Internkontroll i praksis - informasjonssikkerhet Typiske arbeidsoppgaver og tilhørende informasjonstyper Eksempler Internkontroll i praksis - informasjonssikkerhet Typiske arbeidsoppgaver og tilhørende informasjonstyper Eksempler pr 31.10.2016 Merk: Dette dokumentet er ikke ajourført med ny versjon av støtteskjemaet for Foranalyse Del 1 (Identifisere arbeidsoppgaver og tilhørende informasjonstyper) etter tilpasning til ny personopplysningslov og personvernforordningen. Forord Målgruppe Målgruppen for dette dokumentet er primært prosessledere som skal støtte linjelederne, spesielt første gang, med å få oversikt og prioritere før eventuelle risikovurderinger. En del linjeledere vil selv kunne bruke dokumentet ved senere oppdateringer i egen enhet når nye oppgaver og tjenester skal starte. Dokumentet inneholder et sett av delvis utfylte eksempler. Disse kan man kan ta utgangspunkt i eller la seg inspirere av når man gjennomfører del 1 i en foranalyse for å få oversikt og prioritere under hovedaktiviteten «Risikovurdering», jf. Difis veiledningsmateriell «Internkontroll i praksis – informasjonssikkerhet ». Lokal tilpasning Det presiseres at eksemplene i dette dokumentet ikke er en fasit, men et grunnlag for å få gode diskusjoner. De er heller ikke ferdigutfylt. De enkelte enhetene må alltid ta stilling til om det som står i eksemplene er korrekt for eget arbeid og informasjonsbehandling, og justere og supplere der det er behov. Virksomheter av en viss størrelse kan med fordel lage sin egen versjon av dokumentet. Det kan fungere som en intern ressurs når nye oppgaver skal starte rundt om i virksomheten, eller dersom virksomheten er stor med mange litt like organisatoriske enheter.
36
Embed
internkontroll-infosikkerhet.difi.no · Web viewsak-arkivsystem, e-post, Word, Excel, Filserver, Intranett, Internettportal Hvilke eksterne virksomheter benyttes til behandling
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler pr 31.10.2016
Merk: Dette dokumentet er ikke ajourført med ny versjon av støtteskjemaet for Foranalyse Del 1 (Identifisere arbeidsoppgaver og tilhørende informasjonstyper) etter tilpasning til ny personopplysningslov og personvernforordningen.
ForordMålgruppeMålgruppen for dette dokumentet er primært prosessledere som skal støtte linjelederne, spesielt første gang, med å få oversikt og prioritere før eventuelle risikovurderinger. En del linjeledere vil selv kunne bruke dokumentet ved senere oppdateringer i egen enhet når nye oppgaver og tjenester skal starte.
Dokumentet inneholder et sett av delvis utfylte eksempler. Disse kan man kan ta utgangspunkt i eller la seg inspirere av når man gjennomfører del 1 i en foranalyse for å få oversikt og prioritere under hovedaktiviteten «Risikovurdering», jf. Difis veiledningsmateriell «Internkontroll i praksis – informasjonssikkerhet».
Lokal tilpasningDet presiseres at eksemplene i dette dokumentet ikke er en fasit, men et grunnlag for å få gode diskusjoner. De er heller ikke ferdigutfylt. De enkelte enhetene må alltid ta stilling til om det som står i eksemplene er korrekt for eget arbeid og informasjonsbehandling, og justere og supplere der det er behov.
Virksomheter av en viss størrelse kan med fordel lage sin egen versjon av dokumentet. Det kan fungere som en intern ressurs når nye oppgaver skal starte rundt om i virksomheten, eller dersom virksomheten er stor med mange litt like organisatoriske enheter. Den kunnskapsutvikling linjeledere og andre deltakere får gjennom prosessen, er viktig i seg selv. Så selv om organisatoriske enheter er like, bør alle gjennomføre en selvstendig foranalyse.
