Spørsmålsliste i forbindelse med risikovurdering
Rev dato: 25.08.2020
Leverandørens navn: Conexus AS | Adresse: Grønland 67 | Org. nr.
|
Utfylt av: Stian Jonson | e-post: sjo@conexus.no | Telefon: +47 91556443 |
Svaret gjelder læremiddel: Cx School (Conexus Engage, Conexus Oppfølging, Conexus Insight, Stafettloggen) | Versjon: 1.0 | |
Databehandler (underleverandør(er):
| Adresse:
| Org. nr.
|
Nr. | Spørsmål | Svar |
Styring og organisering | ||
Hvordan har leverandøren dokumentert sikkerhetstiltakene og etablert internkontroll? (For eksempel i et styringssystem for informasjonssikkerhet, f.eks. iht. standarden ISO27001) Send over innholdsfortegnelse | ||
Hvordan er ansvaret og oppgaver for personvernet informasjonssikkerheten ivaretatt i virksomheten? (For eksempel i et organisasjonskart med og beskrivelse av ansvar/oppgaver per rolle) Send over organisasjonskart/rutine/rollebeskrivelse | https://cxschool.atlassian.net/wiki/spaces/GD/pages/57901062 | |
Hvordan gjennomføres kontinuerlig opplæring av medarbeidere i personvern og informasjonssikkerhet? (For eksempel ulike roller som ledere, fagpersonell, støttepersonell, personvernombud, IKT-medarbeidere mv. Opplæringen kan være intern eller gjennom eksterne kurs/sertifiseringer) Send over opplæringsplan | https://cxschool.atlassian.net/wiki/spaces/GD/pages/57901062 Se ansvarsområdende til CISO og ISM Se også https://cxschool.atlassian.net/wiki/spaces/PERF/pages/84803658 for gjennomførte aktiviteter | |
Hvordan har leverandøren risikovurdert løsningen? Send over gjennomført risikovurdering og rutine for gjennomføring av risikovurdering | Ja https://cxschool.atlassian.net/wiki/spaces/PERF/pages/239828997 | |
Hvilke rutiner har leverandøren for oppfølging av tiltak fra risikovurderinger? Send over rutine | Se siste punkt https://cxschool.atlassian.net/wiki/spaces/PERF/pages/72122369/Procedure+for+Risk+Assessment#Perform-a-risk-assessment-workshop | |
Hvilke tiltak har virksomheten etablert for å minimalisere nedetid? Send over beredskapsplan for tjenesten og øving på denne |
| |
Har virksomhetens medarbeidere undertegnet taushetserklæring og konsekvenser for brudd på taushetsplikten? Send over rutine | Ja | |
Hvordan gjennomføres bakgrunnssjekk av nyansatte og eventuelle innleide? Send over rutine | ||
Kontroll | ||
Hvordan arbeider virksomheten med avvik på personvern og informasjonssikkerhet? (For eksempel et avvikssystem og at medarbeiderne er kjent med sin plikt til å melde avvik) Send over rutine | Har avvikssystem Medarbeidere er kjentt med å melde avvik Rutiner for å håndtere, dokumenter og rapportere https://cxschool.atlassian.net/wiki/spaces/GD/pages/66912351/Deviation+reporting+and+handling | |
10. | Hvilke rutine er etablert som sikrer at Databehandlingsansvarlig varsles umiddelbart ved uautorisert utlevering eller endring av personopplysninger, eller andre sikkerhetsbrudd? Send over rutine | Er en del av avvikshåndterings rutinen |
11. | Hvordan er rutine for varsling til kommunen innen 72 timer ved hendelser knyttet til informasjonssikkerhet og personvern? Send over rutine | Er en del av avvikshåndterings rutinen |
12. | Hvordan gjennomfører virksomheten systematiske revisjoner knyttet til personvern og informasjonssikkerhet, minimum årlig? (For eksempel rutine og etter en revisjonsplan) Send over rutine og plan for revisjon | Leverandøren har prosedyre for egenvurdering. https://cxschool.atlassian.net/wiki/spaces/GD/pages/66191366 Disse kjøres minst en gang i året eller ved større endringer i tjenesten. Tredjepart kjører årlige penetrasjonstester for å verifisere sikkerheten i infrastrukturen. |
13. | Hvilke rutiner har leverandøren for oppfølging av resultat fra sikkerhetsrevisjoner? Send over rutine | https://cxschool.atlassian.net/wiki/spaces/GD/pages/57901062 se ansvar for CISO |
14. | Hvordan følger ledelsen jevnlig opp status på personvern og informasjonssikkerhet i virksomheten? (For eksempel på jevnlig ledermøter og ledelsens årlige gjennomgang) Send over rutine | https://cxschool.atlassian.net/wiki/spaces/GD/pages/103383041 og https://cxschool.atlassian.net/wiki/spaces/GD/pages/57376769 |
Systemsikkerhet | ||
15. | Hvordan autoriseres brukere for tilgang til løsningen? Send over rutine og beskrivelse av autoriseringsprosessen | |
16. | Hvordan er eventuelt rollebasert tilgangsstyring lagt opp i løsningen? Send over løsningsdokumentasjon | |
