Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Størrelse: px
Begynne med side:

Download "Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring"

Transkript

1 Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1

2 Oversikt Risikoanalyse Testing Sikkerhet som kriterium for risikoanalyse og testing Sikkerhet vs. Safety & Security Risikoanalyse og testing mht. sikkerhet Kombinasjon av risikoanalyse og testing Test-drevet risikoanalyse Risiko-drevet testing Oppsummering Videre lesning Technology for a better society 2

3 Risikoanalyse Prosess Establishing the context Communication and consultation Risk assessment Risk identification Risk analysis Risk evaluation Risk treatment Monitoring and review ISO 31000:2009 Technology for a better society 3

4 Risikoanalyse Begreper Vulnerability Party Threat Asset Treatment Unwanted incident Likelihood Consequence Risk Technology for a better society 4

5 Testing Prosess Testing innebærer å kjøre et system (exercising a system) for å verifisere at den oppfyller gitte krav, og for å avdekke feil Systemet er ofte referert til som "system under test" (SUT) Test Planning Test Design & Implementation Test Environment Set-up & Maintenance Test Execution Test Incident Reporting Basert på ISO (Draft) Technology for a better society 5

6 Testing - Begreper Test planning Planlegge hva det skal testes for (e.g. funksjonalitet, sikkerhet, ytelse) og hvilke deler av systemet som skal testes Test design & implementation Utvikle test-caser og test-prosedyrer Test environment set-up and maintenance Etablere og vedlikeholde oppsett og omgivelse for testingen Test execution Gjennomføre test-caser og prosedyrer i den etablerte omgivelsen Test incident reporting Rapportering av identifiserte feil eller hendelser Technology for a better society 6

7 Sikkerhet som kvalitetskriterium Både risikoanalyse og testing kan utføres for ulike formål Hva ønsker vi å avdekke? Hva ønsker vi å oppnå? Hva ønsker vi å forstå bedre? Hva er våre kvalitetskriterier? Sikkerhets-risikoanalyse og sikkerhets-testing Spesialiseringer rettet mot å forstå og forbedre sikkerheten til systemer Spesialiseringen av formålet Risikoanalyse: Hva er våre aktiva og risiko-kriterier? Testing: Hva er vår målsetting (test objectives)? Formålet bestemmes av kvalitetskriteriene Technology for a better society 7

8 Hva betyr "sikkerhet"? Informasjonssikkerhet Safety Fysisk sikkerhet Technology for a better society 8

9 Sikkerhet vs. Safety & Security "Sikkerhet" brukes gjerne i betydningen til både "safety" og "security" Safety: Beskytte systemets omgivelser mot fare (hazard) for liv, helse, eiendom eller miljø Security: Beskytte systemet mot skade påført av trusler gjennom utnyttelse av sårbarheter Information security: Beskyttelse av konfidensialitet, integritet og tilgjengelighet av informasjon På norsk opererer man gjerne tilsvarende begrepsskille mellom sikkerhet og trygghet Sikkerhet = Security Trygghet = Safety For mange systemer (f. eks. kritiske infrastrukturer) er kriterier mht. både sikkerhet og trygghet viktig, i tillegg til flere andre kvalitetskriterier Technology for a better society 9

10 Risikoanalyse og testing mht. sikkerhet Risikoanalyse Testing Risiko-kriterier Test objectives Kvalitetskriterier Sikkerhet Trygghet Cybersikkerhet Informasjonssikkerhet Fysisk sikkerhet Helse Miljø Eiendom Konfidensialitet Integritet Tilgjengelighet Technology for a better society 10

11 Kombinasjon av risikoanalyse og testing Risikoanalyse og testing kan kombineres for gjensidig støtte Testdrevet risikoanalyse Systematisk bruk av testing som en del av risikoanalysen Testingen styres av aktiva og kriterier fra risikoanalysen Risikodrevet testing: Systematisk bruk av risikoanalyse som en del av testingen Risikoanalysen styres av test objectives Technology for a better society 11

12 Testdrevet risikoanalyse Risk analysis Testing Bruk av testing for å støtte risikoidentifikasjon Sårbarheter, trusler, scenarier og uønskede hendelser, Establishing the context Risk identification Testing process Bruk av testing for å validere/korrigere analysen Sårbarheter, sannsynligheter, konsekvenser, Risk estimation Risk evaluation Risk treatment Testing process Technology for a better society 12

13 Risikodrevet testing Testing Test Planning Risk analysis Risikoanalyse for å identifisere hvilke deler av systemet som bør testes Prioriterte risikoer for å optimalisere testdesign Identifisere test-caser Test Design & Implementation Test Environment Set-up & Maintenance Risk analysis Risk analysis Risikoanalyse for å prioritere testcaser Test Execution Test Incident Reporting Technology for a better society 13

14 Oppsummering Aktiva og risikokriterier Establishing the context Kvalitetskriterier Test Test Planning objectives Communication and consultation Risk assessment Risk identification Risk estimation Risk evaluation Risikoer og Risk treatment behandlinger Monitoring and review Responstid Sikkerhet Trygghet Informasjonssikkerhet Tillit Fysisk sikkerhet Konfidensialitet Ytelse Pålitelighet Test Design & Implementation Test Environment Set-up & Maintenance Test Execution Rapportering av feil/hendelser Test Incident Reporting Technology for a better society 14

15 Videre lesning Gencer Erdogan, Yan Li, Ragnhild Kobro Runde, Fredrik Seehusen, Ketil Stølen: Conceptual framework for the DIAMONDS project. Technical report, SINTEF A22798, SINTEF ICT, 2012 International Organization for Standardization: ISO Risk management Principles and guidelines, 2009 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC Information technology Security techniques Information security management systems, 2005 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC Information technology Security techniques Information security risk management, 2011 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC 9126 Software engineering Product quality Part 1-4, International Organization for Standardization / International Electrotechnical Commission / Institute of Electrical and Electronics Engineers: ISO/IEC/IEEE Software and systems engineering Software testing (under development) Technology for a better society 15

16 Relaterte prosjekter Technology for a better society 16

Cyberspace og implikasjoner for sikkerhet

Cyberspace og implikasjoner for sikkerhet Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker

Detaljer

Komposisjon av risikomodeller:

Komposisjon av risikomodeller: Komposisjon av risikomodeller: Bruksscenarier og noen grunnleggende retningslinjer Seminar om hvordan aggregere risiko og risikoanalyser Bjørnar Solhaug SINTEF, 7. november, 2013 Technology for a better

Detaljer

Hvordan teste en risikomodell

Hvordan teste en risikomodell Hvordan teste en risikomodell Fredrik Seehusen Technology for a better society 1 Oversikt Når teste en risikomodell? Hvorfor teste en risikomodell? Hvordan teste en risikomodell? Hva kan testes i en risikomodell?

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Modelldrevet risikoanalyse med CORAS

Modelldrevet risikoanalyse med CORAS Modelldrevet risikoanalyse med CORAS Bjørnar Solhaug Seminar om risikostyring SINTEF, 27. januar 2011 1 Oversikt Hva er CORAS? Sentrale begreper Risikoanalyseprosessen Risikomodellering Oversettelse av

Detaljer

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA, Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05 ROS analyse for samfunnskritiske IKT systemer Utfordringer og muligheter 24/11-05 Hermann Steen Wiencke Proactima/Universitetet i Stavanger 1 Et samarbeid mellom Universitetet i Stavanger og Rogalandsforskning

Detaljer

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1 Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF, 2014-06-18 1 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016 Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern

Detaljer

Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen

Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen BegrensSkade fagdag 26.november 2015 Bjørn Kalsnes, NGI, DP 5 leder Torgeir Haugen, NCC 2015-11-26 BS fagdag 1 Innhold Hva er risiko?

Detaljer

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor

Detaljer

Hvilken standard angår oss i arkivdanningen?

Hvilken standard angår oss i arkivdanningen? Hvilken standard angår oss i arkivdanningen? Frokostmøte DOGA Geir Magnus Walderhaug regionsleder Norsk Arkivråd Region øst 29. februar 2012 ISO Standard Norge - andre ISO ikke eneste aktør Mange IT-standarder

Detaljer

Welcome to RiskNet open workshop

Welcome to RiskNet open workshop Welcome to RiskNet open workshop Norsk Regnesentral 2. April 2009 Ved prosjektleder RiskNet: Dag Haug. epost: dag.haug@nr.no Norwegian Computing Center Norwegian Computing Center is a private independent

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

ISO 55000-serien Asset management

ISO 55000-serien Asset management Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -

Detaljer

Risikostyring og systemsikkerhet i bygninger teori og praksis

Risikostyring og systemsikkerhet i bygninger teori og praksis Risikostyring og systemsikkerhet i bygninger teori og praksis Henrik Bjelland Ph.D., Seniorrådgiver Seksjon HMS- og Risikostyring Bakgrunn Bygninger er avanserte systemer Flere delsystemer skal virke sammen

Detaljer

IEC 61508. Hovedprinsipper og veiledning

IEC 61508. Hovedprinsipper og veiledning IEC 61508 Hovedprinsipper og veiledning Stein Hauge SINTEF Tlf: 75 17 33 70 / 930 18 395 haustein@online.no / stein.hauge@sintef.no 1 Bare måtte bruke IEC 61508 1 2 3 4 5 6 7 8 9 1010 1 1212 1313 1414

Detaljer

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001, INNHOLD OG STRUKTUR Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001:2016 Occupational health and safety managment systems Requirements with guidance for use Overordnet mål: forebygge

Detaljer

Nye standarder for risikoanalyse/-styring Revisjon av Norsok Z-013

Nye standarder for risikoanalyse/-styring Revisjon av Norsok Z-013 Nye standarder for risikoanalyse/-styring Revisjon av Norsok Z-013 Jan Erik Vinnem AS ESRA seminar 24.11.2009 Pres Z-013 jev 1 Oversikt Arbeidsprosessen & -gruppen Oversikt over standarden Innhold og omfang

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse Audun Jøsang SINTEF, mars 2014 God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet

Detaljer

Hvordan lage og bruke policyer i tillitshåndtering

Hvordan lage og bruke policyer i tillitshåndtering Hvordan lage og bruke policyer i tillitshåndtering Bjørnar Solhaug Seminar: Håndtering av tillit i elektronisk samvirke SINTEF, 5. november 2009 ICT 1 Oversikt Policy-basert tillitshåndtering Tillit Tillit

Detaljer

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 Oddmund Wærp Teknologisk Institutt email owa@ti.no Tlf. 934 60 292 TEKNOLOGISK INSTITUTT - HVEM VI ER Landsdekkende kompetansebedrift med hovedkontor

Detaljer

Technology for a better society

Technology for a better society Technology for a better society Research Director Eldfrid Ø. Øvstedal 1 SINTEF - Security Security and the society Risk- and vulnerability analysis of technical systems Evaluation of technical, human and

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

Når bør cyberrisiko forsikres?

Når bør cyberrisiko forsikres? Når bør cyberrisiko forsikres? Fredrik Seehusen 14. April, 2016 1 Oversikt Innledning Hvorfor er cyberrisiko viktig? Hvordan håndtere cyberrisiko? Når bør cyberrisiko forsikres? Hvordan gjøre kost-nytte

Detaljer

RS402 Revisjon i foretak som benytter serviceorganisasjon

RS402 Revisjon i foretak som benytter serviceorganisasjon Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

ISO 9001:2015 Endringer i ledelsesstandarder

ISO 9001:2015 Endringer i ledelsesstandarder ISO 9001:2015 Endringer i ledelsesstandarder 210 kollegaer Oslo (HK) Bergen / Ågotnes Stavanger Haugesund Trondheim Göteborg VÅRE VERDIER HENSIKT MED STANDARD REVISJONER

Detaljer

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse BRUK AV VERKTØY OG METODER I RISIKOSTYRING Kort om meg Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse 5 år i mnemonic,

Detaljer

Bedre prosjektvirksomhet med gode veiledere for prosjektledelse

Bedre prosjektvirksomhet med gode veiledere for prosjektledelse Bedre prosjektvirksomhet med gode veiledere for prosjektledelse Håvard O. Skaldebø, director, Metier AS 31.10. 2014 Litt prosjekthistorie på 4:14 min http://www.youtube.com/watch?v=vt3y2vd7348 Study reveals

Detaljer

Marin Prosjektering. IMT linjevalg 2012

Marin Prosjektering. IMT linjevalg 2012 1 Marin Prosjektering IMT linjevalg 2012 2 Marin prosjektering er å; Skape morgendagens marine systemer, og Forbedre dagens marine systemer. 3 Sentrale ferdigheter Analysere 4 Prosjektere marine systemer

Detaljer

Common Safety Methods

Common Safety Methods Common Safety Methods Johan L. Aase Sikkerhets- og Kvalitetssjef Utbyggingsdivisjonen Jernbaneverket ESRA - 11.11.09 Foto: RuneFossum,Jernbanefoto.no CSM Common Safety methods Common Safety Method on Risk

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

ISOs styringssystemstandarder et verktøy for forenkling

ISOs styringssystemstandarder et verktøy for forenkling 2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig

Detaljer

Cyber-forsikring til hvilken pris?

Cyber-forsikring til hvilken pris? Cyber-forsikring til hvilken pris? Hva betyr cyber-sikkerhet og cyber-risiko i kroner og øre? Bjørnar Solhaug Seminar om kost-nytte-analyse i en risikoevaluering SINTEF, 18. februar, 2015 1 Cyberspace

Detaljer

Internasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no

Internasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering SN/K186 Standard Norge, Komite 186 Norsk skyggekomite: ISO IEC/JTC1/SC36 CEN TC353 ISO/IEC JTC1/SC36 (ITLET)

Detaljer

ISMS for Offentlig sektor Dataforum

ISMS for Offentlig sektor Dataforum for Offentlig sektor Dataforum 6.12.12 Tone Thingbø Tel: 908 89 571 E-post: tone.thingbo@no.ey.com Tone Thingbø Samfunnsviter, cand.philol Lang erfaring fra virksomheter med høye krav til sikkerhet: Etterretningstjenesten

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI) Det handler om å vite 06.03.2014 Christopher Kiønig KAM (ISO27001 LI) Intro Watchcom Aktuelt trusselbilde Finger på pulsen Samarbeidet Watchcom og Cegal Q & A Watchcom Vi hjelper våre kunder med å forvalte

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Rutiner for samhandling mellom Mattilsynet og VKM vedlegg I sist revidert 12.10.2009

Rutiner for samhandling mellom Mattilsynet og VKM vedlegg I sist revidert 12.10.2009 Vedlegg I Regelverkets beskrivelse av risikoanalyse Matloven fastslår at I Norge skal risikovurderinger foretas av en uavhengig vitenskapskomité, som administrativt skal ligge under Helsedepartementet

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety

Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety KHMS dokumentasjon Kapittel 1 QHSE documentation Chapter 1 Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety Denne håndboken er / This manual is:

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Historie ISO 45001 2000 2007 2016 1. utgave OHSAS 18001:1999 Ny BS standard Oversatt til norsk Helse er tatt med Mer forenlig

Detaljer

Standarder med relevans til skytjenester

Standarder med relevans til skytjenester Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra

Detaljer

Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS

Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS Sammendrag I EU-prosjektet "A Framework for electrical power systems vulnerability identification, defence and Restoration" (AFTER) skal ny metodikk og

Detaljer

Strategi med kunden i fokus

Strategi med kunden i fokus Strategi med kunden i fokus 4. November 2016 Trond Winther, Head of Department SAFER, SMARTER, GREENER Innhold 1 Bakgrunn og utfordring 2 Strategi 3 Læringer 2 Our vision: global impact for a safe and

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

Oppsummering av State-of-theart artikler fra International Conference on Landslide Risk management, Vancouver. Presentert av Unni K.

Oppsummering av State-of-theart artikler fra International Conference on Landslide Risk management, Vancouver. Presentert av Unni K. Oppsummering av State-of-theart artikler fra International Conference on Landslide Risk management, Vancouver Presentert av Unni K. Eidsvig Bakgrunn for konferansen Skred er en av hovedtypene av naturlige

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

Brother original fargekassett Testmetode for å fastslå oppgitt sideytelse basert på ISO/IEC24711-standarden

Brother original fargekassett Testmetode for å fastslå oppgitt sideytelse basert på ISO/IEC24711-standarden Brother original fargekassett Testmetode for å fastslå oppgitt sideytelse basert på ISO/IEC24711-standarden Innholdsfortegnelse 1. Forord 2. ISO/IEC-standarden, generelt 3. ISO/IEC24711-standarden for

Detaljer

BUSINESS SERVICE MANAGEMENT

BUSINESS SERVICE MANAGEMENT Sykehuspartner BUSINESS SERVICE MANAGEMENT SQS Software Quality Systems Agenda Innledning Om Sykehuspartner Prosjektoversikt Ende til ende målinger Initielle behov og krav Business Service Management og

Detaljer

Hvordan håndheve sikkerhet med hensyn til endring

Hvordan håndheve sikkerhet med hensyn til endring Hvordan håndheve sikkerhet med hensyn til endring DeSPoT Tormod Vaksvik Håvaldsrud SINTEF April 19, 2012 1 Mitt doktorgradsarbeid Motivasjon Begrepsavklaring Eksempel DeSPoT : A Method for the Development

Detaljer

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Hvordan predikere sikkerhet mht. endring

Hvordan predikere sikkerhet mht. endring Hvordan predikere sikkerhet mht. endring Seminar om sikkerhetsstyring 19. april 2012 Aida Omerovic SINTEF IKT Nettbaserte systemer og tjenester aida.omerovic@sintef.no 1 Agenda Hvorfor predikere PREDIQT

Detaljer

Hvordan komme i kontakt med de store

Hvordan komme i kontakt med de store Hvordan komme i kontakt med de store Willy Holdahl, direktør Personal og Organisasjonsutvikling Kongstanken, 15 oktober 2010 The information contained in this document is Volvo Aero Connecticut Proprietary

Detaljer

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT Oversikt over metodar og teknikkar for å beskrive truslar Mass Soldal Lund SINTEF IKT Kva er trusselmodellering? Trusselmodellering kan sjåast som to ting: Metodar og teknikkar for å identifisere truslar

Detaljer

Velkommen til RiskNets åpne arbeidsmøte om VoIP

Velkommen til RiskNets åpne arbeidsmøte om VoIP Velkommen til RiskNets åpne arbeidsmøte om VoIP Norsk Regnesentral 24. juni 2009 Agenda for the kickoff meeting Agenda: 0900 0910 Velkommen v/ forskningssjef Åsmund Skomedal, NR 0910 0935 Kort telehistorikk

Detaljer

IT i Prosjektorienterte Bedrifter Harald Haugerud SAP Norge

IT i Prosjektorienterte Bedrifter Harald Haugerud SAP Norge IT i Prosjektorienterte Bedrifter Harald Haugerud SAP Norge SAP Norge AS 1999 SAP PS Oversiktspresentasjon (H.Haugerud) / 1 Facts & Figures SAP Omsatte for NOK 41 milliarder i 1999 ( 5,11 billion) 18%

Detaljer

Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar v Livar Haga

Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar v Livar Haga Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar 051109 v Livar Haga Quarters Drilling Process Wellhead Injection Valhall Platforms 2 Hvordan skrive en god

Detaljer

Standarder for informasjonssikkerhet Rune Ask

Standarder for informasjonssikkerhet Rune Ask Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC 27000 Oversikt

Detaljer

Cyberforsikring for alle penga?

Cyberforsikring for alle penga? Cyberforsikring for alle penga? Per Håkon Meland SINTEF IKT NHOs pensjons- og forsikringskonferanse November 2014 Teknologi for et bedre samfunn Informasjonssikkerhet i SINTEF Fagområder Programvaresikkerhet

Detaljer

ISO standard for vurderingssprosesser

ISO standard for vurderingssprosesser Internasjonal kvalitetssikring innen det arbeidspsykologiske ISO standard for vurderingssprosesser Norsk Standards Frokostmøte 07.05.2013 v/sverre L. Nielsen Seniorrådgiver Norsk Psykologforening Norsk

Detaljer

INF3221/4221 Phases, Decisions, Quality, Ethics

INF3221/4221 Phases, Decisions, Quality, Ethics INF3221/4221 Phases, Decisions, Quality, Ethics Christina Mörtberg 2006-01-31 1 IT design project Design project report and prototypes Competitive bid Contract MUST Implementation project 2 Visions of

Detaljer

Integritetsstyring Et verktøy for økt ytelse

Integritetsstyring Et verktøy for økt ytelse Integritetsstyring Et verktøy for økt ytelse Stig Brudeseth, MsC. Manager, Inspection Management Mye kontroll og lite ytelse? Vi utfører utstrakt kontroll av tilstand på utstyret vårt Kan vi få en merverdi

Detaljer

HMS og IKT-sikkerhet i integrerte operasjoner

HMS og IKT-sikkerhet i integrerte operasjoner HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO) 2 Eller historien

Detaljer

Design, gjennomføring og viderebruk av risikoanalyser. Per Myrseth 7. november 2013

Design, gjennomføring og viderebruk av risikoanalyser. Per Myrseth 7. november 2013 Design, gjennomføring og viderebruk av risikoanalyser Per Myrseth Agenda Intro Design og gjennomføring Viderebruk av risikoanalyser Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier Oppsummering

Detaljer

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Paul Torgersen Leder Metier Consulting 20. oktober 2014 Side 2 Innhold Hva er prosjektsuksess? Hva kjennetegner de beste? Mine

Detaljer

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak?

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak? Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak? Aida Omerovic Seminar om kost-nytte analyse i en risikoevaluering 18. Feb. 2015 SINTEF Technology for a better

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Aldrende innretninger status fra prosjektarbeid

Aldrende innretninger status fra prosjektarbeid Aldrende innretninger status fra prosjektarbeid Gerhard Ersdal 13 juni 2008 Prosjektets formål Sikre at aktørene tar ansvar for sine aldrende innretninger. Sikre at industrien har utarbeidet gode standarder

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

Internrevisjon i en digital verden

Internrevisjon i en digital verden Internrevisjon i en digital verden IIA Norge årskonferanse, Fornebu 29. 30. mai 2017 Services 1 Industry 4.0 Big Data 3D Printing Internet of Things Digitisation 2 Exponential organizations Disruption

Detaljer

DECRIS. Risk and Decision Systems for Critical Infrastructure (DECRIS. Risk and Decision Systems for Critical Infrastructure

DECRIS. Risk and Decision Systems for Critical Infrastructure (DECRIS. Risk and Decision Systems for Critical Infrastructure ECRIS: 1 forskningsinstitutt DECRIS Risk and Decision Systems for Critical Infrastructure (DECRIS Risk and Decision Systems for Critical Infrastructure (http://www.sintef.no/projectweb/samrisk/decris/)

Detaljer

Begrenset Fortrolig. T-2 Hilde Heber Deltakere i revisjonslaget Hilde Heber, Anne Gro Løkken, Ola Kolnes, Oddvar Øvestad og Sigurd Robert Jacobsen.

Begrenset Fortrolig. T-2 Hilde Heber Deltakere i revisjonslaget Hilde Heber, Anne Gro Løkken, Ola Kolnes, Oddvar Øvestad og Sigurd Robert Jacobsen. Revisjonsrapport Rapport Rapporttittel Tilsynet med ivaretakelse av arbeidsmiljø, materialhåndtering og beredskap i tidlig design av Goliat. Aktivitetsnummer 014229013 Gradering Offentlig Unntatt offentlighet

Detaljer

Hvordan monitorere sikkerhet med hensyn til endring

Hvordan monitorere sikkerhet med hensyn til endring Hvordan monitorere sikkerhet med hensyn til endring Olav Skjelkvåle Ligaarden Nettbaserte systemer og tjenester, SINTEF IKT Institutt for informatikk, Universitetet i Oslo Seminar om sikkerhetsstyring

Detaljer

Infrastructure (DECRIS)

Infrastructure (DECRIS) DECRIS: Risk and Decision Systems for Critical Infrastructure (DECRIS) Risk Et forskningsprosjekt and Decision Systems under SAMRISK for Critical Infrastructure (DECRIS Seminar, SAS Plaza, Oslo, 12. juni

Detaljer

SIKRING i et helhetsperspektiv

SIKRING i et helhetsperspektiv SIKRING i et helhetsperspektiv Semac er eid av Nokas Group. Nokas er Nordens ledende sikkerhetskonsern med virksomhet i Norge, Sverige og Danmark. Konsernet leverer sikkerhetsløsninger til over 150.000

Detaljer

Kvalitetssikringssystemer i IKT Agder

Kvalitetssikringssystemer i IKT Agder 9.4.2015 Kvalitetssikringssystemer i IKT Agder Kvalitetssikringssystemer 1 Innholdsfortegnelse 1 KVALITETSSIKRINGSSYSTEMER I IKT AGDER... 3 1.1 INCIDENT MANAGEMENT...3 1.2 CHANGE MANAGEMENT...3 1.3 PROBLEM

Detaljer

Grunnlag: 11 år med erfaring og tilbakemeldinger

Grunnlag: 11 år med erfaring og tilbakemeldinger Antenor Management System v5 Grunnlag: 11 år med erfaring og tilbakemeldinger Antenor Management System v5 AMS v5 første versjon lanseres 13. november 100% uavhengig plattform 100% dedikert til Quality

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

Real Time Release. Krav til kvalitetssystem og forventninger ved tilsyn. Bjørn Egil Olsen legemiddelinspektør Statens legemiddelverk

Real Time Release. Krav til kvalitetssystem og forventninger ved tilsyn. Bjørn Egil Olsen legemiddelinspektør Statens legemiddelverk Real Time Release Krav til kvalitetssystem og forventninger Bjørn Egil Olsen legemiddelinspektør Statens legemiddelverk Regelverk RTR - GMP Parametric Release: EU GMP, anneks 17 Den europeiske farmakopè

Detaljer

REVISJON AV COMPLIANCE-PROGRAMMER

REVISJON AV COMPLIANCE-PROGRAMMER REVISJON AV COMPLIANCEPROGRAMMER NIRF Årskonferanse 2017 Mads Blomfeldt BDO compliance og gransking 1 AGENDA Hva er et complianceprogram? Aktuelle standarder og beskrivelser av «beste praksis» Forventninger

Detaljer

Seminar om Samfunnssikkerhet og diskusjon av forskningsresultater

Seminar om Samfunnssikkerhet og diskusjon av forskningsresultater Seminar om Samfunnssikkerhet og diskusjon av forskningsresultater Tirsdag 6. oktober kl 09.30 16.00 Sted: S. P. Andersens v 5, Trondheim Program Møteleder: Lars Bodsberg, SINTEF 09.30 Velkommen, hvorfor

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Dokumentasjon av risiko på en måte som folk forstår

Dokumentasjon av risiko på en måte som folk forstår Dokumentasjon av risiko på en måte som folk forstår Folker den Braber Abelia-seminar 24. november 2005 tilgjengelighet e-postserver tilgjengelighet e-postserver e-postserver ute av drift tilgjengelighet

Detaljer