En virksomhetsversjon av dette dokumentet bør dekke den type arbeidsoppgaver og tjenester som anses relevante for virksomheten. Svært relevante eksempler, eller eksempler som ligner og dermed kan være nyttige inspirasjonskilder, kan hentes fra dette dokumentet fra Difi. Virksomhetsversjonen kan bygges opp gradvis etter hvert som foranalyser blir gjennomført. En tilpasset versjon på virksomhetsnivå, vil ofte være mer oversiktlig i bruk rundt om i virksomheten.
Tilbakemeldinger og oppdateringerDette dokumentet dekker pr. i dag eksempler på enkelte arbeidsområder. Difi setter pris på tilbakemeldinger og forslag om ev. justeringsbehov og utvidelser. Send gjerne inn eksempler og kommentarer til [email protected]. Dokumentet kan da bli oppdatert med jevne mellomrom, noe som kommer hele offentlig sektor til gode.
3 Tilsyn................................................................................................................................................93.1 Systemrettet tilsyn i sosial- og familiesektoren - oppdatert 28.10.2016..................................93.2 Individrettet tilsyn i sosial- og familiesektoren - oppdatert 28.10.2016.................................10
8 Oppfølging av eksterne funksjoner/spesialfunksjoner...................................................................188.1 Oppfølging av råd og utvalg – oppdatert 28.10.2016.............................................................188.2 Oppfølging av verger – oppdatert 28.10.2016........................................................................19
9 Annen saksbehandling....................................................................................................................209.1 Saksbehandling hovedsakelig taushetspliktig - oppdatert 28.10.2016...................................20
9.2 Saksbehandling hovedsakelig annen u.off. - oppdatert 28.10.2016.......................................229.3 Saksbehandling hovedsakelig offentlig - oppdatert 28.10.2016.............................................23
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Virksomhetsplaner ? TInterne rapporter I TInternkontrolldokument - offentlige I TInternkontrolldokument – u.off. offl §24 K I TRevisjonsdokument offl §5 ?
Merknader
IKT-system som benyttes til behandling og lagring av informasjonsak-arkivsystem, e-post, Word, Excel, Filserver, Intranett, Internettportal
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhete-fvl-forskr §15
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenfvl , arkl, offl, øk.bestemmelsene
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
2 Støtteoppgaver (støtteprosesser)2.1 Anskaffelser - oppdatert 28.10.2016Arbeidsoppgave: Anskaffelser Oppdatert: (dato)Kort beskrivelse: Offentlige anskaffelserFormål: Anskaffe nødvendige varer og tjenester for utføring av arbeidsoppgaver
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Konkurransegrunnlag-upublisert offl §14 ? IKonkurransegrunnlag-publisert I TTilbud under behandling offl § 23.3 (1)
fvl § 13 nr 2 (2)J N ? I T
Tilbud etter behandling (3) J N ? IVurderinger og beslutning under behandling
offl §14 (4) J N ? I T
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Vurderinger og beslutning etter behandling (3) J N ? IKontrakt (3) J N ? IEndringer til kontrakt (3) J N ? IProsessinformasjon (planer mm) T
Merknader(1) Bestemmelsen hjemler utsatt innsyn. Se offveil 8.8.4 (s 141).(2) Unntaket gjelder bare opplysninger som kan medføre økonomisk tap eller redusert gevinst
for den aktuelle virksomheten, dersom opplysningene blir kjent. Se offveil 6.2.4 (s 84-87)(3) Deler kan være unntatt etter fvl §13 nr 2 gjelde her også. Må vurderes individuelt.(4) Meroffentlighet skal alltid vurderes på det som kan unntas offentlighet.
NB! Håndtering av anskaffelser som gjelder sikkerhetsforhold må vurderes spesielt fra sak til sakIKT-system som benyttes til behandling og lagring av informasjon
sak-arkivsystem, Konkurransegjennomføringsverktøy (KGV), Doffin,Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof kapittel 2
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenoffanskl. fvl. offl. arkl.
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysningerpol §8 a, e, f
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til DatatilsynetMeldeplikt
Krav om lønnstrekk fvl §13 nr 1 J N K I TSykepengerefusjoner fvl §13 nr 1 J N K I TUtbetalingskontoer fvl §13 nr 1 (1) J N K I TFaktura og andre utbetalingsgrunnlag fvl §13 nr 1 (1) ? ? ? I TRegnskapsføringer – interne posteringer I T
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Kontaktinformasjon J N IPersonnummer/organisasjonsnummer offl §26 J ? I TØkonomirapporter til RR/overordnet dep. offl ,Midl.
