SlideShare a Scribd company logo

Kurs i risikovurdering

Download as PPTX, PDF
Senter for IKT i utdanningen, redaksjon
Senter for IKT i utdanningen, redaksjon

Fagseminar om risikovurdering av informasjonssikkerhet, Senter for IKT i utdanningen 04.11.15

1 of 39
www.iktsenteret.nowww.iktsenteret.no Tommy Tranvik Harald Torbjørnsen 04.11.2015 Kurs i risikovurdering av informasjonssikkerhet
www.iktsenteret.no Generelt om risikovurdering • Rettslige krav til sikring av informasjonsverdier, spesielt personopplysninger • En form for utredningsplikt • Risikovurderingene blir ikke bedre enn deltakerne – utvelgelse – informasjon – håndtering
www.iktsenteret.no Innholdet i utredningsplikten • Identifisere og vurdere uønskede hendelser • Uønskede hendelser – uautorisert tilgang eller eksponering (konfidensialitetsbrudd) – uautorisert endring, sletting eller skade (integritetsbrudd) – manglende tilgjengelighet (tilgjengelighetsbrudd) • Vurdering – sannsynlighet – konsekvens (skadeomfanget)
www.iktsenteret.no Muliggjøreren • Informasjonssikkerhet og risikovurderinger er ment å være muliggjøreren for bruk av IKT • Skape tillit til den elektroniske informasjonsforvaltningen – viktige informasjonsverdier (personopplysninger) blir ivaretatt på tilfredsstillende vis
www.iktsenteret.no Svakheter • Risikovurdering = egenkontroll • Egenkontrollen kan påvirkes av «utenforliggende forhold», for eksempel – bundet mandat – økonomi – makelighet – prestisje – personlige preferanser – inkompetanse • Ikke brukes til fordeling av skyld og ansvar
www.iktsenteret.no RETTSLIGE REGULERINGER I OFFENTLIG SEKTOR
www.iktsenteret.no De viktigste rettslige reguleringene • Regelverk med eksplisitte krav til risikovurdering – personopplysningsloven med forskrift – e-forvaltningsforskriften • Regelverk med betydning for informasjonssikkerheten – forvaltningsloven – offentlighetsloven – arkivloven • Enkelte bestemmelser i særlovgivningen
www.iktsenteret.no Personopplysningsloven med forskrift • Gjelder – all elektronisk behandling av personopplysning som helt eller delvis skjer ved bruk av elektroniske hjelpemidler – enhver opplysning eller vurdering som kan knyttes til en bestemt enkeltperson – personopplysninger som inngår i interne og eksterne IT-løsninger • Formål – ivareta grunnleggende personvernhensyn • Rettslig standard – «tilfredsstillende» sikring av konfidensialitet, integritet og tilgjengelighet
www.iktsenteret.no Krav til risikovurderinger • Skal skje – før behandlingen av personopplysninger starter – ved endringer i interne eller eksterne IT-løsninger som har betydning for informasjonssikkerheten • Krav til selve risikovurderingene – ikke mer omfattende eller formaliserte enn nødvendig – skal basere seg på akseptkriterier vedtatt av toppledelsen – ingen nærmere krav til gjennomføring og metodikk
www.iktsenteret.no E-forvaltningsforskriften • Hjemlet i forvaltningsloven § 15a • Gjelder – elektronisk kommunikasjon med forvaltningen og elektronisk saksbehandling og kommunikasjon i forvaltningen • Formål – sikker og effektiv elektronisk kommunikasjon med og i forvaltningen – legge til rette for at enhver kan utøve sine rettigheter og oppfylle sine plikter overfor det offentlige • Rettslig standard – «tilfredsstillende» sikring av konfidensialitet, integritet, autentisering og ikke-benekting • Regler om sikkerhetstjenester og –produkter, for eksempel elektronisk signatur, kryptering og sertifikater
www.iktsenteret.no Krav til risikovurderinger • Risikoen for uberettiget tilgang ved kommunikasjon til forvaltningen – opplysninger som er underlagt taushetsplikt – personopplysninger – informasjonsplikt om eventuelle risikoer • Risiko for uberettiget tilgang ved kommunikasjon fra forvaltningen – enkeltvedtak • Risikoen for uberettiget partsinnsyn i opplysninger og dokumenter hos forvaltningen • Ikke spesifikke krav til organisering, gjennomføring og metodikk
www.iktsenteret.no Regler med betydning for informasjonssikkerheten • Forvaltningsloven, for eksempel – taushetsplikt (noens personlige forhold; tekniske innretninger og fremgangsmåter) – partsinnsyn • Offentlighetsloven, for eksempel – dokumenter/opplysninger som er unntatt eller kan unntas offentlighet • taushetsplikt, organinternt, tilsetting, lønn, osv. • svar til eksamen, karakterer/vitenmål, forskningsideer/-prosjekter • Arkivloven med forskrifter, for eksempel – sikkerhetskopiering – fysisk sikring (skadeverk, innbrudd) – miljø (vann, fukt, temperatur, forurensning, osv.) – brann og skadelig varme • Ingen krav til risikovurderinger
www.iktsenteret.no RISIKOVURDERINGER – BEGREPER
www.iktsenteret.no Akseptkriterier • Toppledelsens krav til informasjonssikkerheten • Risikovurderinger – oppfylles ledelsens krav? • Eksempler på akseptkriterier • Åpen informasjon – integritet og tilgjengeligheten skal prioriteres. Integritet viktigere enn tilgjengelighet • Konfidensiell informasjon – konfidensialiteten og integriteten skal prioriteres høyt. Kortere avbrudd i tilgjengeligheten aksepteres • Sensitiv informasjon – konfidensialiteten og integriteten skal prioriteres særlig høyt. Kortere avbrudd i tilgjengeligheten aksepteres
