Sikkerhetsforum 2018

Transkript

1 Sikkerhetsforum 2018

2 Kunnskapsdepartementets tjenesteorgan Sekretariat for informasjonssikkerhet I UH-sektoren Rolf Sture Normann

3 Litt status fra 2017

4 GDPR Veileder om krav til informasjonssikkerhet I GDPR Sjekkliste for databehandleravtaler ihht. GDPR Oppdatert veileder for ledelsessystem for informasjonssikkerhet (GDPR) Oppfølgingsmøter med de statlig eide institusjonene (GDPR+) Deltakelse I kvalitetssikring av sektortjenester mht GDPR Diverse foredrag om GDPR Leder samarbeidsgruppen GDPR I UH-sektoren (mer I eget foredrag)

5 Risikovurderinger Utarbeidelse og publisering av veileder for gjennomføring av ROS i skytjenester Utarbeidelse og publisering av ny veileder for gjennomføring av risikovurderinger Risikovurderinger som er utført på bestilling fra enkeltinstitusjoner Risikovurderinger gjennomført for anskaffelse av fellessystemer i UHsektoren Avholdt kurs til enkeltinstitusjoner

6 Holdningsskapende arbeid Sikresiden.no Lansering 2. oktober 2017 Alle institusjoner deltar Mer om sikresiden.no i eget foredrag Sekretariatet er fortsatt sponsor for materiell i forbindelse med sikkerhetsmåneden oktober Tilgang til nanolæringsplattformen Junglemap

7 Rådgiving Rådgiving i forbindelse med utarbeidelse og implementering av ledelsessystem for informasjonssikkerhet Rådgiving personvernerklæringer og IKT-reglement Sekretariatets deltar i E-helsedirektoratets prosjekt om etablering av en helseanalyseplattform Rådgiving i forbindelse med sikkerhet i tjenester som leveres i sektoren

8 Sekretariatet - Internasjonalt GEANT SIG-ISM (Special interest group information security management) Nordisk samarbeide på informasjonssikkerhet i høyere utdanning

9 Evaluering av sekretariatet

10 Bakgrunn og oppdrag Det følger av mandatet at sekretariatet skulle evalueres innen 3 år Kunnskapsdepartementet bestiller - anbud Oppdraget ble gitt til mnemonic as i Oslo Evalueringen ble gjennomført i perioden november 2017 til april 2018 Møter og workshops med nøkkelpersoner fra sekretariatet og KD Spørreundersøkelse (institusjonene) Intervjuer hos et utvalg institusjoner (spørreundersøkelse) Intervjuer av personell i sekretariat og KD

11 Evaluering - oppsummering

12 Hvor fornøyd er dere sett opp i mot kostnadene med sekretariatet?

13 I hvor stor grad har sekretariatets aktiviteter påvirket deres styring og ledelse av informasjonssikkerhet?

14 Opplevde dere at sekretariatet hadde kapasitet til å håndtere henvendelsen?

15 Hvor fornøyd er du med tjenestene fra sekretariatet totalt sett?

16 Evalueringen andre funn Lytte mer til sektoren om hva som er deres behov Tydeliggjøre hva som inngår i tjenesteavgiften Større grad av deling Kontinuitet og beredskapsplaner Økte ressurser for å ivareta økt behov

17 Oppgaver for sekretariatet fremover (NB! IKKE VEDTATT)

18 Sekretariatets rolle fremover Departementet har gjennom sektoransvaret, behov for eierstyring av institusjonene også på informasjonssikkerhetsområdet KD stiller krav gjennom tildelingsbrev ledelsessystem for informasjonssikkerhet KD skal rendyrke sin rolle som sekretær for statsråden Noen oppgaver skal ut av KD (tilsyn) Tjenesteorganet skal spille en rolle i dette

19 Tjenesteorganets tildelingsbrev Operasjonalisere digitaliseringsstrategien Har som mandat fra KD å treffe beslutninger for sektoren Sekretariatet videreføres i tjenesteorganet Delstrategi for informasjonssikkerhet Bidra til at institusjonene har en egeninteresse i å ha bedre informasjonssikkerhet enn de nasjonale minstekravene Styrket styring av informasjonssikkerheten Tydeligere rammeverk Roller og ansvar mellom KD, TO og UNINETT skal utarbeides

20 KD har behov for systematikk i styringen Setter krav om ledelsessystem hos institusjonene KD mangler tilsvarende rammeverk for styringen av informasjonssikkerhet i sektoren ISO27014 er en standard for styring (Governance)

21 ISO27001 og 27014

22 Sekretariatets nye oppgaver Monitorere (monitor) Systematisk vurdere nasjonale trusselvurderinger Gjøre overordnede risikovurderinger for institusjonene på sektornivå Evaluere sikkerhetsarbeidet på utvalgte institusjoner Innrapportere hendelser i sektoren Samarbeid med sektorvist responsmiljø (UNINETT CERT) Utarbeide årlig risikovurdering av sektoren KD Løpende endringer i risikobildet KD, Sektoren

23 Sekretariatets nye oppgaver Evaluere (evaluate) Sikre at informasjonssikkerheten støtter og opprettholder sektorens målsettinger Systematisk gjennomføre tiltak som støtter opp under måloppnåelsen i digitaliseringsstrategien Foreslå nye effektive informasjonssikkerhetsprosjekter for KD Evaluere hvorvidt informasjonssikkerheten i sektoren ligger over de nasjonale minstekravene

24 Sekretariatets nye oppgaver Styre (direct) Utvikler, foreslår og implementerer informasjonssikkerhetsstrategi og policy på sektornivå Løpende styringsdialog med institusjonene Innpasse informasjonssikkerhetsmålene i institusjonsmålene Utvikle rammeverk og beste praksis Foreta stikkprøver av informasjonssikkerheten til utvalgte institusjoner

25 Sekretariatets nye oppgaver Kommunisere (communicate) Utarbeide en årlig rapport til eksterne interessenter om informasjonssikkerheten i sektoren Forskningsrådet Interesseorganisasjoner Datatilsynet Rapporterer til KD om resultater fra evalueringer og gjennomganger av informasjonssikkerheten Rapportere til KD krav (nye) i lover og regler Gi råd til KD innenfor informasjonssikkerhet som krever KDs oppmerksomhet

26 Hva kan dette bety for institusjonene Mindre tilgang på tjenester (ROS, sikkerhetsgjennomganger, revisjoner) Mer fokus på evaluering og rapportering av tilstand Mer beste praksis dokumenter og rammeverk I større grad lede samarbeidsgrupper som f.eks. «GDPR i UHsektoren» Evalueringsrapporten peker på at sekretariatet bør fortsette å levere «konsulent» oppdrag, samtidig som man ser behovet for en bedre styring. (interessekonflikt)

27 Sikkerhetsforum!