17. | Hvilke mekanismer er det i løsningen for å ivareta kode 6 og 7 / sperret adresse (jfr. folkeregisteret/barnevernsloven) Send over løsningsdokumentasjon | Adresse er ikke et felt som behandles i løsningen |
18. | Hvilke autentiseringsmekanismer er i bruk? (For eksempelvis sterk autentisering, multifaktorautentisering, føderert pålogging (f.eks FEIDE), ID-porten, brukernavn og passord mv.) Send over løsningsdokumentasjon |
|
19 | Hvordan benyttes administratorrettigheter i løsingen? (For eksempel oversikt over administratorer av systemet og begrensning av tilgangene til et tjenstlig behov, personlig administrator bruker, endring ved skifte av medarbeidere, intervaller for passordbytte mv.) Send over løsningsdokumentasjon og rutine for tildeling av administrasjonsrettigheter | Kunden gir selv bruker administratorrettigheter |
20. | Dersom løsningen tilbyr administrator- og/ eller superbrukergrensesnitt over Internett: Hvordan er den sikret med sterk autentisering minimum 2 faktor eller tilsvarende? Send over løsningsdokumentasjon | Alle brukere logger på med autorisering iht. punkt 18. |
21. | Hvordan krypteres eventuelt passord i løsningen? Send over løsningsdokumentasjon | |
22. | Hva logges i løsningen? (For eksempel brukerbasert aktivitet endringer, kopieringer, slettinger, forsøk på uautorisert tilgang, autorisert tilgang mv.) Send over løsningsdokumentasjon og rutine for logging |
|
23. | Hvordan benyttes logger til å avdekke sikkerhetshendelser og eventuelt misbruk av tilganger? (For eksempel automatisk analyse / korrelering av sikkerhetshendelser, rapportering mv.) Send over løsningsdokumentasjon og rutine for analyse av logger | |
24. | Hvordan er eventuell fjernaksess (herunder hjemmekontor og eller underleverandør) til løsingen sikret mot bruk/innsyn fra uvedkommende? (For eksempel gjennom tekniske, organisatoriske og fysiske tiltak) Send over løsningsdokumentasjon | Kunden må selv ha sikkerhetstiltak for egne bruker mht. hjemmekontor og fjernaksess. Generelt:
Sikkerhetsadministrasjon:
Infrastruktur sikkerhet:
Hjemmekontor/fjernaksess for leverandør:
Underleverandører:
|
25. | Hvordan blir eventuelt lagrede data kryptert i løsningen? (For eksempel i database, krypteringsstyrke mv.) Send over løsningsdokumentasjon | https://azure.microsoft.com/nb-no/explore/trusted-cloud/privacy/ “For inaktive data blir alle data som skrives til Azure-lagringsplattformen, kryptert med 256-biters AES-kryptering, og de samsvarer med FIPS 140-2.” “Azure Key Vault bidrar til at krypteringsnøklene er riktig sikret.” |
26. | Hvordan krypteres datakommunikasjonen mellom DIN kommune og løsningen? (For eksempel i webtrafikk, krypteringsstyrke mv.) Send over løsningsdokumentasjon | Dette måå kunden selv svare på |
27. | Hvordan håndteres eventuelle krypteringsnøkler? (For eksempel rutiner, oppbevaring, bytte av krypteringsnøkler, tilgang til krypteringsnøkler mv.) Send over løsningsdokumentasjon og rutine | Azure Key Vault |
28. | Hvordan skiller løsningen personopplysninger tilhørende den enkelte kunde? Send over løsningsdokumentasjon og risikovurdering | Dataene er logisk adskilt. Tilgang til data styres via tilgangsgrupper og plassering i hierarkiet. Stafettloggen: I tillegg er hver kommune adskilt via egen krypteringsnøkkel |
29. | Hvordan arbeider virksomheten med endringshåndtering (i løsningen og infrastrukturen) og kapasitetsovervåking? Send over rutine | Crayon for overvåkning. Conexus sitt produkt team for integrasjoner. |
30. | Hvilke fysiske sikkerhetstiltak har leverandøren etablert for løsningen? Send over rutine og løsningsdokumentasjon | Løsningen kjører i Azure på Microsoft sitt datasenter. |
31. | Hvilke rutine er etablert for administrasjon av nøkler/adgangskort i adgangskontrollsystemet til driftsmiljøet? (Fysisk sikring) Send over rutine | Løsningen kjører i Azure på Microsoft sitt datasenter. |
32. | Hvordan ivaretar virksomheten sikkerhetskopi av data? (For eksempel rutiner, frekvens, fjernarkivering, jevnlig test av sikkerhetskopier mv.) Send over rutine og løsningsdokumentasjon | Bruker Azure Backup Private Endpoint og lagrer backups i NorwayEast Datasenter med ZRS (Zone Redundant) |
33. | Hvordan er testmiljø adskilt fra produksjonsmiljøet? Send over løsningsdokumentasjon | Egne databaser og egen infrastruktur atskilt fra produksjonsdata |
34. | Hvordan sørger leverandøren for jevnlig sikkerhetstesting av løsningen? Send over rutine | Ref punkt 32 er det satt opp daglig backup av løsningen |
