Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Størrelse: px

Begynne med side:

Download "Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet"

Grethe Sunde
5 år siden
Visninger:

Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.

1 Informasjonssikkerhet og anskaffelser Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

2 Kompetansemiljø for informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet Bidra til at alle statlige virksomheter har systematisk styring og kontroll på informasjonssikkerhetsområdet Gi anbefalinger og veiledning til stat og kommuner om internkontroll på informasjonssikkerhetsområdet jf. eforvaltningsforskriften 15 Kompetansemiljø for sikkerhet i IKT-anskaffelser Veilede på informasjonssikkerhet i IKT-anskaffelser

3 Begreper og sammenhenger Hva er informasjon Hva er informasjonssikkerhet Styring og kontroll Informasjonssikkerhet, anskaffelser, roller

4 Begreper og sammenhenger

5 Hva er informasjon? Elektroniske dokumenter Data i IKT-systemer Personopplysninger Papirdokumenter Bilder elektroniske og på papir SMS er GPS-data Det man sier ved kaffemaskinen i telefonen på bussen - kantina

6 Hva er informasjonssikkerhet? Sikre: konfidensialitet integritet tilgjengelighet på informasjon som behandles i tilknytning til våre arbeidsoppgaver

7 Hva er informasjonssikkerhet? Konfidensialitet Informasjon blir ikke kjent for uvedkommende Integritet Informasjon blir ikke endret utilsiktet eller av uvedkommende Tilgjengelighet Informasjon er tilgjengelig ved behov

Konfidensialitet: Forretningshemmeligheter/ konkurransevridende informasjon Ved å sende Excel-filen med klagers prisskjema til valgte leverandør, [har innklagede] ikke oppfylt sin plikt

8 Konfidensialitet: Forretningshemmeligheter/ konkurransevridende informasjon Ved å sende Excel-filen med klagers prisskjema til valgte leverandør, [har innklagede] ikke oppfylt sin plikt til å: "hindre at andre får adgang eller kjennskap til opplysninger om [ ] drifts- og forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde", jf. forskriften 3-6.

9 Integritet: «[De brøt] seg inn i skolens databaser og forbedret både egne og andre elevers karakterer».

10 Tilgjengelighet: «Det har vært en travel påske for ITavdelingen etter at det ble oppdaget et virusangrep mot våre servere. For å si litt om omfanget; bare på en av våre serverer var 1,4 millioner av 1,5 millioner filer ødelagt. Vi har rundt 100 servere, så da er det lett å tenke seg hvilke skader som har blitt gjort.».

11 Mål og resultater Være effektive Etterleve lover og regler Informasjonsbehandling Informasjonssikkerhet

12 Potensielle konsekvenser ved brudd på informasjonssikkerheten Egen virksomhet feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid tap av tillit Personer og andre virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag Bedriftshemmeligheter på avveie rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling

13 Styring og kontroll på informasjonssikkerhet

14 Internkontroll i praksis - informasjonssikkerhet

15 Informasjonssikkerhet, anskaffelser, roller

16 Brukerhistorie anskaffelse En papirbasert arbeidsoppgave skal gjøres mer effektiv. Anskaffelse? Behov for informasjonssikkerhet Behovshaver/ systemeier Ansvarlig for å løse sine arbeidsoppgaver på en effektiv måte

17 Det er forskjell på Informasjonssikkerhet i anskaffelsesprosessen Informasjonssikkerhet i tjenester og produkter som anskaffes Ditt ansvar i innkjøpsrollen De som skal bruke tjenesten/produktet sitt ansvar

18 Hvordan identifisere behov/krav til informasjonssikkerhet i en skytjeneste Regelverkskrav Risikobaserte krav Risikovurdering og risikohåndtering

19 Risikovurdering og risikohåndtering Hvilke arbeidsoppgaver skal bruke skytjenesten Hvilke informasjonstyper skal lagres der Hva kan skje Hva er viktig Risikoer som ikke kan aksepteres må håndteres med nødvendige sikkerhetstiltak Sikkerhetstiltak blir i praksis til sikkerhetsbehov/krav

Behovshaver/ systemeier Innkjøper Ansvarlig for å løse sine arbeidsoppgaver på en effektiv måte

Identifiserer behov for sikkerhet i skytjenesten som skal anskaffes Ansvarlig for at

mot leverandøren Ansvarlig for å Støtte ledelsen Fagansvarlig informasjonssikkerhet Sørge for at

20 Behovshaver/ systemeier Innkjøper Ansvarlig for å løse sine arbeidsoppgaver på en effektiv måte Identifisere og håndtere(styre) risikoer som kan hindre måloppnåelse på sitt område Identifiserer behov for sikkerhet i skytjenesten som skal anskaffes Ansvarlig for at informasjonssikkerheten blir ivaretatt i anskaffelsesprosessen sikkerhetsbehovene blir håndtert mot leverandøren Ansvarlig for å Støtte ledelsen Fagansvarlig informasjonssikkerhet Sørge for at styringssystem informasjonssikkerhet er oppdatert og tilgjengelig Være hjelp og støtte i risikovurderinger og anskaffelser

21 Ressurser på nett: Sikkerhetskrav: forberede-konkurransen/kravspesifikasjon/sikkerhetskrav Skytjenester: Risikovurdering: Personvern veiledninger: Sikkerhetsgraderte anskaffelser:

22 Diskusjon

23 Diskusjonsoppgave 1 Får dere (som innkjøpere) i dag nødvendig informasjon om sikkerhetsbehov og krav til tjenestene dere skal anskaffe? Hvis ikke, hvordan kan dere sørge for å få det? Diskusjonsoppgave 2 Hvilke sikkerhetsmessige utfordringer med skytjenester har dere erfart? Hva har dere gjort for å løse dette?

Like dokumenter

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?