www.iktsenteret.no Andre viktige begreper • Uønsket hendelse (risikoelement) – en handling eller hendelse som kan påvirke informasjonssikkerheten negativt • Sårbarhet – en svakhet som kan utnyttes til å bryte informasjonssikkerheten • Sannsynlighet – vanligvis hvor ofte en uønsket hendelse forventes å inntreffe • Konsekvens/skadeomfang – økonomi, omdømme, personvern, kritiske funksjoner, rettslig påtale, o.l. • Risikofaktor – produktet av sannsynlighet og konsekvens
www.iktsenteret.no Risikovurderingens 3 hovedfaser • Forberedelse • Gjennomføring • Oppsummering og etterarbeid 1 6
www.iktsenteret.no Del 1: Forberedelse • Utarbeide prosjektbeskrivelse/notat – Hensikt – Omfang i timer – Ressursbehov – Periode • Forankre prosjektet – Avgjørende for resultatet! – Viktig med involvering av alle ledd i organisasjonen – Medspillere framfor motstandere – Lokale retningslinjer 1 7
www.iktsenteret.no Del 1: Forberedelse • Deltakere – Representativ gruppe – 5-7 stk • Beskriv området/ene – Forberedelsesnotat til deltakerne – Utgangspunkt for arbeidsmøte
www.iktsenteret.no Eksempel på beskrivelse/notat
www.iktsenteret.no Eksempel på beskrivelse/notat
www.iktsenteret.no Eksempel på beskrivelse/notat
www.iktsenteret.no Eksempel på innledning
www.iktsenteret.no Eksempel på innledning
www.iktsenteret.no Del 2: Gjennomføring • Risikovurderingsmøter kan deles i 6 faser: 1. Innledning – beskrivelse av hva risikovurdering er (ca.15 min.) 2. Deltakerne presenterer seg – anledning til å stille spørsmål (ca. 15 min.) 3. Gjennomgang av risikoområdet og eksempelhendelsene i dokumentet (ca. 30 min.) 4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt om eller tenkt på (ca. 20 min.) 5. Diskutere, identifisere og notere uønskede hendelser (ca. 75 min.) 6. Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver uønsket hendelse (ca. 15 min.) 2 4
www.iktsenteret.no Eksempel på hendelser
www.iktsenteret.no Eksempel på sannsynlighetsverdier Lite sannsynlig Hendelsen inntreffer hvert femte skoleår Moderat sannsynlig Hendelsen kan opptre hvert tredje skoleår. Sannsynlig Hendelsen kan opptre hvert skoleår. Svært sannsynlig Hendelsen opptrer flere ganger i løpet av skoleåret.
www.iktsenteret.no Eksempel på konsekvensverdier Ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen annet enn ubetydelig Uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, lærere eller andre ansatte. Eksempelvis mindre økomisk tap, tap av brukernavn passord, publisering av bilder på læringsplattform uten samtykke etc. Alvorlig Hendelsen kan få betydelige konsekvenser for elever, foreldre, lærere eller andre ansatte. Eksempelvis uautorisert bruk av en elevens/lærerens brukernavn/passord, utilsiktet tilgang til og eller endring av karakterer/fravær. Etc. Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme. Eksempelvis utlevering av sensitive personopplysninger, publisering av kontaktinformasjon for elever/foreldre som lever på skjermet adresse, vedvarende digital mobbing osv.
www.iktsenteret.no Risikomatrise
www.iktsenteret.no
www.iktsenteret.no Eksempel på referat
www.iktsenteret.no Del 3: Oppsummering og etterarbeid • Formidle konklusjoner og anbefalinger – Finn din løsning – Viktig at rektor, skoleeier/oppdragsgiver får rapporten • Skoleeier prioriterer tiltak. – Rutiner endres – Dokumentasjon forbedres – Løsninger forbedres 3 1
www.iktsenteret.no Eksempel på rapport
www.iktsenteret.no Risikorapporten • Hvem har deltatt? • Beskrivelse av hva har blitt risikovurdert? • Risikomatrise som ble benyttet • Forklar uønskede hendelser • Regn ut risikofaktoren – Det avgjørende er å vite hvilke hendelser med uakseptabel høy risiko og hvilke som ikke har det • Oppsummering – Forslag på tiltak
www.iktsenteret.no Kvalitetssikring og formidling • Deltakerne godkjenner rapport • Rapport videreformidles til beslutningsnivå • Beslutningsnivå prioriterer tiltak
www.iktsenteret.no Workshop • 2 grupper – Gruppe 1 – SAS (-Tommy) – Berit Soløy, Christian Albertsen ,Csilla Timea Kacso, Elisabeth Hartvig, Frode Vik, Geir Kristiansen, Hilde Laderud, Ingrid Evju, Ingrid Kringlebotn, Jo Inge Fjellstad. – Gruppe 2 – LMS (-Harald) – Kristin Harvey, Ole Skurdal, Pål Digernes, Sigmund Brenna, Terje Johansen, Tor Espen Hansen, Tore Lien, Grete Anette Nordengen, Helge Rabbas – Utstyr – Hefte for aktuelt system – Skjema for vurdering – Notatverktøy
www.iktsenteret.no Oppgave og rammer • Gjennomfør et risikovurderings arbeidsmøte. 1. Innledning 2. Deltakerne presenterer seg 3. Gjennomgang av risikoområdet og eksempelhendelsene i vedlagt hefte 4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt om eller tenkt på. 5. Diskutere, identifisere og notere uønskede hendelser 6. Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver uønsket hendelse – Punkt 6 gjennomføres senest kl 14:00!!! – Oppsummering i plenum etter pausen.
www.iktsenteret.no Oppsummering • Summering av vurdering • Markering av kritiske hendelser • Vurdering av tiltak
www.iktsenteret.no Hva så da??? • Viktig med rutiner for risikovurdering • Risikovurderinger må gjentas jevnlig • Risikovurderinger må være en del av internkontrollen • Ansvar spesifisert på personnivå og rolle • Gjennomgang av tidligere identifiserte hendelser • Eventuelt fjerne dem fra listene • Identifisere nye hendelser og vurdere dem • Tidligere sikringstiltak gjennomgås for å vurdere effekten • Kontinuerlig forbedringsprosess!
www.iktsenteret.no Feide-forvaltning, risikovurderinger, rutiner og dokumentasjon • Gjør skolen bedre rustet til å utnytte IKT i hverdagen! • Er svært viktig for kvaliteten på utbytte av IKT i skolen.

