|
Stafettholder eller aktør får tilgang
til informasjon om barn/unge han/ hun ikke skal ha tilgang til
|
Brukersesjonen i nettleser gir
tilgang til alle barn som bruker har tilgang til
|
Lav
|
Moderat
|
Tilgangskontroll sikrer at bruker
bare har tilgang til aktuelle barn
|
Lavt
|
|
Stafettholder eller aktør sender
personinformasjon ukryptert via e-post
|
Mangelfull kompetanse om håndtering
av personinformasjon og rutiner i systemet
|
Lav
|
Moderat
|
Rutinen skal være en sentral del av opplæringen
|
Lavt
|
|
Stafettholder eller aktør deler sin
påloggingsinformasjon med andre
|
Manglende forståelse for viktigheten
av at informasjonen i systemet er konfidensiell
|
Lav
|
Alvorlig
|
2-faktor
autentisering?
|
Lavt
|
|
Tilgangen
til systemet for foreldre blir ikke stengt etter endring i juridisk forhold til barn?
|
Mangelfull kompetanse i
administrasjon av tilganger
|
Moderat
|
Moderat
|
Det er stafettholder sitt ansvar å
ajourføre tilganger
|
Lavt
|
|
Stafettholder gir foreldre tilgang
til feil barn
|
Feil bruk av systemet
|
Lav
|
Alvorlig
|
Det er stafettholder sitt ansvar å
ajourføre tilganger
|
Lavt
|
|
Personell hos leverandør distribuerer
personinformasjon til aktør i usikker kanal
|
Mangelfull kompetanse om håndtering
av personinformasjon og rutiner i systemet
|
Lav
|
Moderat
|
Interne rutiner hos leverandør skal
sikre at de tilsatte overholder vedtatt reglement
|
Lavt
|
|
Feil i tilgangs-kontrollen til
web-applikasjonen gir ikke tilsiktet tilgang til personinformasjon
|
Programvarefeil. Feil bruk av
programvare hos leverandør. Test av programvare
|
Lav
|
Moderat
|
Testrutiner hos leverandør og
kommunen sin bruk av Stafettloggen skal raskt avdekke slike feil, slik at risikoen for skade blir minimalisert
|
Lavt
|
|
Autorisert bruker i kommunen
misbruker tilgang til personinformasjon
|
Avhengig av tillit til brukere
|
Lav
|
Moderat
|
Ansvaret som følger med tilgangene må
presiseres i opplæringen
|
Lavt
|
|
Personell hos leverandør med gyldig
tilgang til server misbruker personinformasjon
|
Avhengig av tillit til personalet hos
leverandør
|
Lav
|
Moderat
|
Interne rutiner hos leverandør skal
sikre at de tilsatte overholder vedtatt reglement
|
Lavt
|
|
Ekstern angriper får tilgang til
Stafettloggen og/ eller infrastruktur
|
Sikkerhetsopplegget rundt systemet
|
Lav
|
Alvorlig
|
Leverandør har dokumentert høyt
sikkerhetsnivå både hos basen og for overføring av informasjon
|
Lavt
|
|
Manglende tilgang til systemet pga.
IT-drifts-problem, strømbrudd, brann, e.l.
|
Får ikke tilgang til data i
Stafettloggen
|
Sannsynlig
|
Lav
|
Konsekvensene av driftsstans er små
|
Lavt
|
|
Oppretting og bytte av Stafettholder
|
Administrasjon som oppretter
stafettholder har vid tilgang til informasjon i systemet. Viktig å sperre tilgang for gammel stafettholder og åpne for ny
|
Lav
|
Lav
|
Denne rutinen skal vektlegges i
opplæringen
|
Lavt
|
|
Arkivrutinen
|
Rutinen som skal sikre at dokument/
informasjon blir journalført, arkivert og lagret i henhold til gjeldende regler
|
Moderat
|
Moderat
|
Denne rutinen skal vektlegges i
opplæringen
|
Lavt
|
|
Stafettholder registrerer informasjon
som ikke er tillatt ift samtykket
|
Manglende kompetanse hos stafettholder
|
Lav
|
Moderat
|
Ansvaret som følger med tilgangene
skal presiseres i opplæringen
|
Lavt
|