§§22, 23? I T
Interne rapporter/underlag offl §14 J J ? I TTidsfrister I T
Merknader(1) Opplysning om private bankkontoer kan være taushetsbelagte, det kan også framgå andre personlige forhold (legeregning, spesifisert telefonregning med private samtaler, o.l.) jf. offveil s 83.
IKT-system som benyttes til behandling og lagring av informasjonAgresso, Contempus, SAP, Opal-com, Sak-arkiv, Tilskuddsportalen, Excel, Word, Filserver
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjonDFØ
Regelverk med spesielle krav til informasjonssikkerhetpof kapittel 2
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenøk.bestemmelsene, arkl. fvl. offl.
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fraKreditor, Debitor, Personen selv
Hvem leverer man personopplysninger tilAksepterte innsynskrav etter offl
Utleveres eller behandles opplysningene utenfor EØSNei
Behandlingsgrunnlag for personopplysningerpol §8 lovhjemmel eller §8 a, b, e, f
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet(Melding?, mye unntatt etter pof §§ 7-7 og 7-16)
Disiplinærreaksjoner fvl §13 nr 1 (1) J N? K IKrav om lønnstrekk fvl §13 nr 1 J N K IMedlemskap fagforening J J ISykefravær fvl §13 nr 1 J N KPermisjoner fvl §13 nr 1 J N? KMedarbeidersamtaler - ordinært fvl §13 nr 1 J N K IMedarbeideravtaler-spesielle forhold fvl §13 nr 1 J N? K I
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Stillingssøknader og behandlingsinfo fvl §13 nr 1, offl § 25
J N K I
Tilsetting, arbeidsavtaler o.l. fvl §13 nr 1, offl § 25.1
J N K I
Fødselsnummer offl § 26.5 J N ? ILønnskjøringer til utbetaling offl § 25.4 J N ? I TLønnstrinn, utført arbeidstid og annet lønnsgrunnlag
offl § 25.4? J N ? I T
Historiske lønnsopplysninger J N IFormell kompetanse fvl § 13 nr 1 J N K IKontaktinfo ansatte og nærstående -ordinært
Merknader(1) Se offveil 6.2.3.2 (s 82-83) om offentlig ansatte, herunder at selve disiplinærreaksjonen er offentlig.(2) Dersom relevant(3) Hvem som er nærstående kan være taushetsbelagt
IKT-system som benyttes til behandling og lagring av informasjonSAP, JobbNorge, Sak-arkiv, Excel, Word, Filserver
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjonDFØ
Regelverk med spesielle krav til informasjonssikkerhetpof kapittel 2 og §10-2 (overføring av fødselsnummer)
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenfvl. arkl. offl.
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysningerpol §8 lovhjemmel eller §8 a, b, c (nærståendeinformasjon), e, f
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til DatatilsynetNei. pof §7-16
2.4 Arkiv - drift og forvaltning - oppdatert 28.10.2016Arbeidsoppgave: Arkivforvaltning Oppdatert: (dato)Kort beskrivelse: Arkivere og journalføreFormål: Etterleve Arkivloven med forskrifter og sørge for god dokumentoversikt
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Metadata Sak Flere lovverk J ? ? I TDokumenter m taushetsplikt/u.off Flere lovverk ? ? ? I TMetadata om dokumenter m taushetsplikt/u.off
Flere lovverk ? ? ? I T
Offentlige dokument ? N I TMetadata om offentlige dokument ? TSaksbehandler ? IAnsvarlig enhet ITilgangsstyring offl. §24? J N K I TArkivplan og rutiner IInterne rapporter Flere lovverk J ? IOffentlig postjournal ? N TInnsynsbegjæring J
Merknader
IKT-system som benyttes til behandling og lagring av informasjonSak-arkiv, e-post, vergemålsePhorte, Altinn, EDU, OEP
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof kapittel 2
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenArkivloven, fvl, off.l, Særlover etter råd fra avd.
