Informasjonssikkerhet
Anskaffelse av skytjenester Informasjonssikkerhet Utfordringer i organisasjonen Sektorene kjøpte egne tjenester – Tiltak: Innføring av ny styringsmodell. Liten forståelse for gjeldende lovverk rundt personvern i forbindelse med anskaffelser (reisebyrå, firmahytter osv). Liten kompetanse i sektorene på risikostyring i forbindelse med bruk av skytjenester. Sterkt fokus på innovasjon skaper utfordringer (viktig å ivareta personvernet). Utfordringer knyttet til forvaltning av skyløsningene etter anskaffelse. Beredskapsarbeid knyttet opp mot bruk av sky – glemte vi tjenestekjeden ? (skyløsningene må inn i beredskapsplanene) Steintavlene sammendrag av Styringsmodell for IT Styringsmodellen og strategien for digitalisering og IT er kommuneovergripende og medfører at: • Alle tjenesteområder benytter DigIT til å levere: • Rådgiving • Utvikling • Tjenesteleveranser • Utstyr for å dekke sine behov innen digitalisering og IT • DigIT anskaffer alle Bærum kommunes 3. parts leveranser innen digitalisering og IT • Øvrige tjenesteområder anskaffer ikke IT-, digitaliserings- eller skytjenester. Tilsvarende for IT-utstyr • Øvrige tjenesteområder deltar aktivt i styring av egen så vel som kommunes digitalisering og IT gjennom samspillet med DigIT • Alle tjenesteområder har ansvaret for å innovere og gevinstrealiserer bruken av teknologi i egen tjenesteproduksjon • DigITs leveranser følges oppgjennom KPI’er og tjeneste- eller prosjektspesifikke målinger • DigIT koordinerer Bærum kommunes eksterne digitalisering og Itinteressenter som KS, Staten, leverandører osv. Fra ide til tjenesteleveranser IT-RÅDET UTVIKLING Planlegge Samordne Sanereforslag BAUN BIOM MIK OU Ideerfrasektorene RÅDGIVNING Prosjekt- gjennomføre TJENESTELEVERANSER Forvalteog dri3e ENdørinn TilDigIT ArkitekturSikkerhetAnskaffelser Databehandleravtaler Liten kunnskap om temaet hos de mindre leverandørene og ”arroganse” hos de større leverandørene. Ikke alltid lett å få oversikt over underleverandører. Vanskelig å vite hvorvidt EU’s modellavtaler er ivaretatt gjennom store og omfattende avtaler. Utfordrende å få et godt svar på hva og hvordan våre data brukes (eks. forbedring av tjenester). Valg av verneting i andre land og da spesielt med tanke på firmaer utenfor EU/EØS. Bruk av egne avtaler kontra leverandørenes avtaler er en utfordring. Spesielt når leverandører forbeholder seg retten til å endre avtalene når det passer dem. Risikovurderinger Vanskelig å få tak i helhetlige skisser over dataflyt og tekniske tegninger, samt organisatoriske og tekniske tiltak. Ofte fokus på tradisjonell drift hos leverandør (særlig mindre aktører). Manglende sikkerhetsorganisering hos leverandører. Lite fokus på sikker utvikling hos mange av de mindre aktørene. Hva med tilsyn ? Rapporter fra betrodde parter ? Rapport fra ledelsens gjennomgang ? Faktiske tilsyn med fysisk oppmøte ? Ressursallokering og økonomi for gjennomføring av tilsyn er en utfordring. Oppfølging av tiltak kan være vanskelig og tidkrevende.
© Copyright 2024