35. | Hvordan er løsningen hensiktsmessig sikret mot ondsinnet kode og uønskede informasjonssikkerhetshendelser? Send over rutine og løsningsdokumentasjon |
|
36. | Hvordan beskytter eventuelt virksomheten løsningen mot tjenestenektangrep? Send over løsningsdokumentasjon |
|
37. | Hvilken løsing har virksomheten som gjør det mulig for kommunen å hente ut data i et kjent format ved opphør av avtale, eller ved andre hendelser som krever at kommunen må flytte data til en annen leverandør? Send over løsningsdokumentasjon | Kundens data kan etter avtale eksporteres til CSV format. |
38. | Hvilke konfigurasjonskart og teknisk beskrivelse over arkitekturen, komponenter og informasjonssystemene er utarbeidet? Send over konfigurasjonskart med teknisk beskrivelse | Kart over infrastrukturen, oversikt over komponenter |
39. | Hvordan sørger leverandør for at datamaskiner tilhørende driftspersonell, utviklere og underleverandører som er i kontakt med løsningen og/eller kommunens data, er tilstrekkelig sikret. Eksempelvis patching, kryptering, autentisering, hvitelisting av applikasjoner, antivirus, lokal brannmur og begrensede rettigheter osv. Leverandør bes å redegjøre for policy for slikt datautstyr. Send over rutine og løsningsdokumentasjon |
|
40. | Hvordan er support fra leverandør mot sluttbruker i kommunen som innbefatter at leverandør potensielt får tilgang til personopplysninger i sikret mot innsyn hos leverandør og av ansatte som har underskrevet taushetserklæring. All slik aktivitet skal logges. Send over rutine og løsningsdokumentasjon | Leverandøren har ikke tilgang til sluttbrukers personinformasjon. Alle slike forespørsler gjøres iht. avtale med kunde og avtales per tilfelle. |
Personvern | ||
41. | Hvilke personopplysninger behandles i løsningen? (Med behandling menes: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring) Send over fullstendig oversikt over personopplysninger | Særlige kategorier av personopplysninger i henhold til GDPR artikkel 9 (1):
Andre opplysninger med særlig behov for beskyttelse:
Andre personopplysninger:
|
42. | Hvordan har leverandøren dokumentert flyten av personopplysninger tilhørende tjenesten? (For eksempel fra registrering, validering, lagring, bruk, videreformidling, presentasjon, statistikk mv.) Send over løsningsdokumentasjon | Tekniske flytskjema Skjermbilder/skisser fra løsningen for
|
43. | Hvordan har den enkelte registrerte bruker eventuelt mulighet for å søke opp og få innsyn i sine persondata og logger på en enkel og intuitiv måte? Send over rutine og løsningsdokumentasjon |
|
44. | Hvordan gir tjenesten eventuelt mulighet for den registrerte til å søke opp og korrigere opplysninger om seg selv? Send over rutine og løsningsdokumentasjon | Ved integrasjon
Uten integrasjon
|
45. | Hvordan gir tjenesten eventuelt mulighet for den registrerte til å slette opplysninger om seg selv? Send over rutine og løsningsdokumentasjon | Ved integrasjon
Uten integrasjon
|
46. | Hvordan ivaretar tjenesten krav til dataportabilitet? (jf. personopplysningsloven Artikkel 20. Rett til dataportabilitet, https://lovdata.no/dokument/NL/lov/2018-06-15-38 ) Send over rutine og løsningsdokumentasjon | |
47. | Hvordan behandles overflødige personopplysninger i løsingen? (Personopplysninger som ikke er nødvendig for å oppfylle formålet med behandlingen) Send over rutine og løsningsdokumentasjon | Dersom slike personopplysninger mottas fra kunden leses de ikke inn i løsningen. |
48. | Hvordan slettes personopplysninger når formålet med behandlingen er over? Send over rutine og løsningsdokumentasjon | Via tekniske sletterutiner |
49. | Er løsningen utviklet etter prinsipper med innebygget personvern og personvern som standardinnstilling? (Se Datatilsynet: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/innebygd-personvern/ ) Send over løsningsdokumentasjon | Ja |
50. | Deles personopplysninger med tredjepart? Om Ja, Beskriv hva som deles og med hvem (Selskap og adresse) | Nei, kan evt. gjøres etter avtale med kunde |
51. | Overføres det personopplysninger til utlandet? Om Ja, beskriv til hvem, adresse, hvordan og formål. (Se Datatilsynet: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overfore/) | Nei |
52. | Hvilke avtaler er inngått ved overføring av personopplysninger utenfor EU? Beskriv hvilke avtalemal som er brukt | Ikke aktuelt |