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
2.5 IKT - drift og forvaltning - oppdatert 28.10.2016Arbeidsoppgave: IKT drift og forvaltning Oppdatert: (dato)Kort beskrivelse: IKT drift og forvaltningFormål: Levere interne IKT-tjenester
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
IKT-utstyr/maskinvare offl §24? ? I TIKT-system/programvare offl §24? ? I TBrukere J N I TTilgangsstyring off.l §24 J N K I TKonfigurasjoner off.l §24 K I TDriftsrutiner off.l §24? ? I TLogger off.l §24? ? I TAdministratortilgang til en rekke ulike informasjonstyper fra ulike sakstyper ved nødvendige driftsoppgaver
Flere lovverk ? ? ? I T
Merknader
IKT-system som benyttes til behandling og lagring av informasjonAD, Office, Filserver, Lenel, Driftsstøttesystemer
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgaven
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
2.6 Publikumstjenester - oppdatert 28.10.2016Arbeidsoppgave: Publikumstjenester Oppdatert: (dato)Kort beskrivelse: PublikumstjenesterFormål: Være bindeledd mellom virksomheten og publikum
InformasjonstypeParagraf for
potensiell Normalt
personoppl.Spesielt obs
mht. info.sikkerhet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
taushetsplikt / u.off.
Ja? Sensi-tiv? K I T
Publikum kontaktinfo J N THva saken gjelder/sak Flere lovverk ? ? ? ISaksbehandler /avdeling J N TBesøksmottaker J N TDokument til utlevering og innlevering Flere lovverk ? ? ? I ?Rutiner ?Veiledning på oppdrag fra fagavdelingen I
Merknader
IKT-system som benyttes til behandling og lagring av informasjon
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgaven
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
3 Tilsyn3.1 Systemrettet tilsyn i sosial- og familiesektoren - oppdatert 28.10.2016Arbeidsoppgave: Systemrettet tilsyn Oppdatert: (dato)Kort beskrivelse: Planlagte tilsyn
Spesialisthelsetjenesten Kommunehelsetjeneste Sosialtjenester i NAV
Formål: Gjennomføre lovpålagte tilsynsoppgaver
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Tilsynsobjekt
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Kontaktinfo J NMelding (varsel) om tilsynMottatt informasjon fvl. §13.1?
Særlover?? ? ? T
Observasjoner og funn fvl. §13.1?Særlover?
? ? ? T
Umiddelbar tilbakemelding (sluttmøte)? TTilsynsrapport foreløpig I ?Objektets kommentarer ?Tilsynsrapport endelig IObjektets plan for utbedring/lukking av avvik
I ?
Vårt svar på objektets plan IOppfølgingsinformasjon I
Merknader
IKT-system som benyttes til behandling og lagring av informasjonSak-arkiv, Word, Filserver, e-post, Kladdeblokk, Onenote, Skype/Telefon
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenfvl, offl, arkivlov, Helse og Omsorgslov, Tilsysnlov, Lov om Sos.tj., Helsepersonelllov, Pasient og brukerrett.lov, føringer fra St.Helsetilsyn, Spesialisthelsetjenesteloven.
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
3.2 Individrettet tilsyn i sosial- og familiesektoren - oppdatert 28.10.2016Arbeidsoppgave: Hendelsesbasert tilsyn Oppdatert: (dato)Kort beskrivelse: Hendelsesbaserte tilsyn
Spesialisthelsetjenesten Kommunehelsetjeneste Sosialtjenester i NAV
Formål: Gjennomføre lovpålagte tilsynsoppgaver
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
TilsynsobjektKontaktinfo J NMelding (varsel) om tilsynMottatt informasjon? fvl. §13.1?
Særlover?J ? ? T
Observasjoner, samtaler og funn Fvl. §13.1Særlover?
