Forvaltning

Det viktigste i denne aktiviteten er at virksomheten har en plan for hendelseshåndtering (utarbeidet i produksjonssettingsfasen) og følger den.

Målgruppen for denne fasen er primært ansatte på responssenteret, sikkerhetsrådgiver og personvernombud samt ansatte i forvaltning, drift og vedlikehold.

Virksomheten må være forberedt på å håndtere hendelser, avvik og angrep som kan medføre konfidensialitets-, integritet- og tilgjengelighetsbrudd relatert til personopplysninger. Den bør ha et responssenter som kan håndtere hendelser og gi ut oppdateringer, veiledning og informasjon til brukere og berørte.

Håndtere hendelser og avvik

Virksomheten bør følge en plan for hendelseshåndtering. Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Vær oppmerksom på at hendelsens karakter kan medføre endringer i hvordan planen følges. Responsteamet skal vite hvem de skal kontakte etter behov og hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet bør også vite hvilke prioriteringer som gjelder, og vite nøyaktig hva de kan og skal gjøre når det virkelig er krise. For å få til dette trenger de ansatte regelmessige øvelser. For informasjon om gjennomføring av øvelser, se Difis veileder for planlegging og gjennomføring av IKT-øvelser

Hendelser skal rapporteres til et definert kontaktpunkt eller responssenter, som håndterer interne og eksterne hendelser. Rapportering av hendelser skjer via de kanaler som er beskrevet i planen for hendelseshåndtering som ble utarbeidet i aktivitet 6, produksjonssetting. Brukere av programvaren bør oppfordres til å rapportere inn feil, sårbarheter og mangler, slik at programvaren kontinuerlig kan forbedres og videreutvikles. Evaluering av hendelser bør følge planen.

Forvaltning, drift og vedlikehold av programvaren

Sørg for å følge virksomhetens rutiner for forvaltning, drift og vedlikehold av programvaren. Det inkluderer blant annet rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Eksempler på rutiner for å ivareta dette er:

  • regelmessige sikkerhetstester
  • sårbarhetsanalyser og penetrasjonstester på programvare, infrastruktur og nettverk

Rutinene bør også omfatte feilretting, ytelsesforbedringer og oppdatering og patching av både programvare og tredjepartskomponenter.

Det er viktig å definere hva som kan og skal logges. I tillegg må virksomheten regelmessig sikre, overvåke og følge opp hendelser i loggene. Vær oppmerksom på at personopplysninger som logges, ofte eksporteres til andre applikasjoner og kan bli tilgjengelig for flere personer enn de som har tjenestlig behov.

Gjennomfør regelmessige revisjoner og egenkontroller for å dokumentere samsvar med relevante regelverk.

Virksomheten bør ha et styringssystem for personvern og informasjonssikkerhet som omfatter anskaffelse, forvaltning, drift og vedlikehold. Styringssystemet bør være etablert i henhold til anerkjente rammeverk som for eksempel:

ISO27001 (www.standard.no)

The ISF Standard of Good Practice of Information Security (SoGP) (www.securityforum.org) 

Difis veiledning for internkontroll og informasjonssikkerhet (difi.no).

Last ned

Veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

Veileder i internkontroll
9