Recommended

Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015
Senter for IKT i utdanningen, redaksjon
 
Feide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhetFeide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhet
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler Feide
Senter for IKT i utdanningen, redaksjon
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 

Recommended

Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015
Senter for IKT i utdanningen, redaksjon
 
Feide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhetFeide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhet
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler Feide
Senter for IKT i utdanningen, redaksjon
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016
Senter for IKT i utdanningen, redaksjon
 
Muligheter og gevinster med feide 13102015
Muligheter og gevinster med feide 13102015Muligheter og gevinster med feide 13102015
Muligheter og gevinster med feide 13102015
Senter for IKT i utdanningen, redaksjon
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
Senter for IKT i utdanningen, redaksjon
 
Hva gjør en administrator 13102015
Hva gjør en administrator 13102015Hva gjør en administrator 13102015
Hva gjør en administrator 13102015
Senter for IKT i utdanningen, redaksjon
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
Senter for IKT i utdanningen, redaksjon
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
Senter for IKT i utdanningen, redaksjon
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?
Snorre Løvås
 
Kvalitetssikring av Feide-forvaltningen i eget hus
Kvalitetssikring av Feide-forvaltningen i eget husKvalitetssikring av Feide-forvaltningen i eget hus
Kvalitetssikring av Feide-forvaltningen i eget husSenter for IKT i utdanningen, redaksjon
 
10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen
Senter for IKT i utdanningen, redaksjon
 
Gjennomføringsfasen 08032016
Gjennomføringsfasen 08032016Gjennomføringsfasen 08032016
Gjennomføringsfasen 08032016
Senter for IKT i utdanningen, redaksjon
 
