Skolesec - Spørreskjema-ROS-skole
- Stian Jonson
- Christoffer Bråthen
Spørsmålsliste i forbindelse med risikovurdering
Rev dato: 25.08.2020
Leverandørens navn: Conexus AS | Adresse: Grønland 67 | Org. nr. 982 39 6999 |
Utfylt av: Stian Jonson | e-post: sjo@conexus.no | Telefon: +47 91556443 |
Svaret gjelder læremiddel: Cx School (Conexus Engage, Conexus Oppfølging, Conexus Insight, Stafettloggen) | Versjon: 1.0 | |
Databehandler (underleverandør(er): Conexus AS | Adresse:
Grønland 67, Drammen | Org. nr.
982 39 6999 |
Underleverandører: Microsoft Norge AS Crayon AS | Dronning Eufemias gate 71, 0194 Oslo, Norge Gullhaug Torg 5, NO-0484 Oslo Sandakerveien 114a, 0484 Oslo | 957 485 030
991 124 810 |
Nr. | Spørsmål | Svar |
Styring og organisering | ||
Hvordan har leverandøren dokumentert sikkerhetstiltakene og etablert internkontroll?
(For eksempel i et styringssystem for informasjonssikkerhet, f.eks. iht. standarden ISO27001) Send over innholdsfortegnelse | Information Security Management System (ISMS) innholdsfortegnelse  | |
2. | Hvordan er ansvaret og oppgaver for personvernet informasjonssikkerheten ivaretatt i virksomheten?
(For eksempel i et organisasjonskart med og beskrivelse av ansvar/oppgaver per rolle) Send over organisasjonskart/rutine/rollebeskrivelse | |
3. | Hvordan gjennomføres kontinuerlig opplæring av medarbeidere i personvern og informasjonssikkerhet?
(For eksempel ulike roller som ledere, fagpersonell, støttepersonell, personvernombud, IKT-medarbeidere mv. Opplæringen kan være intern eller gjennom eksterne kurs/sertifiseringer) Send over opplæringsplan | ISMS - Roles and responsibilities Se ansvarsområdende til CISO og ISM Se også Training for gjennomførte aktiviteter |
4. | Hvordan har leverandøren risikovurdert løsningen? Send over gjennomført risikovurdering og rutine for gjennomføring av risikovurdering | Ja, leverandøren gjennomfører kontinuerlige risikovurderinger av løsningen(e). Dise kan gjennomgås eller oversendes ved henvendelse til leverandøren. |
5. | Hvilke rutiner har leverandøren for oppfølging av tiltak fra risikovurderinger? Send over rutine | Slike tiltak legges inn i produkt backlogen, prioriteres og følges opp av produktansvarlig. |
6. | Hvilke tiltak har virksomheten etablert for å minimalisere nedetid?
Send over beredskapsplan for tjenesten og øving på denne |
|
7. | Har virksomhetens medarbeidere undertegnet taushetserklæring og konsekvenser for brudd på taushetsplikten? Send over rutine | Ja |
8. | Hvordan gjennomføres bakgrunnssjekk av nyansatte og eventuelle innleide? Send over rutine | CV, referanser og søk på nettet |
Kontroll | ||
9. | Hvordan arbeider virksomheten med avvik på personvern og informasjonssikkerhet?
(For eksempel et avvikssystem og at medarbeiderne er kjent med sin plikt til å melde avvik) Send over rutine | Har avvikssystem Medarbeidere er kjent med å melde avvik Rutiner for å håndtere, dokumenter og rapportere Se også Security Incident and Problem Management
|
10. | Hvilke rutine er etablert som sikrer at Databehandlingsansvarlig varsles umiddelbart ved uautorisert utlevering eller endring av personopplysninger, eller andre sikkerhetsbrudd? Send over rutine | Er en del av avvikshåndterings rutinen |
11. | Hvordan er rutine for varsling til kommunen innen 72 timer ved hendelser knyttet til informasjonssikkerhet og personvern? Send over rutine | Er en del av avvikshåndterings rutinen |
12. | Hvordan gjennomfører virksomheten systematiske revisjoner knyttet til personvern og informasjonssikkerhet, minimum årlig?
