60 likes | 231 Views
Krav til informasjonssikkerhet etter pol § 13 og risikovurdering etter pof § 2-4. Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN. Forutsetter risikovurdering, jf pof § 2-4. Bl.a. vedrørende konfidensialitet, jf pof § 2-11. Bl.a. vedrørende risikovurdering.
E N D
Krav til informasjonssikkerhet etter pol § 13 ogrisikovurdering etter pof § 2-4 Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN
Forutsetter risikovurdering, jf pof § 2-4 Bl.a. vedrørende konfidensialitet, jf pof § 2-11 Bl.a. vedrørende risikovurdering Krav til informasjonssikkerhet, pol § 13 • Arbeidet med informasjonssikkerhet skal omfatte • Konfidensialitet • Integritet • Tilgjengelighet • Informsjonssikkerheten skal være “tilfredsstillende”, jf pol § 13 • Forskriften stiller opp noen materielle krav mv • Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet • Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet • Tiltak skal være • Planlagte • Systematiske • Dokumenterte • Dokumentasjonen skal være tilgjengelig for • Alle aktuelle medarbeidere • Tilsynsmyndigheter
Lov-/forskriftskrav Risikovurderingen kan skje ift “personopplysninger (PO) på steder (S)” (“PO/S”) PO kan for eksempel kategoriseres etter “sensitive”, “taushetsbelagte”, etter formål mv S kan f.eks. være hjemme-PC, mobilt lagringsmedium, i overføring mv PO/S = (f.eks.) taushetbelagt informasjon på mobilt lagringsmedium FJOTP = Fysiske, Juridiske, Organisatoriske, Teknologiske, Pedagogiske (tiltak) • Hvor mye skal konfidensialitetskravet dekomponeres? • Hvordan skal hendelser angis?