Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN Krav til informasjonssikkerhet etter pol § 13 og risikovurdering etter pof § 2-4 Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN
Krav til informasjonssikkerhet, pol § 13 Arbeidet med informasjonssikkerhet skal omfatte Konfidensialitet Integritet Tilgjengelighet Informsjonssikkerheten skal være “tilfredsstillende”, jf pol § 13 Forskriften stiller opp noen materielle krav mv Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet Tiltak skal være Planlagte Systematiske Dokumenterte Dokumentasjonen skal være tilgjengelig for Alle aktuelle medarbeidere Tilsynsmyndigheter Forutsetter risikovurdering, jf pof § 2-4 Bl.a. vedrørende konfidensialitet, jf pof § 2-11 Bl.a. vedrørende risikovurdering
S kan f.eks. være hjemme-PC, mobilt lagringsmedium, i overføring mv Risikovurderingen kan skje ift “personopplysninger (PO) på steder (S)” (“PO/S”) PO kan for eksempel kategoriseres etter “sensitive”, “taushetsbelagte”, etter formål mv S kan f.eks. være hjemme-PC, mobilt lagringsmedium, i overføring mv PO/S = (f.eks.) taushetbelagt informasjon på mobilt lagringsmedium Lov-/forskriftskrav FJOTP = Fysiske, Juridiske, Organisatoriske, Teknologiske, Pedagogiske (tiltak) Hvor mye skal konfidensialitetskravet dekomponeres? Hvordan skal hendelser angis?