IKT-system som benyttes til behandling og lagring av informasjonSak-arkiv, Word, Filserver, E-post, Kladdeblokk, Onenote, Skype/Telefon
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenfvl, offl, arkivlov, Helse og Omsorgslov, Tilsysnlov, Lov om Sos.tj., Helsepersonelllov, Pasient og brukerrett.lov, føringer fra St.Helsetilsyn, Spesialisthelsetjenesteloven.
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Kunngjøring I TSøkerinfo ? N ISøknad ? N I ?Vurdering og anbefaling I ?Beslutning I ?Tilskuddsbrev (utbetalingsbrev) I TKlage og klagevurderingAksept / bekreftelse IGodkjenne utbetaling I
Merknader
IKT-system som benyttes til behandling og lagring av informasjonTilskuddsportalen, Sak-arkiv, Word, Excel, Filserver, Trippelnett, e-post
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgaven
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger(Pol §8 og ev. §9 + bokstaver eller lovhjemmel)
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
5 Kompetanseutvikling5.1 Veiledning/rådgivning - oppdatert 28.10.2016Arbeidsoppgave: Veiledning/rådgivning Oppdatert: (dato)Kort beskrivelse: Innen våre fagområderFormål: Øke kompetansen hos målgruppen
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Regelverk (Lover, forskrifter og rundskriv) ?VeiledereNasjonal politikk og satsingsområderMeldingerFaglige anbefalinger ?TilskuddsordningerTiltaksmidler/prosjektmidlerProsessveiledning ?
Merknader
IKT-system som benyttes til behandling og lagring av informasjon
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgaven
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Kort beskrivelse: Innen våre fagområderFormål: Øke kompetansen hos målgruppen
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
KursansvarligInfo om arrangementetSøknader fra mulige deltakereVurdering av mulige deltakereGodkjenning av deltakereInformasjon til deltakereAdministrativ arrangementsinfoOpplæringsmateriellØkonomioppfølging arrangementIndividuell økonomioppfølging (lønn, reiseregning o.l.)KlagerKlagevurderingKlagebeslutning
Merknader
IKT-system som benyttes til behandling og lagring av informasjon
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgaven
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
5.3 Lage kompetansemateriell - oppdatert 28.10.2016Arbeidsoppgave: Lage veiledningsmateriell Oppdatert: (dato)Kort beskrivelse: Innen våre fagområderFormål: Øke kompetansen hos målgruppen
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Kontaktinfo. informanter J NInnspill fra andre ? N ? ? ?Utkast ? ?Publisert materiell IProsessinformasjon (planer mm) ? ?
Merknader
IKT-system som benyttes til behandling og lagring av informasjon
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenoffl, fvl, arkl
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysningerpol §8 samtykke eller §8 d, e, f (I den grad man behandler personopplysninger)
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til DatatilsynetMeldeplikt hvis man behandler personopplysninger
6 Kunnskapsforvaltning6.1 Undersøkelser – oppdatert 28.10.2016Arbeidsoppgave: Undersøkelser Oppdatert: (dato)Kort beskrivelse: Oppdragsbaserte undersøkelserFormål: Kunnskapsforvaltning på vegne av ?
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
OppdragsgiverKontaktperson oppdragsgiver J NKontaktinfo informanter J N ?Prosessinformasjon (planer mm) offl§14 (1)? ? ?Resultat datafangst ? (2) ? ? ? I ?Uferdig bearbeidet stoff offl§14 (1)? ? I ?Utkast sluttprodukt offl§14 (1)? ? I ?Godkjent sluttprodukt I
Merknader(1) Meroffentlighet skal alltid vurderes på det som kan unntas offentlighet.(2) Normalt ikke, men avhengig av undersøkelsens innretning og innhold
IKT-system som benyttes til behandling og lagring av informasjon
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof? (I den grad man behandler personopplysninger)
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenoffl, fvl, arkl
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysningerpol §8 samtykke eller §8 d, e, f (I den grad man behandler personopplysninger)
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til DatatilsynetMeldeplikt hvis man behandler personopplysninger. Hvis sensitive behandles vil det normalt også være konsesjonsplikt.