Rutiner og dokumentasjon i skolen
Rutiner og dokumentasjon i skolenRutiner og dokumentasjon i skolen
Rutiner og dokumentasjon i skolen
Harald Torbjørnsen
 
Risikovurdering i skolen
Risikovurdering i skolenRisikovurdering i skolen
Risikovurdering i skolen
Harald Torbjørnsen
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
Eva Jarbekk
 
Bdo kraftbransjen defo
Bdo kraftbransjen defoBdo kraftbransjen defo
Bdo kraftbransjen defo
Janni Frederiksen Kalafatis
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
Thorbjørn Værp
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
Eva Jarbekk
 
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik ThonDigitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Senter for IKT i utdanningen, redaksjon
 
Feide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinsterFeide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinster
Senter for IKT i utdanningen, redaksjon
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Hvordan unngå overtid i romjula
Hvordan unngå overtid i romjulaHvordan unngå overtid i romjula
Hvordan unngå overtid i romjula
Kristian Melhuus Brandser
 
Digital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordanDigital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordan
Senter for IKT i utdanningen, redaksjon
 

More Related Content

What's hot

Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
Senter for IKT i utdanningen, redaksjon
 
Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016
Senter for IKT i utdanningen, redaksjon
 
Muligheter og gevinster med feide 13102015
Muligheter og gevinster med feide 13102015Muligheter og gevinster med feide 13102015
Muligheter og gevinster med feide 13102015
Senter for IKT i utdanningen, redaksjon
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
Senter for IKT i utdanningen, redaksjon
 
Hva gjør en administrator 13102015
Hva gjør en administrator 13102015Hva gjør en administrator 13102015
Hva gjør en administrator 13102015
Senter for IKT i utdanningen, redaksjon
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
Senter for IKT i utdanningen, redaksjon
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
Senter for IKT i utdanningen, redaksjon
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?
Snorre Løvås
 
10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen
Senter for IKT i utdanningen, redaksjon
 
Gjennomføringsfasen 08032016
Gjennomføringsfasen 08032016Gjennomføringsfasen 08032016
Gjennomføringsfasen 08032016
Senter for IKT i utdanningen, redaksjon
 

What's hot (11)

Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016
 
Muligheter og gevinster med feide 13102015
Muligheter og gevinster med feide 13102015Muligheter og gevinster med feide 13102015
Muligheter og gevinster med feide 13102015
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
 
Hva gjør en administrator 13102015
Hva gjør en administrator 13102015Hva gjør en administrator 13102015
Hva gjør en administrator 13102015
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?
 
Kvalitetssikring av Feide-forvaltningen i eget hus
Kvalitetssikring av Feide-forvaltningen i eget husKvalitetssikring av Feide-forvaltningen i eget hus
Kvalitetssikring av Feide-forvaltningen i eget hus
 
10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen
 
Gjennomføringsfasen 08032016
Gjennomføringsfasen 08032016Gjennomføringsfasen 08032016
Gjennomføringsfasen 08032016
 

Similar to Kurs i risikovurdering

Rutiner og dokumentasjon i skolen
Rutiner og dokumentasjon i skolenRutiner og dokumentasjon i skolen
Rutiner og dokumentasjon i skolen
Harald Torbjørnsen
 
Risikovurdering i skolen
Risikovurdering i skolenRisikovurdering i skolen
Risikovurdering i skolen
Harald Torbjørnsen
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
Eva Jarbekk
 
Bdo kraftbransjen defo
Bdo kraftbransjen defoBdo kraftbransjen defo
Bdo kraftbransjen defo
Janni Frederiksen Kalafatis
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
Thorbjørn Værp
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
Eva Jarbekk
 
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik ThonDigitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Senter for IKT i utdanningen, redaksjon
 
Feide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinsterFeide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinster
Senter for IKT i utdanningen, redaksjon
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Hvordan unngå overtid i romjula
Hvordan unngå overtid i romjulaHvordan unngå overtid i romjula
Hvordan unngå overtid i romjula
Kristian Melhuus Brandser
 
Digital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordanDigital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordan
Senter for IKT i utdanningen, redaksjon
 
IT-forum 11.februar: Implementering av tryggleikspakkar i omsorgsbustad jølst...
IT-forum 11.februar: Implementering av tryggleikspakkar i omsorgsbustad jølst...IT-forum 11.februar: Implementering av tryggleikspakkar i omsorgsbustad jølst...
IT-forum 11.februar: Implementering av tryggleikspakkar i omsorgsbustad jølst...
Western Norway Research Institute
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelser
Kjell Steffner
 
Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1
Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1
Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1Renate Thoreid
 
