Omfatter
Informasjonssikkerhet: Håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger.
Personvern: Retten til å bestemme over egne personopplysninger og retten til et privatliv.
Fysisk sikring og personellsikring er ikke omhandlet.
Disse sikkerhetsprinsippene er gjeldende både for Helsenorge, samt de som benytter tjenester fra Helsenorge. Enhver må på forespørsel kunne fremvise at de innfrir disse prinsippene.
ID | Kvalitetskrav | Føringer og kommentar |
---|---|---|
S-1 | Informasjonssystemer og informasjon skal kategoriseres og klassifiseres. | |
S-2 | Løsninger skal sikres og ha sikkerhetsmekanismer i henhold til god praksis. Sikkerhet i løsningen skal være beskrevet i system- og driftsdokumentasjon. | OWASP ASVS eller tilsvarende regnes som god praksis |
S-3 | Løsninger skal risiko- og sårbarhetsvurderes og personvernkonsekvens skal vurderes (DPIA). Akseptert risikonivå skal være definert og akseptert av risikoeier. | Normen gir føringer på området |
S-4 | Løsninger skal etableres i tråd med prinsippene for innebygd personvern. | Digitaliseringsrundskrivet_2019, pkt. 1.4 Innebygd personvern |
S-5 | Personopplysninger skal behandles iht. GDPR og løsningens behandling av personopplysninger og sensitive personopplysninger skal være dokumentert. | De 7 grunnleggende personvernprinsippene: Lovlig, rettferdig og gjennomsiktig, Formålsbegrensning, Dataminimering, Riktighet, Lagringsbegrensning, Integritet og fortrolighet, Ansvarlighet |
S-6 | Brukere skal autentiseres med brukeridentifikator og passord. Tilganger skal være:
| |
S-7 | Plan for sikkerhetstesting skal utarbeides og sikkerhetstester skal gjennomføres. | Gjelder alle løsninger. F.eks. forhold som må testes for web-applikasjoner app'er: OWASP Top 10 «Most Critical Web Application Security» og «Mobile Risk» |
S-8 | Løsningen skal integreres med eksisterende sikkerhetsovervåkingsløsninger og det skal produseres logger. |