6.2 Analyser (av eksisterende datagrunnlag) - oppdatert 28.10.2016Arbeidsoppgave: Analyser Oppdatert: (dato)Kort beskrivelse: Analyser av eksisterende datagrunnlag på områdene ……Formål:
InformasjonstypeParagraf for
potensiell Normalt
personoppl.Spesielt obs
mht. info.sikkerhet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Plan- og bygningslovenFormål: Etterlevelse av plan og bygningsloven ?
InformasjonstypeParagraf for
potensiell Normalt
personoppl.Spesielt obs
mht. info.sikkerhet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
taushetsplikt / u.off.
Ja? Sensi-tiv? K I T
OppstartmeldingAvdelingsvise synspunkt – innspillSamordnet utkast - innspillEndelig innspill til oppstartmelding med ev. varsel om innsigelseHøringsutkast ( Kommunal planstrategi /Kommuneplan/ Reguleringsplan)Avdelingsvise synspunkter - høringsutkastSamordnet utkast - høringsutkastInnsigelser fra regional statKoordinerte svarutkastEndelig høringssvar med eventuelle innsigelseLokalt vedtakInformasjon rundt meglingEventuell sak til departement
Merknader
IKT-system som benyttes til behandling og lagring av informasjon
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgaven
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
8 Oppfølging av eksterne funksjoner/spesialfunksjoner8.1 Oppfølging av råd og utvalg – oppdatert 28.10.2016Arbeidsoppgave: Oppfølging av (konkretiseres) Oppdatert: (dato)Kort beskrivelse: (Oppfølging av eks: utvalg, nemder, sensorer, mv. )
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Formål: (konkretiseres)
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Info om ordningen, frister m.m. I TSøknader fra / fakta om mulige deltakere J N IVurdering av mulige deltakere off.l §14? J N ?Utpeking/oppnevning av deltakere J N I TInformasjon til deltakere ?Administrativ arrangementsinfo - møter I TOpplæringsmateriell ?Økonomioppfølging arrangement I ?Individuell økonomioppfølging (lønn, reiseregning o.l.)
off.l §25? J N ? I ?
KlagerKlagevurderingKlagebeslutning
Merknader
IKT-system som benyttes til behandling og lagring av informasjonSak-arkiv, e-post, internettportal, Word, Excel, Filserver
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgaven
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger(Pol §8 og ev. §9 + bokstaver eller lovhjemmel)
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
8.2 Oppfølging av verger – oppdatert 28.10.2016Dette er et eksempel på spesialvariant under «Oppfølging av eksterne funksjoner og grupper» Se fellestrekk og forskjeller med tilsvarende litt mer generelle oppgave i kap. 8.1.
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Jf. også kap. 9.1.1 for å se hvordan det som kan synes som en arbeidsoppgave, arbeidet rundt vergemål og verger, kanskje bør deles i to arbeidsoppgaver, slik det er gjort i disse eksemplene.
Arbeidsoppgave: Oppfølging av verger Oppdatert: (dato)Kort beskrivelse: Oppfølging av vergerFormål: Etterleve vergemålsloven
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Info om ordningen, frister m.m. ? I TSøknader fra / fakta om mulige verger J N IVurdering av mulige verger off.l §14? J N ? IOppnevning av verger/setteverge Fvl §13.1 J J K IInformasjon til verger Fvl §13.1 J J K I TAdministrativ arrangementsinfo - møter I TOpplæringsmateriell ?Økonomioppfølging arrangement I ?VergerapporteringVurdering av vergens arbeid Fvl §13.1 J J K ?Individuell økonomioppfølging (lønn, reiseregning o.l.)