Legal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterLegal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakter
Kjell Steffner
 
13 Vidare arbeid med velferdsteknologi. Grøtte- IT-forum 10 des.
13 Vidare arbeid med velferdsteknologi. Grøtte- IT-forum 10 des.13 Vidare arbeid med velferdsteknologi. Grøtte- IT-forum 10 des.
13 Vidare arbeid med velferdsteknologi. Grøtte- IT-forum 10 des.
Western Norway Research Institute
 
Hvordan kan vi forebygge storulykker?
Hvordan kan vi forebygge storulykker? Hvordan kan vi forebygge storulykker?
Hvordan kan vi forebygge storulykker?
E.ON Exploration & Production
 
Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?
Senter for IKT i utdanningen, redaksjon
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på web
Kjell Steffner
 
Høydekonferansen - Risikoforståelse og risikovurderinger i energisektoren – v...
Høydekonferansen - Risikoforståelse og risikovurderinger i energisektoren – v...Høydekonferansen - Risikoforståelse og risikovurderinger i energisektoren – v...
Høydekonferansen - Risikoforståelse og risikovurderinger i energisektoren – v...
TEAM Nordmarka AS
 

Similar to Kurs i risikovurdering (20)

Rutiner og dokumentasjon i skolen
Rutiner og dokumentasjon i skolenRutiner og dokumentasjon i skolen
Rutiner og dokumentasjon i skolen
 
Risikovurdering i skolen
Risikovurdering i skolenRisikovurdering i skolen
Risikovurdering i skolen
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
 
Bdo kraftbransjen defo
Bdo kraftbransjen defoBdo kraftbransjen defo
Bdo kraftbransjen defo
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
 
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik ThonDigitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
 
Feide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinsterFeide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinster
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
 
Hvordan unngå overtid i romjula
Hvordan unngå overtid i romjulaHvordan unngå overtid i romjula
Hvordan unngå overtid i romjula
 
Digital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordanDigital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordan
 
IT-forum 11.februar: Implementering av tryggleikspakkar i omsorgsbustad jølst...
IT-forum 11.februar: Implementering av tryggleikspakkar i omsorgsbustad jølst...IT-forum 11.februar: Implementering av tryggleikspakkar i omsorgsbustad jølst...
IT-forum 11.februar: Implementering av tryggleikspakkar i omsorgsbustad jølst...
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelser
 
Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1
Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1
Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1
 
Legal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterLegal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakter
 
13 Vidare arbeid med velferdsteknologi. Grøtte- IT-forum 10 des.
13 Vidare arbeid med velferdsteknologi. Grøtte- IT-forum 10 des.13 Vidare arbeid med velferdsteknologi. Grøtte- IT-forum 10 des.
13 Vidare arbeid med velferdsteknologi. Grøtte- IT-forum 10 des.
 
Hvordan kan vi forebygge storulykker?
Hvordan kan vi forebygge storulykker? Hvordan kan vi forebygge storulykker?
Hvordan kan vi forebygge storulykker?
 
Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på web
 
Høydekonferansen - Risikoforståelse og risikovurderinger i energisektoren – v...
Høydekonferansen - Risikoforståelse og risikovurderinger i energisektoren – v...Høydekonferansen - Risikoforståelse og risikovurderinger i energisektoren – v...
Høydekonferansen - Risikoforståelse og risikovurderinger i energisektoren – v...
 

More from Senter for IKT i utdanningen, redaksjon

Monitor skole 2016
Monitor skole 2016Monitor skole 2016
Monitor skole 2016
Senter for IKT i utdanningen, redaksjon
 
Digital dømmekraft - Erik Westrum
Digital dømmekraft - Erik WestrumDigital dømmekraft - Erik Westrum
Digital dømmekraft - Erik Westrum
Senter for IKT i utdanningen, redaksjon
 
Du bestemmer
Du bestemmerDu bestemmer
Du bestemmer
Senter for IKT i utdanningen, redaksjon
 
Erfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansandErfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansand
Senter for IKT i utdanningen, redaksjon
 
Hvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhetHvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhet
Senter for IKT i utdanningen, redaksjon
 
Eksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og brukEksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og bruk
Senter for IKT i utdanningen, redaksjon
 
Nye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - googleNye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - google
Senter for IKT i utdanningen, redaksjon
 
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016 Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Senter for IKT i utdanningen, redaksjon
 
Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016
Senter for IKT i utdanningen, redaksjon
 
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Senter for IKT i utdanningen, redaksjon
 
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´MooreCyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Senter for IKT i utdanningen, redaksjon
 
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Senter for IKT i utdanningen, redaksjon
 
Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016
Senter for IKT i utdanningen, redaksjon
 