(For eksempel rutine og etter en revisjonsplan) Send over rutine og plan for revisjon | Leverandøren har prosedyre for egenvurdering. Disse kjøres minst en gang i året eller ved større endringer i tjenesten. Tredjepart kjører årlige penetrasjonstester for å verifisere sikkerheten i infrastrukturen. |
13. | Hvilke rutiner har leverandøren for oppfølging av resultat fra sikkerhetsrevisjoner? Send over rutine | ISMS - Roles and responsibilities se ansvar for CISO |
14. | Hvordan følger ledelsen jevnlig opp status på personvern og informasjonssikkerhet i virksomheten? (For eksempel på jevnlig ledermøter og ledelsens årlige gjennomgang) Send over rutine | |
Systemsikkerhet | ||
15. | Hvordan autoriseres brukere for tilgang til løsningen? Send over rutine og beskrivelse av autoriseringsprosessen | Det er ingen automatisk opprettelse av brukere. Kundens administrasjonsbruker oppretter sine brukere |
16. | Hvordan er eventuelt rollebasert tilgangsstyring lagt opp i løsningen? Send over løsningsdokumentasjon | Læsningen har ulike roller med ulike rettgiheter. Disse tildelses av kundens administrajonsbruker. |
17. | Hvilke mekanismer er det i løsningen for å ivareta kode 6 og 7 / sperret adresse (jfr. folkeregisteret/barnevernsloven) Send over løsningsdokumentasjon | Adresse er ikke et felt som behandles i løsningen |
18. | Hvilke autentiseringsmekanismer er i bruk?
(For eksempelvis sterk autentisering, multifaktorautentisering, føderert pålogging (f.eks FEIDE), ID-porten, brukernavn og passord mv.) Send over løsningsdokumentasjon |
|
19 | Hvordan benyttes administratorrettigheter i løsingen?
(For eksempel oversikt over administratorer av systemet og begrensning av tilgangene til et tjenstlig behov, personlig administrator bruker, endring ved skifte av medarbeidere, intervaller for passordbytte mv.) Send over løsningsdokumentasjon og rutine for tildeling av administrasjonsrettigheter | Kunden gir selv bruker administratorrettigheter |
20. | Dersom løsningen tilbyr administrator- og/ eller superbrukergrensesnitt over Internett: Hvordan er den sikret med sterk autentisering minimum 2 faktor eller tilsvarende? Send over løsningsdokumentasjon | Alle brukere logger på med autorisering iht. punkt 18. |
21. | Hvordan krypteres eventuelt passord i løsningen? Send over løsningsdokumentasjon | Da løsningen primært benytter seg av Feide og IdPorten til autentisering lagres ikke disse passordene i tjenesten. For noen få brukere kan noe funksjonalitet benyttes med brukernavn og passord. Disse passordene blir hashet med en AES algoritme og passordet lagres aldri i klartekst. |
22. | Hva logges i løsningen?
(For eksempel brukerbasert aktivitet endringer, kopieringer, slettinger, forsøk på uautorisert tilgang, autorisert tilgang mv.) Send over løsningsdokumentasjon og rutine for logging |
|
23. | Hvordan benyttes logger til å avdekke sikkerhetshendelser og eventuelt misbruk av tilganger?
(For eksempel automatisk analyse / korrelering av sikkerhetshendelser, rapportering mv.) Send over løsningsdokumentasjon og rutine for analyse av logger | All applikasjons logging fra IIS serveren sendes til Grafana Loki ved hjelp av Grafana Promtail. Fra App Services sendes logger direkte til Grafana Loki slik at det kan overvåkes ved å benytte Grafana. I Grafana har både Conexus og Crayon dashbords som overvåker løsning, samt alarmer som varsler ved driftsforstyrrelser. Alle målinger(“Metrics“) lagres til “Log Analytics Workspace“ benyttes for overvåking av Conexus og sendes også til Crayon som er Conexus’s driftspartner som har overvåking 24/7. Tilgang til Montior løsningen er kontrollert av ip-sperrer og innlogging i løsningene er styrt via sikkerhetsgrupper i Azure AD. |
24. | Hvordan er eventuell fjernaksess (herunder hjemmekontor og eller underleverandør) til løsingen sikret mot bruk/innsyn fra uvedkommende?
