Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

7. Vedlegg - Definisjoner

A- Definisjoner

For forklaring på generelle ord og uttrykk benyttet i denne veilederen henvises det til vedlegg «6.2 Definisjoner» i Normen 6.0. Det er i midlertidig enkelte ord og uttrykk som er spesifikke for denne veilederen og dermed ikke er definert Normen 6.0. Definisjonen av disse følger i listen under.

- S -

Med «single sign-on» menes en autentiseringsprosess som lar brukeren få tilgang til flere applikasjoner ved kun å logge inn én gang, for eksempel at det å logge på PCen/det lokale nettverket gir direkte tilgang til å åpne en applikasjon uten å i tillegg måtte logge inn i applikasjonen.

- T -

Med «tofaktorautentisering» menes en autentiseringsprosess som krever to ulike faktorer ved innlogging til informasjonssystemene.

B Enkel sjekkliste for tilgangsstyringsprosessen

Under følger en sjekkliste som kortfattet oppsummerer anbefalinger til tilgangsstyringsprosessen.

Tilrettelegging og forberedelser

  • Det er definert og implementert en tilgangsstruktur som ivaretar taushetsplikten og prinsippet om tjenstlig behov. Tilgangsstrukturen er basert på en risikovurdering.
  • Det er etablert rutiner som ivaretar kravene til tilgangsstyring, herunder autorisering, autentisering og kontroll av tilganger.
  • Det er definert hvilke personer/stillinger i virksomheten som har myndighet til å tildele autorisasjon og bestille brukertilganger.
  • Det er definert hvilke personer/stillinger i virksomheten som har tilgang til å opprette brukere og tilganger i hvert enkelt informasjonssystem.

Opprettelse av brukertilganger

  • Det er etablert en rutine for opprettelse og tildeling av brukertilganger i informasjonssystemene. Rutinen kan enten omfatte manuelle eller automatiserte prosesser, og skal ivareta følgende punkter:
    • Det gjennomføres en identitetskontroll av brukeren. Korrekt identitet registreres i et master-register dersom dette ikke er foretatt på et tidligere stadium.
    • Bestilling av bruker og tilganger skal følge etablerte rutiner. Det skal kunne spores hvem som har godkjent bestillingen.
    • Brukeren opprettes med standardtilganger (og ved behov også med tidsbegrensning) i tråd med sin funksjon, dersom annet ikke er spesifisert i bestillingen.
    • Autorisasjonsregisteret oppdateres i tråd med tildelingen av tilgangen.

Endring og vedlikehold av brukertilganger

  • Det er etablert en rutine for endring og vedlikehold av brukertilganger i informasjonssystemene. Rutinen kan enten omfatte manuelle eller automatiserte prosesser, og skal ivareta følgende punkter:
    • Gamle tilganger deaktiveres ved bytte av stilling, endring i arbeidsoppgaver eller bytte av lokasjon.
    • Nye tilganger opprettes i tråd med ny stillingsbeskrivelse, nye arbeidsoppgaver eller ny lokasjon.
    • Det gjennomføres kontroll av tilganger og autorisasjoner jevnlig for å påse at disse er i tråd med tjenstlig behov.

Deaktivering av brukertilganger

  • Det er etablert en rutine for deaktivering av brukertilganger i informasjonssystemene. Rutinen kan enten omfatte manuelle eller automatiserte prosesser, og skal ivareta følgende punkter:
    • Det meldes ifra til de som jobber med brukeradministrasjon, som for eksempel systemeiere eller IT-personell, når en ansatt har sagt opp.
    • Ansatte som slutter får tilgangene sine deaktivert i alle informasjonssystem og infrastruktur ved sluttdato.
    • Ansatte som slutter leverer inn utlevert utstyr på sluttdato, som for eksempel PC, adgangskort og autentiseringsfaktorer.
    • Det gjennomføres kontroll av aktive brukere opp mot ansatte som har sluttet, for å påse at alle tilganger deaktiveres.
Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 17. mars 2022