Vurderingsskjema
VurderingsskjemaVurderingsskjema
Vurderingsskjema
Senter for IKT i utdanningen, redaksjon
 
Risikovurdering mal
Risikovurdering malRisikovurdering mal
Risikovurdering mal
Senter for IKT i utdanningen, redaksjon
 
Erfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdalErfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdal
Senter for IKT i utdanningen, redaksjon
 
Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...
Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...
Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...
Senter for IKT i utdanningen, redaksjon
 
Introduksjon og status 08032016
Introduksjon og status 08032016Introduksjon og status 08032016
Introduksjon og status 08032016
Senter for IKT i utdanningen, redaksjon
 
Sterk autentisering med feide elverum kommune
Sterk autentisering med feide elverum kommuneSterk autentisering med feide elverum kommune
Sterk autentisering med feide elverum kommune
Senter for IKT i utdanningen, redaksjon
 
Sterk autentisering dot net internals
Sterk autentisering dot net internalsSterk autentisering dot net internals
Sterk autentisering dot net internals
Senter for IKT i utdanningen, redaksjon
 

More from Senter for IKT i utdanningen, redaksjon (20)

Monitor skole 2016
Monitor skole 2016Monitor skole 2016
Monitor skole 2016
 
Digital dømmekraft - Erik Westrum
Digital dømmekraft - Erik WestrumDigital dømmekraft - Erik Westrum
Digital dømmekraft - Erik Westrum
 
Du bestemmer
Du bestemmerDu bestemmer
Du bestemmer
 
Erfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansandErfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansand
 
Hvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhetHvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhet
 
Eksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og brukEksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og bruk
 
Nye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - googleNye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - google
 
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016 Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
 
Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016
 
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
 
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´MooreCyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
 
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
 
Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016
 
Vurderingsskjema
VurderingsskjemaVurderingsskjema
Vurderingsskjema
 
Risikovurdering mal
Risikovurdering malRisikovurdering mal
Risikovurdering mal
 
Erfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdalErfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdal
 
Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...
Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...
Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...
 
Introduksjon og status 08032016
Introduksjon og status 08032016Introduksjon og status 08032016
Introduksjon og status 08032016
 
Sterk autentisering med feide elverum kommune
Sterk autentisering med feide elverum kommuneSterk autentisering med feide elverum kommune
Sterk autentisering med feide elverum kommune
 
Sterk autentisering dot net internals
Sterk autentisering dot net internalsSterk autentisering dot net internals
Sterk autentisering dot net internals
 