(For eksempel gjennom tekniske, organisatoriske og fysiske tiltak) Send over løsningsdokumentasjon | Kunden må selv ha sikkerhetstiltak for egne brukere mht. hjemmekontor og fjernaksess. Generelt:
Infrastruktur sikkerhet:
Hjemmekontor/fjernaksess for leverandør:
Underleverandører:
|
25. | Hvordan blir eventuelt lagrede data kryptert i løsningen?
(For eksempel i database, krypteringsstyrke mv.) Send over løsningsdokumentasjon | Personvern i den pålitelige skyen | Microsoft Azure “For inaktive data blir alle data som skrives til Azure-lagringsplattformen, kryptert med 256-biters AES-kryptering, og de samsvarer med FIPS 140-2.” “Azure Key Vault bidrar til at krypteringsnøklene er riktig sikret.” |
26. | Hvordan krypteres datakommunikasjonen mellom DIN kommune og løsningen?
(For eksempel i webtrafikk, krypteringsstyrke mv.) Send over løsningsdokumentasjon | Kunden må selv besvare dette |
27. | Hvordan håndteres eventuelle krypteringsnøkler?
(For eksempel rutiner, oppbevaring, bytte av krypteringsnøkler, tilgang til krypteringsnøkler mv.) Send over løsningsdokumentasjon og rutine | Azure Key Vault |
28. | Hvordan skiller løsningen personopplysninger tilhørende den enkelte kunde? Send over løsningsdokumentasjon og risikovurdering | Dataene er logisk adskilt. Tilgang til data styres via tilgangsgrupper og plassering i hierarkiet. Stafettloggen: I tillegg er hver kommune adskilt via egen krypteringsnøkkel |
29. | Hvordan arbeider virksomheten med endringshåndtering (i løsningen og infrastrukturen) og kapasitetsovervåking? Send over rutine | Crayon for overvåkning. Conexus sitt produkt team for integrasjoner. |
30. | Hvilke fysiske sikkerhetstiltak har leverandøren etablert for løsningen? Send over rutine og løsningsdokumentasjon | Løsningen kjører i Azure på Microsoft sitt datasenter. |
31. | Hvilke rutine er etablert for administrasjon av nøkler/adgangskort i adgangskontrollsystemet til driftsmiljøet? (Fysisk sikring) Send over rutine | Løsningen kjører i Azure på Microsoft sitt datasenter. |
32. | Hvordan ivaretar virksomheten sikkerhetskopi av data?
(For eksempel rutiner, frekvens, fjernarkivering, jevnlig test av sikkerhetskopier mv.) Send over rutine og løsningsdokumentasjon | Leverandøre bruker Azure Backup Private Endpoint og lagrer backups i Norway East Datasenter med ZRS (Zone Redundant) |
33. | Hvordan er testmiljø adskilt fra produksjonsmiljøet? Send over løsningsdokumentasjon | Egne databaser og egen infrastruktur atskilt fra produksjonsdata |
34. | Hvordan sørger leverandøren for jevnlig sikkerhetstesting av løsningen? Send over rutine | Ref punkt 32 er det satt opp daglig backup av løsningen |
35. | Hvordan er løsningen hensiktsmessig sikret mot ondsinnet kode og uønskede informasjonssikkerhetshendelser? Send over rutine og løsningsdokumentasjon |
|
36. | Hvordan beskytter eventuelt virksomheten løsningen mot tjenestenektangrep? Send over løsningsdokumentasjon |
|
37. | Hvilken løsing har virksomheten som gjør det mulig for kommunen å hente ut data i et kjent format ved opphør av avtale, eller ved andre hendelser som krever at kommunen må flytte data til en annen leverandør? Send over løsningsdokumentasjon | Kundens data kan etter avtale eksporteres til CSV format. |
38. | Hvilke konfigurasjonskart og teknisk beskrivelse over arkitekturen, komponenter og informasjonssystemene er utarbeidet? Send over konfigurasjonskart med teknisk beskrivelse | Kart over infrastrukturen, oversikt over komponenter |
