Informasjonssikkerhet

Anskaffelse av skytjenester
Informasjonssikkerhet
Utfordringer i organisasjonen
  Sektorene kjøpte egne tjenester – Tiltak: Innføring av ny styringsmodell.
  Liten forståelse for gjeldende lovverk rundt personvern i forbindelse med
anskaffelser (reisebyrå, firmahytter osv).
  Liten kompetanse i sektorene på risikostyring i forbindelse med bruk av
skytjenester.
  Sterkt fokus på innovasjon skaper utfordringer (viktig å ivareta personvernet).
  Utfordringer knyttet til forvaltning av skyløsningene etter anskaffelse.
  Beredskapsarbeid knyttet opp mot bruk av sky – glemte vi tjenestekjeden ?
(skyløsningene må inn i beredskapsplanene)
Steintavlene
sammendrag av Styringsmodell for IT
Styringsmodellen og strategien for
digitalisering og IT er
kommuneovergripende og medfører at:
•  Alle tjenesteområder benytter DigIT til
å levere:
•  Rådgiving
•  Utvikling
•  Tjenesteleveranser
•  Utstyr
for å dekke sine behov innen
digitalisering og IT
•  DigIT anskaffer alle Bærum kommunes
3. parts leveranser innen digitalisering
og IT
•  Øvrige tjenesteområder anskaffer ikke
IT-, digitaliserings- eller skytjenester.
Tilsvarende for IT-utstyr
•  Øvrige tjenesteområder deltar aktivt i
styring av egen så vel som kommunes
digitalisering og IT gjennom
samspillet med DigIT
•  Alle tjenesteområder har ansvaret for
å innovere og gevinstrealiserer
bruken av teknologi i egen
tjenesteproduksjon
•  DigITs leveranser følges oppgjennom
KPI’er og tjeneste- eller prosjektspesifikke målinger
•  DigIT koordinerer Bærum kommunes
eksterne digitalisering og Itinteressenter som KS, Staten,
leverandører osv.
Fra ide til tjenesteleveranser
IT-RÅDET
UTVIKLING
Planlegge
Samordne
Sanereforslag
BAUN
BIOM
MIK
OU
Ideerfrasektorene
RÅDGIVNING
Prosjekt-
gjennomføre
TJENESTELEVERANSER
Forvalteog
dri3e
ENdørinn
TilDigIT
ArkitekturSikkerhetAnskaffelser
Databehandleravtaler
  Liten kunnskap om temaet hos de mindre leverandørene og ”arroganse” hos de større
leverandørene.
  Ikke alltid lett å få oversikt over underleverandører.
  Vanskelig å vite hvorvidt EU’s modellavtaler er ivaretatt gjennom store og omfattende
avtaler.
  Utfordrende å få et godt svar på hva og hvordan våre data brukes (eks. forbedring av
tjenester).
  Valg av verneting i andre land og da spesielt med tanke på firmaer utenfor EU/EØS.
  Bruk av egne avtaler kontra leverandørenes avtaler er en utfordring. Spesielt når
leverandører forbeholder seg retten til å endre avtalene når det passer dem.
Risikovurderinger
  Vanskelig å få tak i helhetlige skisser over dataflyt og tekniske
tegninger, samt organisatoriske og tekniske tiltak.
  Ofte fokus på tradisjonell drift hos leverandør (særlig mindre aktører).
  Manglende sikkerhetsorganisering hos leverandører.
  Lite fokus på sikker utvikling hos mange av de mindre aktørene.
Hva med tilsyn ?
  Rapporter fra betrodde parter ?
  Rapport fra ledelsens gjennomgang ?
  Faktiske tilsyn med fysisk oppmøte ?
  Ressursallokering og økonomi for gjennomføring av tilsyn er en
utfordring.
  Oppfølging av tiltak kan være vanskelig og tidkrevende.