Kurs i risikovurdering

  • 2. www.iktsenteret.no Generelt om risikovurdering • Rettslige krav til sikring av informasjonsverdier, spesielt personopplysninger • En form for utredningsplikt • Risikovurderingene blir ikke bedre enn deltakerne – utvelgelse – informasjon – håndtering
  • 3. www.iktsenteret.no Innholdet i utredningsplikten • Identifisere og vurdere uønskede hendelser • Uønskede hendelser – uautorisert tilgang eller eksponering (konfidensialitetsbrudd) – uautorisert endring, sletting eller skade (integritetsbrudd) – manglende tilgjengelighet (tilgjengelighetsbrudd) • Vurdering – sannsynlighet – konsekvens (skadeomfanget)
  • 4. www.iktsenteret.no Muliggjøreren • Informasjonssikkerhet og risikovurderinger er ment å være muliggjøreren for bruk av IKT • Skape tillit til den elektroniske informasjonsforvaltningen – viktige informasjonsverdier (personopplysninger) blir ivaretatt på tilfredsstillende vis
  • 5. www.iktsenteret.no Svakheter • Risikovurdering = egenkontroll • Egenkontrollen kan påvirkes av «utenforliggende forhold», for eksempel – bundet mandat – økonomi – makelighet – prestisje – personlige preferanser – inkompetanse • Ikke brukes til fordeling av skyld og ansvar
  • 7. www.iktsenteret.no De viktigste rettslige reguleringene • Regelverk med eksplisitte krav til risikovurdering – personopplysningsloven med forskrift – e-forvaltningsforskriften • Regelverk med betydning for informasjonssikkerheten – forvaltningsloven – offentlighetsloven – arkivloven • Enkelte bestemmelser i særlovgivningen
  • 8. www.iktsenteret.no Personopplysningsloven med forskrift • Gjelder – all elektronisk behandling av personopplysning som helt eller delvis skjer ved bruk av elektroniske hjelpemidler – enhver opplysning eller vurdering som kan knyttes til en bestemt enkeltperson – personopplysninger som inngår i interne og eksterne IT-løsninger • Formål – ivareta grunnleggende personvernhensyn • Rettslig standard – «tilfredsstillende» sikring av konfidensialitet, integritet og tilgjengelighet
  • 9. www.iktsenteret.no Krav til risikovurderinger • Skal skje – før behandlingen av personopplysninger starter – ved endringer i interne eller eksterne IT-løsninger som har betydning for informasjonssikkerheten • Krav til selve risikovurderingene – ikke mer omfattende eller formaliserte enn nødvendig – skal basere seg på akseptkriterier vedtatt av toppledelsen – ingen nærmere krav til gjennomføring og metodikk
  • 10. www.iktsenteret.no E-forvaltningsforskriften • Hjemlet i forvaltningsloven § 15a • Gjelder – elektronisk kommunikasjon med forvaltningen og elektronisk saksbehandling og kommunikasjon i forvaltningen • Formål – sikker og effektiv elektronisk kommunikasjon med og i forvaltningen – legge til rette for at enhver kan utøve sine rettigheter og oppfylle sine plikter overfor det offentlige • Rettslig standard – «tilfredsstillende» sikring av konfidensialitet, integritet, autentisering og ikke-benekting • Regler om sikkerhetstjenester og –produkter, for eksempel elektronisk signatur, kryptering og sertifikater
  • 11. www.iktsenteret.no Krav til risikovurderinger • Risikoen for uberettiget tilgang ved kommunikasjon til forvaltningen – opplysninger som er underlagt taushetsplikt – personopplysninger – informasjonsplikt om eventuelle risikoer • Risiko for uberettiget tilgang ved kommunikasjon fra forvaltningen – enkeltvedtak • Risikoen for uberettiget partsinnsyn i opplysninger og dokumenter hos forvaltningen • Ikke spesifikke krav til organisering, gjennomføring og metodikk
  • 12. www.iktsenteret.no Regler med betydning for informasjonssikkerheten • Forvaltningsloven, for eksempel – taushetsplikt (noens personlige forhold; tekniske innretninger og fremgangsmåter) – partsinnsyn • Offentlighetsloven, for eksempel – dokumenter/opplysninger som er unntatt eller kan unntas offentlighet • taushetsplikt, organinternt, tilsetting, lønn, osv. • svar til eksamen, karakterer/vitenmål, forskningsideer/-prosjekter • Arkivloven med forskrifter, for eksempel – sikkerhetskopiering – fysisk sikring (skadeverk, innbrudd) – miljø (vann, fukt, temperatur, forurensning, osv.) – brann og skadelig varme • Ingen krav til risikovurderinger
  • 14. www.iktsenteret.no Akseptkriterier • Toppledelsens krav til informasjonssikkerheten • Risikovurderinger – oppfylles ledelsens krav? • Eksempler på akseptkriterier • Åpen informasjon – integritet og tilgjengeligheten skal prioriteres. Integritet viktigere enn tilgjengelighet • Konfidensiell informasjon – konfidensialiteten og integriteten skal prioriteres høyt. Kortere avbrudd i tilgjengeligheten aksepteres • Sensitiv informasjon – konfidensialiteten og integriteten skal prioriteres særlig høyt. Kortere avbrudd i tilgjengeligheten aksepteres
  • 15. www.iktsenteret.no Andre viktige begreper • Uønsket hendelse (risikoelement) – en handling eller hendelse som kan påvirke informasjonssikkerheten negativt • Sårbarhet – en svakhet som kan utnyttes til å bryte informasjonssikkerheten • Sannsynlighet – vanligvis hvor ofte en uønsket hendelse forventes å inntreffe • Konsekvens/skadeomfang – økonomi, omdømme, personvern, kritiske funksjoner, rettslig påtale, o.l. • Risikofaktor – produktet av sannsynlighet og konsekvens
