, jf punkt 3.5 | Konfigurasjon | - Det må foreligge konfigurasjonskart
- Beskrivelse av nettets infrastruktur og de forskjellige nettverkskomponentene må fremgå
- Identifisering av datalagringsenhetene
- Synliggjøre brukere i nettverket
- Funksjonell beskrivelse av sikkerhetskomponentene
- Eventuelle eksterne tilknytninger må tydelig fremgå
|
3.6, 3.7, 3.8 | => | - 3.6: Det svares 'nei' kun dersom det aktuelle nettverket hvor personopplysningene behandles er fysisk isolert fra andre nettverk.· ·
- 3.7: Det svares 'ja' dersom overføring av personopplysninger i det eksterne nettverket er aktuelt som del av den planlagte behandlingen av opplysningene.
- 3.8: Fylles ut kun hvis virksomheten er underlagt annet offentlig regelverk som også regulerer krav til informasjonssikkerhet
|