Sikkerhetskrav
Omfatter
Informasjonssikkerhet: Håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger.
Personvern: Retten til å bestemme over egne personopplysninger og retten til et privatliv.
Fysisk sikring og personellsikring er ikke omhandlet.
Disse sikkerhetskravene gjeldende både for Helsenorge, samt de som benytter tjenester fra Helsenorge.
ID | Kvalitetskrav | Føringer og kommentar |
|---|---|---|
S-1 | Informasjonssystemer og informasjon skal kategoriseres og klassifiseres. |
|
S-2 | Løsninger skal sikres og ha sikkerhetsmekanismer i henhold til god praksis. Sikkerhet i løsningen skal være beskrevet i system- og driftsdokumentasjon. | OWASP ASVS eller tilsvarende regnes som god praksis |
S-3 | Løsninger skal risiko- og sårbarhetsvurderes og personvernkonsekvens skal vurderes (DPIA). Akseptert risikonivå skal være definert og akseptert av risikoeier. | Normen gir føringer på området |
S-4 | Løsninger skal etableres i tråd med prinsippene for innebygd personvern. | Digitaliseringsrundskrivet_2019, pkt. 1.4 Innebygd personvern |
S-5 | Personopplysninger skal behandles iht. GDPR og løsningens behandling av personopplysninger og sensitive personopplysninger skal være dokumentert. | De 7 grunnleggende personvernprinsippene: Lovlig, rettferdig og gjennomsiktig, Formålsbegrensning, Dataminimering, Riktighet, Lagringsbegrensning, Integritet og fortrolighet, Ansvarlighet |
S-6 | Brukere skal autentiseres med brukeridentifikator og passord. Tilganger skal være:
| |
S-7 | Plan for sikkerhetstesting skal utarbeides og sikkerhetstester skal gjennomføres. | Gjelder alle løsninger. F.eks. forhold som må testes for web-applikasjoner app'er: OWASP Top 10 «Most Critical Web Application Security» og «Mobile Risk» |
S-8 | Løsningen skal integreres med eksisterende sikkerhetsovervåkingsløsninger og det skal produseres logger. |