  • 16. www.iktsenteret.no Risikovurderingens 3 hovedfaser • Forberedelse • Gjennomføring • Oppsummering og etterarbeid 1 6
  • 17. www.iktsenteret.no Del 1: Forberedelse • Utarbeide prosjektbeskrivelse/notat – Hensikt – Omfang i timer – Ressursbehov – Periode • Forankre prosjektet – Avgjørende for resultatet! – Viktig med involvering av alle ledd i organisasjonen – Medspillere framfor motstandere – Lokale retningslinjer 1 7
  • 18. www.iktsenteret.no Del 1: Forberedelse • Deltakere – Representativ gruppe – 5-7 stk • Beskriv området/ene – Forberedelsesnotat til deltakerne – Utgangspunkt for arbeidsmøte
  • 24. www.iktsenteret.no Del 2: Gjennomføring • Risikovurderingsmøter kan deles i 6 faser: 1. Innledning – beskrivelse av hva risikovurdering er (ca.15 min.) 2. Deltakerne presenterer seg – anledning til å stille spørsmål (ca. 15 min.) 3. Gjennomgang av risikoområdet og eksempelhendelsene i dokumentet (ca. 30 min.) 4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt om eller tenkt på (ca. 20 min.) 5. Diskutere, identifisere og notere uønskede hendelser (ca. 75 min.) 6. Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver uønsket hendelse (ca. 15 min.) 2 4
  • 26. www.iktsenteret.no Eksempel på sannsynlighetsverdier Lite sannsynlig Hendelsen inntreffer hvert femte skoleår Moderat sannsynlig Hendelsen kan opptre hvert tredje skoleår. Sannsynlig Hendelsen kan opptre hvert skoleår. Svært sannsynlig Hendelsen opptrer flere ganger i løpet av skoleåret.
  • 27. www.iktsenteret.no Eksempel på konsekvensverdier Ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen annet enn ubetydelig Uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, lærere eller andre ansatte. Eksempelvis mindre økomisk tap, tap av brukernavn passord, publisering av bilder på læringsplattform uten samtykke etc. Alvorlig Hendelsen kan få betydelige konsekvenser for elever, foreldre, lærere eller andre ansatte. Eksempelvis uautorisert bruk av en elevens/lærerens brukernavn/passord, utilsiktet tilgang til og eller endring av karakterer/fravær. Etc. Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme. Eksempelvis utlevering av sensitive personopplysninger, publisering av kontaktinformasjon for elever/foreldre som lever på skjermet adresse, vedvarende digital mobbing osv.
  • 31. www.iktsenteret.no Del 3: Oppsummering og etterarbeid • Formidle konklusjoner og anbefalinger – Finn din løsning – Viktig at rektor, skoleeier/oppdragsgiver får rapporten • Skoleeier prioriterer tiltak. – Rutiner endres – Dokumentasjon forbedres – Løsninger forbedres 3 1
  • 33. www.iktsenteret.no Risikorapporten • Hvem har deltatt? • Beskrivelse av hva har blitt risikovurdert? • Risikomatrise som ble benyttet • Forklar uønskede hendelser • Regn ut risikofaktoren – Det avgjørende er å vite hvilke hendelser med uakseptabel høy risiko og hvilke som ikke har det • Oppsummering – Forslag på tiltak
  • 34. www.iktsenteret.no Kvalitetssikring og formidling • Deltakerne godkjenner rapport • Rapport videreformidles til beslutningsnivå • Beslutningsnivå prioriterer tiltak
  • 35. www.iktsenteret.no Workshop • 2 grupper – Gruppe 1 – SAS (-Tommy) – Berit Soløy, Christian Albertsen ,Csilla Timea Kacso, Elisabeth Hartvig, Frode Vik, Geir Kristiansen, Hilde Laderud, Ingrid Evju, Ingrid Kringlebotn, Jo Inge Fjellstad. – Gruppe 2 – LMS (-Harald) – Kristin Harvey, Ole Skurdal, Pål Digernes, Sigmund Brenna, Terje Johansen, Tor Espen Hansen, Tore Lien, Grete Anette Nordengen, Helge Rabbas – Utstyr – Hefte for aktuelt system – Skjema for vurdering – Notatverktøy
  • 36. www.iktsenteret.no Oppgave og rammer • Gjennomfør et risikovurderings arbeidsmøte. 1. Innledning 2. Deltakerne presenterer seg 3. Gjennomgang av risikoområdet og eksempelhendelsene i vedlagt hefte 4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt om eller tenkt på. 5. Diskutere, identifisere og notere uønskede hendelser 6. Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver uønsket hendelse – Punkt 6 gjennomføres senest kl 14:00!!! – Oppsummering i plenum etter pausen.
  • 37. www.iktsenteret.no Oppsummering • Summering av vurdering • Markering av kritiske hendelser • Vurdering av tiltak
  • 38. www.iktsenteret.no Hva så da??? • Viktig med rutiner for risikovurdering • Risikovurderinger må gjentas jevnlig • Risikovurderinger må være en del av internkontrollen • Ansvar spesifisert på personnivå og rolle • Gjennomgang av tidligere identifiserte hendelser • Eventuelt fjerne dem fra listene • Identifisere nye hendelser og vurdere dem • Tidligere sikringstiltak gjennomgås for å vurdere effekten • Kontinuerlig forbedringsprosess!
  • 39. www.iktsenteret.no Feide-forvaltning, risikovurderinger, rutiner og dokumentasjon • Gjør skolen bedre rustet til å utnytte IKT i hverdagen! • Er svært viktig for kvaliteten på utbytte av IKT i skolen.