IKT-system som benyttes til behandling og lagring av informasjonVERA, Excel, Agresso, Word, Filserver
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhet
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenVergmålsloven, fvl, offl, arkivlov
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Pol §§8, 9 lovhjemmel - VergemålslovenKrav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
9 Annen saksbehandling9.1 Saksbehandling hovedsakelig taushetspliktig - oppdatert 28.10.2016Arbeidsoppgave: Saksbehandling – hovedsakelig offentlig Oppdatert: (dato)Kort beskrivelse: (Områder bør konkretiseres. Flere rimelig områder kan samles i samme
skjema)Formål:
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Avsender (?) Fvl §13.1 J KKontaktinfo Fvl §13.1 ? J ?Mottatte saksdokumenter Fvl §13.1 J K ?Interne vurderinger Fvl §13.1 J K I ?Beslutning Fvl §13.1 J K IKlage Fvl §13.1 J K ?Klagevurdering Fvl §13.1 J K I ?Klagebeslutning Fvl §13.1 J K I
Merknader
IKT-system som benyttes til behandling og lagring av informasjonSak-arkiv
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenfvl, offl, arkivlov
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
9.1.1 Vergemål saksbehandling - oppdatert 28.10.2016Dette er et eksempel på spesialvariant under «Saksbehandling hovedsakelig taushetspliktig» Se fellestrekk og forskjeller med tilsvarende litt mer generelle oppgave i kap. 9.1.
Jf. også kap. 8.2 for å se hvordan det som kan synes som en arbeidsoppgave, arbeidet rundt vergemål og verger, kanskje bør deles i to arbeidsoppgaver, slik det er gjort i disse eksemplene.
Avsender (?) Fvl §13.1 J KBegjæring om vergemål Fvl §13.1 J J K TInterne vurderinger Fvl §13.1 J J K IBeslutning Fvl §13.1 J J K IPerson under vergemål (PMV) Fvl §13.1 J J K IOppnevning av verge Fvl §13.1 J J KOppnevning av setteverge Fvl §13.1 J J K TFratakelse av rettslig handleevne Fvl §13.1 J J KKapitalforvaltning Fvl §13.1 J N K IForvaltning i medhold av dekningsloven Fvl §13.1 J ? K IKlage Fvl §13.1 J J K TKlagevurdering Fvl §13.1 J J K I TKlagebeslutning Fvl §13.1 J J K I
Merknader
IKT-system som benyttes til behandling og lagring av informasjonVERA, Excel, Agresso, Word, Filserver
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenfvl, offl, arkivlov, Vergemålsloven
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysningerPol §§8, 9 lovhjemmel - Vergemålsloven
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
9.2 Saksbehandling hovedsakelig annen u.off. - oppdatert 28.10.2016Arbeidsoppgave: Saksbehandling – hovedsakelig annen u.off. Oppdatert: (dato)Kort beskrivelse: (Områder bør konkretiseres. Flere rimelig like områder kan samles i samme
IKT-system som benyttes til behandling og lagring av informasjonSak-arkiv
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenfvl, offl, arkivlov
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper
Eksempler
(Ev. Pol §8 og ev. §9 + bokstaver eller lovhjemmel)Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
9.3 Saksbehandling hovedsakelig offentlig - oppdatert 28.10.2016Arbeidsoppgave: Saksbehandling – hovedsakelig offentlig Oppdatert: (dato)Kort beskrivelse: (Områder bør konkretiseres. Flere rimelig like områder kan samles i samme
skjema)Formål:
Informasjonstype
Paragraf for potensiell
taushetsplikt / u.off.
Normalt personoppl.
Spesielt obs mht.
info.sikkerhet
Ja? Sensi-tiv? K I T
Avsender (?)Kontaktinfo J NMottatte saksdokumenter ?Interne vurderinger I ?Beslutning IKlage ?Klagevurdering I ?Klagebeslutning I
Merknader
IKT-system som benyttes til behandling og lagring av informasjonSak-arkiv
Hvilke eksterne virksomheter benyttes til behandling og lagring av informasjon
Regelverk med spesielle krav til informasjonssikkerhetpof
Regelverk med spesielle krav til gjennomføring av arbeidsoppgavenfvl, offl, arkivlov
Tilleggsinformasjon som støtte i etterlevelse avpersonopplysningsregelverket spesielt
Hvem mottar man personopplysninger fra
Hvem leverer man personopplysninger til
Utleveres eller behandles opplysningene utenfor EØS
Behandlingsgrunnlag for personopplysninger
Krav, ev. unntakshjemmel, om melding eller konsesjonssøknad til Datatilsynet
Internkontroll i praksis - informasjonssikkerhetTypiske arbeidsoppgaver og tilhørende informasjonstyper