ms-ai-architect/tests/fixtures/security-assessment/fixture.md
Kjell Tore Guttormsen baa2d0220b feat(ultraplan-local): v1.6.0 — /ultraresearch-local deep research command
Add /ultraresearch-local for structured research combining local codebase
analysis with external knowledge via parallel agent swarms. Produces research
briefs with triangulation, confidence ratings, and source quality assessment.

New command: /ultraresearch-local with modes --quick, --local, --external, --fg.
New agents: research-orchestrator (opus), docs-researcher, community-researcher,
security-researcher, contrarian-researcher, gemini-bridge (all sonnet).
New template: research-brief-template.md.

Integration: --research flag in /ultraplan-local accepts pre-built research
briefs (up to 3), enriches the interview and exploration phases. Planning
orchestrator cross-references brief findings during synthesis.

Design principle: Context Engineering — right information to right agent at
right time. Research briefs are structured artifacts in the pipeline:
ultraresearch → brief → ultraplan --research → plan → ultraexecute.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-04-08 08:58:35 +02:00

3.6 KiB

S5: Sikkerhetsvurdering

S5.1: Sikkerhetsscoring

Totalscore: 2.80/5.00 — BETINGET AKSEPTABEL

Dimensjon Score Status Viktigste funn
Identity & Access 3.5/5 🟡 Adekvat Entra ID + Managed Identity. Mangler: PIM for admin, break-glass prosedyrer.
Network Security 2.5/5 🟡 Adekvat VNet-integrasjon planlagt. Mangler: Private Endpoints for alle endepunkter.
Data Protection 2.0/5 🔴 Svak Sweden Central for Azure OpenAI. Presidio PII planlagt. Mangler: CMK, DLP-policyer.
Content Safety 3.5/5 🟡 Adekvat Content Safety + Prompt Shields planlagt. Mangler: norskspesifikke policyer, Groundedness Detection tuning.
Compliance & Governance 2.5/5 🟡 Adekvat AI Act-klassifisering utført. Mangler: DPIA, AI-register, Schrems II TIA.
Monitoring & Response 2.8/5 🟡 Adekvat Application Insights + Sentinel planlagt. Mangler: AI-spesifikke deteksjonsregler, incident response-plan.

Kritiske funn

P0 (Blokkerende):

  1. DPIA ikke gjennomført — Obligatorisk (GDPR art. 35) pga. PII i avviksrapporter
  2. Schrems II TIA mangler — Azure OpenAI i Sweden Central krever formell risikovurdering
  3. Incident Response-plan mangler — Ingen prosedyre for AI-spesifikke hendelser (prompt injection breach, PII-lekkasje)

P1 (Høy prioritet): 4. Red team-testing av security trimming — Må verifisere at regionbasert tilgangskontroll fungerer korrekt 5. AI-spesifikk alerting mangler — Ingen varsling for anomalier i prompt-mønstre eller uvanlig token-forbruk 6. PIM ikke konfigurert — Admin-tilgang til AI-ressurser bør styres via Privileged Identity Management

S5.2: DPIA-status

Spørsmål Svar
Behandles personopplysninger? Ja — PII i avviksrapporter, chatlogger
Er DPIA påkrevd? Ja (GDPR art. 35)
Er DPIA gjennomført? Ikke startet
Personvernombud involvert? Planlagt for Fase 1
Konsultasjon med Datatilsynet? Vurderes etter DPIA

Tidsestimat: 1-2 uker for gjennomføring, inkl. personvernombuds review.

S5.3: ROS-analyse

# Risiko S K Nivå Tiltak Restrisiko
1 Hallusinering i faglige svar 4 3 HØY Groundedness detection 0.8, kildehenvisninger, HITL-disclaimer MIDDELS
2 PII-lekkasje via AI-svar 2 4 HØY Presidio pre-indexing + runtime PII-filter + security trimming LAV
3 Prompt injection 3 3 MIDDELS Prompt Shields + Content Safety + system message-hardening LAV
4 Uautorisert dokumenttilgang 2 4 MIDDELS Security trimming med SharePoint ACL-mapping + Entra ID LAV
5 Schrems II — data residency 3 3 MIDDELS Formell TIA + risikoaksept. Data-at-rest i Norway East. MIDDELS
6 Modell-degradering over tid 2 2 LAV Kvartalsvis eval + drift-monitoring + automatisk rollback LAV

S5.4: Dataklassifisering

Datatype Klassifisering Behandlingsgrunnlag Lagringssted
Håndbøker (N-serien) Intern Berettiget interesse Azure AI Search (Norway East)
Kontrakter Fortrolig Berettiget interesse Azure AI Search (Norway East), security trimmed
Inspeksjonsrapporter Intern Berettiget interesse Azure AI Search (Norway East)
Avviksrapporter (PII) Fortrolig Samtykke/Lovhjemmel Azure AI Search (Norway East), PII-maskert
Chatlogger Intern Berettiget interesse Application Insights (Sweden Central), 90d retention
NVDB-data Åpen Åpne data Ikke lagret — live API-oppslag