Informasjonssikkerhet og personvern i avslutningsfasen

I avslutningsfasen skal prosjektet overføre nødvendig kunnskap om informasjonssikkerhet og personvern i leveransene til linjen og dokumentere erfaringer fra personvern- og informasjonssikkerhetsarbeidet til nytte for senere prosjekter.

Publisert: 27. aug 2019, Sist endret: 14. okt 2019

Informasjonssikkerhet og personvern bør være tema i følgende aktiviteter i avslutningsfasen:

Komplettere restanseliste og overlevere til linjen

Før endelig overlevering til linjen bør det foretas en full sikkerhetstest av leveransen hvor det verifiseres at kravene til informasjonssikkerhet og personvern er oppfylt og at sikkerhetstiltakene virker etter hensikten. Når leveransen er satt i produksjon bør det gjennomføres en sårbarhetstest og eventuell penetrasjonstest.  

Prosjektet bør foreta en avsluttende risikovurdering av leveransen sett i kontekst av tjenesten den skal inngå i for å avdekke eventuelle risikoer som kan ha oppstått underveis. Prosjekteier og prosjektet må bli enige om hvordan disse skal håndteres.

Enkelte sikkerhetstiltak kan være planlagt iverksatt på et senere tidspunkt. Da må linjen informeres om hvordan dette skal kompenseres med manuelle rutiner inntil sikkerhetstiltakene er på plass.

Sørg for å dokumentere og arkivere testprogramvare og testdata som ikke skal være med over i produksjonsmiljøet og fjern tilganger for utviklingspersonell og testpersonell.

Støtte til innføring av prosjektets produkter i linjeorganisasjonen

Dette kan være opplæring i bruk av ny IKT-tjeneste, inkludert eventuelle sikkerhetstiltak, og eventuelle kompenserende tiltak som nevnt over. Det kan også være nødvendig opplæring i sikkerhetstesting relevant for leveransen.

I gjennomføringsfasen ble det etablert en plan for å håndtere hendelser relatert til personvern og informasjonssikkerhet. Ved avslutning av prosjektet skal planen ferdigstilles og gjennomgås med linjeorganisasjonen.

Avslutte og arkivere prosjektdokumentasjon

Ferdigstill og arkiver underlag og resultater fra risikovurderinger, personvernarbeid, sikkerhetstester og annen informasjon (for eksempel testdata og testprogrammer) relevant for personvern og informasjonssikkerhet.

Evaluere prosjektet og utarbeide sluttrapport

Dokumenter erfaringer fra arbeidet med personvern og informasjonssikkerhet i sluttrapporten slik at etterfølgende prosjekter kan dra nytte av det. Dokumenter hva som fungerte godt og hva som fungerte mindre bra, og tanker om hvordan det kunne gjøres bedre.

Henvisninger

Statens kompetansemiljø for informasjonssikkerhet i Difi gir råd og veiledninger på informasjonssikkerhetsområdet.

Alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet, les mer på Difis sider om Internkontroll i praksis – informasjonssikkerhet.

Datatilsynet gir råd og veiledninger for personvern.

Deldette

Fant du det du lette etter?

*