Gå til hovedindhold
RA.Status: Optaget i Rammearkitekturen
RA.Område: Tværgående
RA.Type: Arkitekturmål, -principper og regler

AR 4.1: Opfyld krav til informationssikkerhed og privatlivsbeskyttelse

Når der etableres digital understøttelse af tværgående processer og deling af data sker det på baggrund af en gennemarbejdet og fyldestgørende sikkerhedsmodel. Informationssikkerhed skal være et integreret element lige fra udbudsproces til go-live af systemer.

Ældre end 12 mdr.
  • Læs op

Indhold

    Arkitekturregel

    Når der etableres digital understøttelse af tværgående processer og deling af data sker det på baggrund af en gennemarbejdet og fyldestgørende sikkerhedsmodel. Informationssikkerhed skal være et integreret element lige fra udbudsproces til go-live af systemer.

    Det betyder at:

    Projekter foretager tidligt en risikovurdering og en vurdering af konsekvenserne for privatlivets fred og informationssikkerheden i overensstemmelse med de lovgivningsmæssige og fællesoffentligt aftalte krav hertil.
    Hvis cloud computing er en del af projektet tages højde for de særlige krav hertil.
    Den digitale løsning designes således, at privatlivsbeskyttelse og sikkerhed sikres, herunder at kun nødvendige følsomme data udveksles og opbevares.

    Arkitekturreglen i praksis

    Fortrolighed og it-sikkerhed er særdeles vigtig for den kommunale forretning. Hvis privatlivsbeskyttelse og it-sikkerhed tænkes ind for sent i processen, får det ofte karakter af en “skal”, der lægges uden om it-systemet. I stedet bør it-sikkerhed og privatlivsbeskyttelse være en integreret del af løsningen og imødekomme både brugernes og lovgivningens behov.

    For at kunne udarbejde det rigtige design, kræves indsigt i alle aspekter af en løsning, herunder it-sikkerhed og privatlivsbeskyttelse.

    Når man bygger en løsning, indgår sikkerhedskrav og privatlivssikring på lige fod med forretningsbehov.

    Derfor skal it-sikkerhed og privatlivsbeskyttelse sættes på agendaen allerede i analysefasen og der bør være en it-sikkerhedsekspert og juridisk ekspertise tilgængelig for projekterne. Risikovurdering bør foretages tidligt og løbende.

    Den øgede anvendelse af , der ofte baserer sig på store datamængder, betyder, at projekterne bør vurdere, hvilke forøgede risici og nye angrebsflader, de skal være opmærksomme på. Tilsvarende kan kunstig intelligens også anvendes som angrebsmiddel, der ændrer det samlede trusselsbillede, og som et forsvarsværk, der kan bruges til at effektiviserede informationssikkerheden.

    Vejledning/Metode

    KL - databeskyttelse og informationssikkerhed, drejebøgerSikkerdigital.dk – Råd og vejledninger til borgere, virksomheder og myndighederAnalyse af brugen af kunstig intelligens i et sikkerhedsperspektiv - Fra Digitaliseringsstyrelsen, Erhvervsstyrelsen og Center for Cybersikkerhed

    Læs også/Links

    KL/KOMBIT Videncenter om databeskyttelse, informationssikkerhed og cybersikkerhedBeskrivelse af arkitekturreglen fra Digitaliseringsstyrelsen

    Kontakt

    Programleder

    Vibeke Normann

    IT-Arkitektur & Standarder

    Telefon: +45 3370 3883

    E-mail: vno@kl.dk