Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN

Presentasjon om: "Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN"— Utskrift av presentasjonen:

1 Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN
Krav til informasjonssikkerhet etter pol § 13 og risikovurdering etter pof § 2-4 Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN

2 Krav til informasjonssikkerhet, pol § 13
Arbeidet med informasjonssikkerhet skal omfatte Konfidensialitet Integritet Tilgjengelighet Informsjonssikkerheten skal være “tilfredsstillende”, jf pol § 13 Forskriften stiller opp noen materielle krav mv Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet Tiltak skal være Planlagte Systematiske Dokumenterte Dokumentasjonen skal være tilgjengelig for Alle aktuelle medarbeidere Tilsynsmyndigheter Forutsetter risikovurdering, jf pof § 2-4 Bl.a. vedrørende konfidensialitet, jf pof § 2-11 Bl.a. vedrørende risikovurdering

3

4

5

6 S kan f.eks. være hjemme-PC, mobilt lagringsmedium, i overføring mv
Risikovurderingen kan skje ift “personopplysninger (PO) på steder (S)” (“PO/S”) PO kan for eksempel kategoriseres etter “sensitive”, “taushetsbelagte”, etter formål mv S kan f.eks. være hjemme-PC, mobilt lagringsmedium, i overføring mv PO/S = (f.eks.) taushetbelagt informasjon på mobilt lagringsmedium Lov-/forskriftskrav  FJOTP = Fysiske, Juridiske, Organisatoriske, Teknologiske, Pedagogiske (tiltak) Hvor mye skal konfidensialitetskravet dekomponeres? Hvordan skal hendelser angis?