Forvaltning

Det viktigste i denne aktiviteten er at virksomheten har en plan for hendelseshåndtering (utarbeidet i produksjonssettingsfasen) og følger den.

Virksomheten må være forberedt på å håndtere hendelser, avvik og angrep som kan medføre konfidensialitets-, integritet- og tilgjengelighetsbrudd relatert til personopplysninger. Den bør ha et responssenter som kan håndtere hendelser og gi ut oppdateringer, veiledning og informasjon til brukere og berørte.

Målgruppen for denne fasen er primært ansatte på responssenteret, sikkerhetsrådgiver og personvernombud samt ansatte i forvaltning, drift og vedlikehold.

Håndtere hendelser og avvik

Virksomheten bør følge en plan for hendelseshåndtering. Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Vær oppmerksom på at hendelsens karakter kan medføre endringer i hvordan planen følges. Responsteamet skal vite hvem de skal kontakte etter behov og hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet bør også vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre når det virkelig er krise. For å få til dette trenger de ansatte regelmessige øvelser. For informasjon om gjennomføring av øvelser, se Difis veileder for planlegging og gjennomføring av IKT-øvelser (www.difi.no)

Hendelser skal rapporteres til et definert kontaktpunkt eller responssenter, som håndterer interne og eksterne hendelser. Rapportering av hendelser skjer via de kanaler som er beskrevet i planen for hendelseshåndtering som ble utarbeidet i aktivitet 6, produksjonssetting. Brukere av programvaren bør oppfordres til å rapportere inn feil, sårbarheter og mangler, slik at programvaren kontinuerlig kan forbedres og videreutvikles. Evaluering av hendelser bør følge planen.

Forvaltning, drift og vedlikehold av programvaren

Sørg for å følge virksomhetens rutiner for forvaltning, drift og vedlikehold av programvaren. Det inkluderer blant annet rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Regelmessige sikkerhetstester, sårbarhetsanalyser og penetrasjonstester på programvare, infrastruktur og nettverk, er eksempler på rutiner for å ivareta dette. Rutinene bør omfatte feilretting, ytelsesforbedringer, oppdatering og patching, både av programvare og tredjepartskomponenter.

Det er viktig å definere hva som kan og skal logges. I tillegg må virksomheten regelmessig sikre, overvåke og følge opp hendelser i loggene. Vær oppmerksom på at personopplysninger som logges, ofte eksporteres til andre applikasjoner og kan bli tilgjengelig for flere personer enn de som har tjenstlig behov.

Gjennomfør regelmessige revisjoner og egenkontroller for å dokumentere samsvar med relevante regelverk.

Virksomheten bør ha et styringssystem for personvern og informasjonssikkerhet som omfatter anskaffelse, forvaltning, drift og vedlikehold. Styringssystemet bør være etablert i henhold til anerkjente rammeverk som for eksempel:

ISO27001 (www.standard.no)

The ISF Standard of Good Practice of Information Security (SoGP) (www.securityforum.org) 

Difis veiledning for internkontroll og informasjonssikkerhet (difi.no).

Last ned

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll