Styringssystem for informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Styringssystem for informasjonssikkerhet"

Transkript

1 Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi

2 Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering Hovedtilnærminger Utreder og analyserer Rådgiver, pådriver og samordner Utvikler og forvalter fellesløsninger

3 Statsbudsjettet for 2013 Nye midler til IKT-sikkerhet «skal nyttes til etablering av et kompetansemiljø i direktoratet som skal bli en pådriver for, og bidra til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen» Ny seksjon for informasjonssikkerhet i Avdeling for Digital forvaltning i Difi Opprettet (2 ½ stillinger med fra tidligere) Første rekrutteringsrunde ferdig (5 starter august 2013) Videre rekruttering høsten 2013

4 Difis tildelingsbrev 2013 Hovedmål 2: Offentlig sektor skal utnytte digitalisering til å tilby bedre tjenester og understøtte oppgaveløsningen Ett av oppdragene: Difi skal etablere en permanent enhet for informasjonssikkerhet. Enheten skal legge til rette for en felles tilnærming til informasjonssikkerheten i statsforvaltningen. Ett av resultatmålene: IKT-sikkerheten i statsforvaltningen blir styrket gjennom økt risikoforståelse og økt anvendelse av styringssystem.

5 Grunnlagsarbeid i 2012 Styringssystem og ISO-standarder Difi-rapport 2012:15 Innhold Hva handler dette egentlig om? (kap. 3) Erfaringer med og råd om innføring (kap. 4) Pålegg om bruk av ISOstandardene eller andre tiltak? (kap. 5)

6 Informasjonssikkerhet sikre konfidensialitet, integritet og tilgjengelighet NB! Kan være interesse- og målkonflikter som må balanseres, spesielt mellom konfidensialitet og tilgjengelighet

7 Tradisjonelt lite fokus på informasjonssikkerhet! Eventuelt i hovedsak på sikring av konfidensialitet / hindre adgang.? litt på etterlevelse av lover og regler spesielt rett etter spørsmål eller kritikk fra Riksrevisjonen? periodisk på virksomhetens/ledelsens omdømme? I liten grad systematisk ut fra virksomhetsmål, risikovurderinger og «Hva tjener vi på dette?»

8 Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko

9 Hva bør avgjøre sikringstiltak? Virksomhetsmål og sikkerhetsmål Usikkerhet dvs. risiko Akseptabelt risikonivå

10 Akseptabelt risikonivå mht. hva? Trusler Verdier Sårbarheter Uønskede hendelser

11 Risiko = Sannsynlighet X Konsekvens Trusler Verdier Sårbarheter Uønskede hendelser

12 Risiko = Sannsynlighet X Konsekvens Estimert fra: Statistikk (frekvens) Profesjonelt skjønn (motivasjon, ressurser, mulighet, naturgitte forhold, iverksatte tiltak mv.) Trusler Verdier Sårbarheter Alvorlighetsgrader innen: Samfunnsskade Personskade Omdømme Økonomi mv. Uønskede hendelser

13 Hva er akseptabelt risikonivå hos oss? Nøkkelspørsmål for ledelsen Hva er innholdet i skalaene hos oss? Hva er akseptabelt risikonivå hos oss? Hvilke strategier skal vi følge for rød, gul og grønn risiko?

14 Det handler om tilstrekkelig styring og kontroll Det er et topplederansvar å selv ha og å skape en organisasjon med tilstrekkelig styring og kontroll Styringsystem for informasjonssikkerhet er verktøyet

15 Hvor er så de statlige virksomhetene i dette bildet?

16 Revisjons- og tilsynsmyndighetene sier Tilstanden svært variabel Mange sikringstiltak, men få reelle styringssystem Hos mange står det dårlig til med styring og kontroll Mange sliter med å forstå hva et styringssystem er Mange har overordna mål og policy, men mangler tilhørende risikovurderinger kobling til valgte sikringstiltak avvikshåndtering jevnlige revisjoner ledelsesforankring

17 Hva er et styringssystem for informasjonssikkerhet? MOTSATT VEI FEIL VEI SNARVEI EN ANNEN VEI LUR VEI SÆREGEN VEI

18 et styringssystem? eller ledelsessystem? kvalitetssystem? internkontrollsystem? internkontroll? intern kontroll? internal control?. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike begrep på i hovedsak det samme

19 Og hvor brukes de Bruk Virksomhetsstyring Økonomistyring Kvalitetsstyring IT-styring HMS Miljøstyring Informasjonssikkerhet Samfunnssikkerhet Rikets sikkerhet Forankring/metodikk/veiledninger COSO-rammeverket/ Økonomiregelverket (++) ISO 9001 COBIT, TOGAF, ITIL, ISO Internk.forskr./OHSAS ISO 14001, Miljøfyrtårn ISO 27001,NIST, ISACA ISO 223x,. Sikkerhetsloven m. forskrifter

20 Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse

21 Tilsyn viser at folk mangler kompetanse, det gjelder både vanlige brukere, sikkerhetsledere og virksomhetsledere

22 Vi blir litt småforvirret her ute når DFØ, Difi, Datatilsynet, NSM osv. gir ut forskjellige veiledninger om det samme. Hva bør vi egentlig bruke?

23 Aller viktigst er forankring i toppledelsen fra start til slutt. Ledelsen må ikke komme inn på slutten og kun ende opp med en kort orientering Ledelsesforankring gir fart og retning Toppsjefen må ville ha gjennomføringen og gå foran som drivkraft for å få suksess

24 Det handler om tilstrekkelig styring og kontroll og er et topplederansvar

25 Regelverk og føringer om styring og kontroll innen informasjonssikkerhet

26 Økonomiregelverket i staten 4 Grunnleggende styringsprinsipper Alle virksomheter skal: a) fastsette mål og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler, herunder krav til god forvaltningsskikk, habilitet og etisk adferd c) sikre tilstrekkelig styringsinformasjon og forsvarlig beslutningsgrunnlag Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet

27 Flere krav om intern kontroll / internkontroll og risikostyring Prosesser, systemer og rutiner igangsatt av ledelsen og de ansatte for å gi rimelig sikkerhet for virksomhetens måloppnåelse innenfor Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler Den interne kontrollen skal være tilpasset egenart, samt risiko og vesentlighet. SSØ (2007) Hvordan få en god start på risikostyring i statlige virksomheter Jf. Økonomiregelverket i staten og Kommuneloven 23 (2) Jf. Coso-rammeverket og ISO styringssystemstandardene

28 Intern kontroll eller internkontroll? I denne rapporten blir omgrepet «internkontroll» nytta. Det ligg ikkje noko anna i det enn i «intern kontroll», som blir nytta av andre KRD (2009) 85 tilrådingar for styrkt eigenkontroll i kommunane Forskrift om internkontroll i sosial- og helsetjenesten er uttrykk for myndighetenes klare satsing på systematisk styring og kontinuerlig forbedring Helsedirektoratet (2004). Veileder. Hvordan holde orden i eget hus. Internkontroll i sosial- og helsetjenesten Difi 2012:15: tilstrekkelig styring og kontroll med informasjonssikkerheten (risikobasert)

29 eforvaltningsforskriften 13 (1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi) Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. (2) Sikkerhetsstrategien skal være utarbeidet i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet.

30 Referansekatalogen 3.1 fra Difi Pkt Det er anbefalt å benytte ISO/IEC ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller anbefales det å følge strukturen i ISO/IEC appendiks A og innholdsmessig støtte seg på ISO/ IEC Dersom en virksomhet allerede har et operativt styringssystem på andre områder(f.eks. i relasjon til ISO 9001, ISO eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO kravene innenfor rammene av det eksisterende styringssystemet.

31 Hovedelementene i styringssystemet (ISO/IEC 27001) Ledelsens policy for styringssystemet, Herunder mål, ansvar og akseptabelt risikonivå Oversikt viktig informasjon og øvrige viktige aktiva for informasjonssikkerheten Systematiske og periodiske risikovurderinger Anvendelseserklæring - toveis kobling mellom risiko og valgte sikringstiltak - ut fra ikke-akseptabel risiko Tiltaksplan for å implementere valgte sikringstiltak Hendelses- og avvikshåndtering Systematiske interne revisjoner Ledelsens gjennomgang minst en gang årlig

32 Strukturen på aktuelle tiltak ( appendix A i ISO jf ) Sikkerhetspolicy Organisering av informasjonssikkerhet Administrasjon av aktiva (informasjon m.v.) Personalsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Aksesskontroll Anskaffelse, utvikling og vedlikehold av informasjonssystemer Administrasjon av informasjonssikkerhetsbrudd Kontinuitetsplanlegging Samsvar (etterleve regelverk)

33 Digitaliseringsrundskrivet FAD P10/2012 pkt. 1.7 Virksomheten skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet.(jf. Difis referansekatalog versjon 3.1, pkt Styringssystem for informasjonssikkerhet) Denne internkontrollen kan med fordel være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v.

34 Det handler om tilstrekkelig styring og kontroll (internkontroll) og er et topplederansvar

35 Råd fra virksomhetene -1 (Difi-rapport 2012:15) Identifiser og synliggjør virksomhetens egennytte av et styringssystem for informasjonssikkerhet Bevisstgjør ledere på alle nivåer om deres faktiske ansvar innen informasjonssikkerhet Informasjonssikkerhetsansvarlige må se eget ansvarsområde i en større sammenheng, og gi ledelsen gode råd for å sikre helheten

36 Råd fra virksomhetene - 2 (Difi-rapport 2012:15) Helt essensielt at toppledelsen er aktiv som pådriver til innføringen for hele virksomheten Pass på at innføringen ikke blir et pålegg fra ledelsen uten at ledelsen har tatt eierskap Les ISO standarden Hva trengs? Gjør det enkelt Pass på oppdateringsutfordringen Få felles forståelse av akseptabel risiko

37 Råd fra virksomhetene - 3 (Difi-rapport 2012:15) Gjennomfør risikovurderinger systematisk og periodisk Sett inn kompetanse og resurser der det trengs spesielt i de første iterasjoner Sikringstiltak skal være koblet til risikoer Skap god kultur for avviksrapportering tolk ikke avvik som feil, kall det forbedringssystem Jobb systematisk med sikkerhetskulturen. Ha sikkerhet som fast tema i medarbeidersamtalene

38 Øvrige råd fra virksomhetene vurderinger fra Difi forklaringer om hva dette handler om og sammenhenger mellom styringssystem o.l. se kap. 3 og 4 i

39 Organisasjonskultur (herunder sikkerhetskultur) En enkel og vanlig definisjon: «Slik gjør vi det hos oss» En utdypende definisjon: «De sett av felles delte verdier, normer og virkelighetsoppfatninger som utvikles i en organisasjon når medlemmene samhandler med hverandre og med omgivelsene» Henning Bang

40 Samme definisjon nå illustrert Organisasjonsmedlemmer Samhandler Ytre Omgivelser Samhandler Samhandler Indre omgivelser Utvikler Organisasjonskultur Felles delte verdier, normer og virkelighetsoppfatninger Adferd former/styrer

41 Involvering og ansvarliggjøring av de ansatte Nødvendig for omforent forståelse av mål, akseptabel risiko, informasjonsverdier, risikovurderinger og sikringstiltak Avgjørende for en kulturutvikling som understøtter virksomhetenes sikkerhetsmål Avgjørende for kvaliteten på styringssystemet Avgjørende for etterlevelsesevne og handlingskompetanse

42 Hvem bør være involvert i sikkerhetsarbeidet? Toppledelsen Linjeledelsen Ansatte i linjene Sikkerhetsledelsen Ansvarlige IKT og bygg Alle skal med! men i ulike roller Sett inn nødvendige resurser og kompetanse der det trengs, når det trengs Utfør risikovurderinger! Vurder alltid alternative typer sikringstiltak - pedagogiske, organisatoriske, juridiske, tekniske, fysiske

43 Styringssystem for informasjonssikkerhet Er en forutsetning for en kontrollert og effektiv digitalisering «Gir oss styringsmulighet når vi må få opp farten»

44

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Sikkert nok - Informasjonssikkerhet som strategi

Sikkert nok - Informasjonssikkerhet som strategi Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Aggregering av risiko - behov og utfordringer i risikostyringen

Aggregering av risiko - behov og utfordringer i risikostyringen Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Statens økonomistyring som middel til å hindre systemsvikt

Statens økonomistyring som middel til å hindre systemsvikt Statens økonomistyring som middel til å hindre systemsvikt Juristenes fagdager Sandefjord 15. oktober 2009 Direktør Marianne Andreassen 26.10.2009 Senter for statlig økonomistyring Side 1 Senter for statlig

Detaljer

Risikostyring og intern kontroll i statlige virksomheter

Risikostyring og intern kontroll i statlige virksomheter Risikostyring og intern kontroll i statlige virksomheter Marianne Andreassen Direktør HIBO 26. oktober 2009 26.10.2009 Senter for statlig økonomistyring Side 1 Hvem er SSØ? Virksomhetsidé Som statens ekspertorgan

Detaljer

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle): Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens

Detaljer

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Ny styringsmodell for informasjonssikkerhet og personvern

Ny styringsmodell for informasjonssikkerhet og personvern Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet

Detaljer

Mål- og resultatstyring og risikostyring i staten (det offentlige)

Mål- og resultatstyring og risikostyring i staten (det offentlige) Mål- og resultatstyring og risikostyring i staten (det offentlige) Sjøfartsdirektoratet Haugesund 26. mars 2007 Marianne Andreassen Direktør i Senter for statlig økonomistyring Senter for statlig økonomistyring

Detaljer

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter

Detaljer

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014 HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014 1. Innledning og formål Instruksen er fastsatt av Finansdepartementet den 19. november

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Avito Bridging the gap

Avito Bridging the gap Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje

Detaljer

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Retningslinjer for risikostyring ved HiOA Dato siste revisjon: Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,

Detaljer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583 Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 Rapport 2012:15 ISSN 1890-6583 Forord Digitalisering er et viktig virkemiddel for å få en effektiv

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Strategisk bruk av evaluering i styringen. Direktør Marianne Andreassen Senter for statlig økonomistyring (SSØ) Evalueringskonferansen september 2011

Strategisk bruk av evaluering i styringen. Direktør Marianne Andreassen Senter for statlig økonomistyring (SSØ) Evalueringskonferansen september 2011 Strategisk bruk av evaluering i styringen Direktør Marianne Andreassen Senter for statlig økonomistyring (SSØ) Evalueringskonferansen september 2011 12.09.2011 Side 1 Effektiv ressursbruk Effektiv styring

Detaljer

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig

Detaljer

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av

Detaljer

Landbruks- og matdepartementet

Landbruks- og matdepartementet Landbruks- og matdepartementet 1 Landbruks- og matdepartementets budsjett og regnskap for 2015 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2015 (nysaldert budsjett) Samlet bevilgning Regnskap

Detaljer

Et revisjonsblikk på internkontroll

Et revisjonsblikk på internkontroll Et revisjonsblikk på internkontroll Ekspedisjonssjef Jens Gunvaldsen Riksrevisjonen PSC INTOSAI Professional Standards Committee Utgangspunkt I: Early history of internal control Internal controls have

Detaljer

Internkontroll i Gjerdrum kommune

Internkontroll i Gjerdrum kommune Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet

Detaljer

God virksomhets- og økonomistyring

God virksomhets- og økonomistyring God virksomhets- og økonomistyring Norsk folkehelseinstitutt 28. mars 2012 Direktør Marianne Andreassen 29.03.2012 Direktoratet for økonomistyring Side 1 Direktoratet for økonomistyring (DFØ) etat under

Detaljer

Grønt sykehus grønn standard

Grønt sykehus grønn standard Miljøledelse miljøsertifisering Grønt sykehus grønn standard Norsk forening for Sterilforsyning 05.06.2015 Mette Myhrhaug, spesialrådgiver kvalitet Vestre Viken HF Miljøstyring Grønt sykehus Bakgrunn Miljøstandarden

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Spørreundersøkelse om informasjonssikkerhet

Spørreundersøkelse om informasjonssikkerhet Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i

Detaljer

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai 2013 Side 1 Program Tid Tema Hvem 08:45-09:00 Registrering og kaffe 09:00 09:05 Velkommen Roger Bjerke, avdelingsdirektør Forvaltnings-

Detaljer

Kommunikasjon med ledelsen hva kan Difi bidra med?

Kommunikasjon med ledelsen hva kan Difi bidra med? Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS 21.02.2018 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet»

Detaljer

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014 Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk.

Detaljer

Direktør Marianne Andreassen

Direktør Marianne Andreassen Risikostyring i staten hvordan håndtere risikostyring i mål- og resultatstyringen PWC 6. juni 2007 Direktør Marianne Andreassen Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap Internkontroll i Bergen kommune Liv Røssland Byråd for finans, eiendom og eierskap TILSYNSFUNKSJON KONTROLLFUNKSJON Bystyrets tilsyn og kontroll Byrådets rapportering og informasjon til bystyrets organer,

Detaljer

Revisjon av styring og kontroll

Revisjon av styring og kontroll Revisjon av styring og kontroll Møte nettverk virksomhetsstyring 12. desember 2014 Direktoratet for økonomistyring Side 1 Agenda 09:00 09:15 10:00 10:15 11:00 11.30 Velkommen og innledning v/ DFØ Revisjon

Detaljer

Nettverk for virksomhetsstyring. Møte 6. juni 2014

Nettverk for virksomhetsstyring. Møte 6. juni 2014 Nettverk for virksomhetsstyring Møte 6. juni 2014 16.06.2014 Direktoratet for økonomistyring Side 1 Program 09.00-09.15: Innledning ved DFØ 09.15-10.15: Formål og innhold i instrukser, både i instruks

Detaljer

Statlig økonomistyring - styrket og forbedret. Direktør Marianne Andreassen

Statlig økonomistyring - styrket og forbedret. Direktør Marianne Andreassen Statlig økonomistyring - styrket og forbedret. Direktør Marianne Andreassen Senter for statlig økonomistyring - SSØ Visjon: Effektiv ressursbruk i staten Tromsø Vadsø Verdier: Serviceinnstilling, troverdighet,

Detaljer

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Fra sikkerhetsledelse til handling ambisjoner og forventninger Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4 Forventninger Statlige universiteter og høyskoler skal etterleve

Detaljer

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet

Detaljer

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Interkontroll i praksis - informasjonssikkerhet

Detaljer

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet,

Detaljer

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning Om Ikomm Lillehammer Hamar Askim 85 Ansatte ISO 9001 ISO 27001 30 000 Brukere 500+ Applikasjoner Norge Sverige Finland

Detaljer

Saksdokumenter: KR 23.1/11 Årsplan KR sak doc. Årsplan 2011 for de sentralkirkelige råd

Saksdokumenter: KR 23.1/11 Årsplan KR sak doc. Årsplan 2011 for de sentralkirkelige råd DEN NORSKE KIRKE KR 23/11 Kirkerådet, Mellomkirkelig råd, Samisk kirkeråd Oslo,15.-16.03. 2011 Referanser: MKR 06/11, SKR 07/11 Saksdokumenter: KR 23.1/11 Årsplan 2011 - KR sak 23-11.doc Årsplan 2011 for

Detaljer

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018 Nye arkivforskrifter arkivplan og internkontroll Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018 Norsk Arkivråd, 2018 Hva gjør vi med arkivplanen og internkontroll spesielt for stat De nye forskriftene

Detaljer

Saksframlegg. Styret Pasientreiser HF 24/04/2017

Saksframlegg. Styret Pasientreiser HF 24/04/2017 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 24/04/2017 SAK NR 08-2017 Oppdatert kontrollstrategi for reiser uten rekvisisjon våren 2017 Styret tar saken om kontrollstrategi

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Hvor ligger Forsvarets utfordringer for å bli ledende i forvaltningen mht. økonomistyring

Hvor ligger Forsvarets utfordringer for å bli ledende i forvaltningen mht. økonomistyring Hvor ligger Forsvarets utfordringer for å bli ledende i forvaltningen mht. økonomistyring Forsvaret 27. mars 2007 Direktør Marianne Andreassen Senter for statlig økonomistyring Side 1 Utfordringer og utviklingstrekk

Detaljer

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for Velkommen til Difis høstkonferanse om informasjonssikkerhet! Det er veldig hyggelig å se så mange. Informasjonssikkerhet har hatt et spesielt fokus nå i oktober ifbm sikkerhetsmåneden Men informasjonssikkerhet

Detaljer

Arbeidet med informasjonssikkerhet i statsforvaltningen

Arbeidet med informasjonssikkerhet i statsforvaltningen Difi-rapport ISSN 1890-6583 2018:4 Arbeidet med informasjonssikkerhet i statsforvaltningen Kunnskapsgrunnlag Forord Direktoratet for forvaltning og ikt (Difi) har på oppdrag fra Kommunal- og moderniseringsdepartementet

Detaljer

Krav til innhold i årsrapporter Om del IV i årsrapport: Styring og kontroll i virksomheten

Krav til innhold i årsrapporter Om del IV i årsrapport: Styring og kontroll i virksomheten Krav til innhold i årsrapporter Om del IV i årsrapport: Styring og kontroll i virksomheten V/ Helge Moe Spildrejorde DFØ Utgangspunktet for etatsstyringen Økonomiregelverket slår fast at departementet

Detaljer

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019 Orden i eget hus + styring og kontroll Hva er informasjonssikkerhet?

Detaljer

Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten

Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten Møte med ledende helsesøstre i 10. Mars 2017 Vibeke Larvoll Seniorrådgiver 1 Internkontroll (DFØ) https://www.youtube.com/watch?v=woifccsqogs

Detaljer

Samarbeidsforum internkontroll

Samarbeidsforum internkontroll Samarbeidsforum internkontroll 10. desember 2013 13.12.2013 Direktoratet for økonomistyring Side 1 Samarbeidsforum hjelp til selvhjelp! Bidra til å videreutvikle statlige virksomheters og departementers

Detaljer

Statsbudsjettet 2016 tildelingsbrev Rikskonsertene

Statsbudsjettet 2016 tildelingsbrev Rikskonsertene Rikskonsertene Postboks 4261 Nydalen 0401 OSLO Deres ref Vår ref Dato 16/990-22.02.2016 Statsbudsjettet 2016 tildelingsbrev Rikskonsertene Brevet er disponert i følgende deler: 1. Budsjettrammer 2. Mål

Detaljer

HOVEDINSTRUKS FOR HELSEDIREKTORATET

HOVEDINSTRUKS FOR HELSEDIREKTORATET HOVEDINSTRUKS FOR HELSEDIREKTORATET Fastsatt av Helse- og omsorgsdepartementet den 31.01.2012 1. Innledning Formal med instruksen og forhold til øvrig regelverk Formålet med instruksen er å angi myndigheten

Detaljer

Om del IV. Styring og kontroll i virksomheten

Om del IV. Styring og kontroll i virksomheten Om del IV. Styring og kontroll i virksomheten Utgangspunktet for etatsstyringen Økonomiregelverket slår fast at departementet har et overordnet ansvar for styring og kontroll av underliggende virksomhet

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Helhetlig arbeid med informasjonssikkerhet. Remi Longva Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke

Detaljer

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE ephorte: 2018/61949 Overlevert: 22.08.2018 OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE Innholdsfortegnelse 1 Om kartleggingen... 2 1.1 Innledning... 2 1.2 Formål... 2 1.3 Gjennomføring...

Detaljer

Gjelder fra: Godkjent av: Camilla Bjørn

Gjelder fra: Godkjent av: Camilla Bjørn Dok.id.: 1.3.1.1.0 Formål, mål og definisjoner Utgave: 2.00 Skrevet av: Camilla Bjørn Gjelder fra: 27.03.2017 Godkjent av: Camilla Bjørn Dok.type: Styringsdokumenter Sidenr: 1 av 5 1.1 Formålet med styrings-

Detaljer

Raskere digitalisering med god sikkerhet. Evry

Raskere digitalisering med god sikkerhet. Evry Raskere digitalisering med god sikkerhet Evry 18.03.2019 Zoya Shah Seniorrådgiver Avdeling for digital transformasjon Seksjon for informasjonssikkerhet Hvem er Difi Stortinget Regjeringen Kommunal- og

Detaljer

Egenevaluering av internkontrollen

Egenevaluering av internkontrollen Egenevaluering av internkontrollen Veiledning - egenevalueringsverktøy internkontroll Bakgrunn God praksis for internkontroll er beskrevet i flere rammeverk. COSO (Committee of Sponsoring Organizations

Detaljer

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner

Detaljer

Årsplan for de de sentralkirkelige råd KR, MKR og SKR

Årsplan for de de sentralkirkelige råd KR, MKR og SKR DEN NORSKE KIRKE KR 4/12 Kirkerådet, Mellomkirkelig råd, Samisk kirkeråd Oslo, 15.-16. mars 2012 Referanser: SKR 05/12, MKR 06/12 Saksdokumenter: KR 4.1/12 Årsplan 2012 - KR sak 4 12.doc Årsplan for de

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

HOVEDINSTRUKSFOR VIRKSOMHETSSTYRINGENI MAGENEMNDA FOR INDUSTRIELLERETTIGHETER

HOVEDINSTRUKSFOR VIRKSOMHETSSTYRINGENI MAGENEMNDA FOR INDUSTRIELLERETTIGHETER HOVEDINSTRUKSFOR VIRKSOMHETSSTYRINGENI MAGENEMNDA FOR INDUSTRIELLERETTIGHETER Fastsatt av Nærings- og handelsdepartementet 04.04.2013 INNHOLD 1 Innledning 3 2 Instruksensformål,virkeområdeogforholdtil

Detaljer

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av Instruks for Konsernrevisjonen Helse Sør-Øst Erstatter instruks av 26.02.2009 Fastsatt av styret i Helse Sør-Øst RHF 07.02.2012 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet...

Detaljer

Politikk for informasjonssikkerhet

Politikk for informasjonssikkerhet Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt

Detaljer

Økonomidirektør og sjefssamling 2015

Økonomidirektør og sjefssamling 2015 Økonomidirektør og sjefssamling 2015 Avd. dir. Arne Lunde, Bergen 23.04.15 Hva er intern kontroll 14 Intern kontroll Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll

Detaljer

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

INSTRUKS TIL DIREKTØREN FOR DIREKTORATET FOR ØKONOMISTYRING. Fastsatt av Finansdepartementet den 20. oktober 2014

INSTRUKS TIL DIREKTØREN FOR DIREKTORATET FOR ØKONOMISTYRING. Fastsatt av Finansdepartementet den 20. oktober 2014 INSTRUKS TIL DIREKTØREN FOR DIREKTORATET FOR ØKONOMISTYRING Fastsatt av Finansdepartementet den 20. oktober 2014 1 Instruksen er fastsatt av Finansdepartementet (FIN) den 20. oktober 2014 i medhold av

Detaljer

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden Krav til informasjonssikkerhet DRI1010 forelesning 26.03.2014 Jon B. Holden jobe@holden.no Dagens tema: Informasjonssikkerhet og eforvaltningsforskriften Hva er informasjonssikkerhet? Krav til informasjonssikkerhet

Detaljer

DFØs mål og samhandling med brukerne

DFØs mål og samhandling med brukerne DFØs mål og samhandling med brukerne Partnerforum 14. november 2011 Direktør Marianne Andreassen 24.11.2011 Direktoratet for økonomistyring Side 1 Nasjonal- og statsbudsjettet for 2012 Utgifter (forslag

Detaljer

Stortinget vedtok 9. desember 2015 Kulturdepartementets budsjett for 2016.

Stortinget vedtok 9. desember 2015 Kulturdepartementets budsjett for 2016. Norsk lokalhistorisk institutt Postboks 8045 Dep 0031 OSLO Deres ref Vår ref Dato 15/985-18.12.2015 STATSBUDSJETTET 2016 - TILDELINGSBREV Brevet er disponert i følgende deler: 1. Budsjettrammer for 2016

Detaljer