39. | Hvordan sørger leverandør for at datamaskiner tilhørende driftspersonell, utviklere og underleverandører som er i kontakt med løsningen og/eller kommunens data, er tilstrekkelig sikret. Eksempelvis patching, kryptering, autentisering, hvitelisting av applikasjoner, antivirus, lokal brannmur og begrensede rettigheter osv. Leverandør bes å redegjøre for policy for slikt datautstyr. Send over rutine og løsningsdokumentasjon |
|
40. | Hvordan er support fra leverandør mot sluttbruker i kommunen som innbefatter at leverandør potensielt får tilgang til personopplysninger i sikret mot innsyn hos leverandør og av ansatte som har underskrevet taushetserklæring. All slik aktivitet skal logges. Send over rutine og løsningsdokumentasjon | Leverandøren har ikke tilgang til sluttbrukers personinformasjon. Alle slike forespørsler gjøres iht. avtale med kunde og avtales per tilfelle. |
Personvern | ||
41. | Hvilke personopplysninger behandles i løsningen?
(Med behandling menes: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring) Send over fullstendig oversikt over personopplysninger | Særlige kategorier av personopplysninger i henhold til GDPR artikkel 9 (1):
Andre opplysninger med særlig behov for beskyttelse:
Andre personopplysninger:
|
42. | Hvordan har leverandøren dokumentert flyten av personopplysninger tilhørende tjenesten?
(For eksempel fra registrering, validering, lagring, bruk, videreformidling, presentasjon, statistikk mv.) Send over løsningsdokumentasjon | Tekniske flytskjema Skjermbilder/skisser fra løsningen for
|
43. | Hvordan har den enkelte registrerte bruker eventuelt mulighet for å søke opp og få innsyn i sine persondata og logger på en enkel og intuitiv måte? Send over rutine og løsningsdokumentasjon |
|
44. | Hvordan gir tjenesten eventuelt mulighet for den registrerte til å søke opp og korrigere opplysninger om seg selv? Send over rutine og løsningsdokumentasjon | Ved integrasjon
Uten integrasjon
|
45. | Hvordan gir tjenesten eventuelt mulighet for den registrerte til å slette opplysninger om seg selv? Send over rutine og løsningsdokumentasjon | Ved integrasjon
Uten integrasjon
|
46. | Hvordan ivaretar tjenesten krav til dataportabilitet?
(jf. personopplysningsloven Artikkel 20. Rett til dataportabilitet, https://lovdata.no/dokument/NL/lov/2018-06-15-38 ) Send over rutine og løsningsdokumentasjon | Kundens data kan etter avtale eksporteres til CSV format. |
47. | Hvordan behandles overflødige personopplysninger i løsingen?
(Personopplysninger som ikke er nødvendig for å oppfylle formålet med behandlingen) Send over rutine og løsningsdokumentasjon | Dersom slike personopplysninger mottas fra kunden leses de ikke inn i løsningen. |
48. | Hvordan slettes personopplysninger når formålet med behandlingen er over? Send over rutine og løsningsdokumentasjon | Via tekniske sletterutiner |
49. | Er løsningen utviklet etter prinsipper med innebygget personvern og personvern som standardinnstilling?
(Se Datatilsynet: Innebygd personvern og personvern som standard ) Send over løsningsdokumentasjon | Ja |
50. | Deles personopplysninger med tredjepart? Om Ja, Beskriv hva som deles og med hvem (Selskap og adresse) | Nei, kan evt. gjøres etter avtale med kunde |
51. | Overføres det personopplysninger til utlandet? Om Ja, beskriv til hvem, adresse, hvordan og formål.
(Se Datatilsynet: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overfore/) | Nei |
52. | Hvilke avtaler er inngått ved overføring av personopplysninger utenfor EU? Beskriv hvilke avtalemal som er brukt | Ikke aktuelt, se pkt 51. |