Informasjonssikkerhet En tilnærming

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Informasjonssikkerhet En tilnærming"

Transkript

1 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming

2 EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet + Nettsky Hva kan vi hjelpe deg med? 2 SECURITY CONSULTANCY 2016

3 Hvorfor informasjonssikkerhet

4 EVRY Økt tilgjengelighet økt produktivitet og økt risiko Hva skal til for å håndtere dette? 4

5 EVRY Sikkerhet - Den menneskelig faktor 88 prosent av datainnbruddene er utløst av slendrian, særlig uvøren omgang med bærbare pc-er og mobile lagringsenheter. Innleide konsulenter og partnere er innblandet i 44 prosent av innbruddene. 5

6 EVRY Paralleller til sikkerhet i industrien? 6 Kilde : Sikkerhetskurs for Herøya

7 Phising test to company xxxxxxx 7

8 EVRY Noen eksempler 8

9 EVRY Hva er informasjonssikkerhet? Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon ikke uautorisert endres eller ødelegges (integritet), og at informasjon er tilstede og anvendelig for medarbeidere slik at pålagte oppgaver kan utføres (tilgjengelighet).«datatilsynets definisjon Informasjonssikkerhet må ses i tre dimensjoner: Proaktiv Nå Reaktiv 9

10 Vår tilnærming

11 EVRY Strategi & Sikkerhet Hvorfor sikkerhet? Hva skal sikres? Hvem skal det sikres mot? Hva skal til? Strategi og arkitektur Kjerne aktivitet Sikkerhetsledelse 12

12 EVRY Noen kontrollspørsmål Output examples: Har dere: Step 1 Definition of Security Policy Policy Document Sikkerhetshåndbok (i relasjon til informasjonssikkerhet og ikke farlig avfall)? Policies og prosesser med underliggende prosedyrer, rutiner, guidelines etc.? Implementert risikostyring (Hva holder deg våken om natten)? Utført en Business Impact Analysis (BIA)? Etablert et ISMS (Information Security Management System) eller annet type kvalitetssikringssystem? Step 2 Step 3 Step 4 Step 5 Step 6 Input examples: Threats, Impacts, Vulnerabilities Risk Management Strategy Additional Controls ISMS Framework Definition of ISMS Scope Risk Assessment Risk Management Selection of Controls Statement of Applicability Scope of the ISMS List of assessed risks Identified Weaknesses for Assets Strength of Controls and Implementation Statement of Applicability Document 17

13 EVRY The soft part is the hard part Systemer og verktøy er: Nødvendige for å støtte implementeringen Måle effekten av tiltak og korrigere Men skaper i seg selv ingen endring Varig forbedring skapes gjennom: Endrede holdninger Endret adferd Endrede vaner Endret kultur 13

14 Våre tjenester

15 Informasjonssikkerhet - Innsatsområder Security Audit & Audit support Ensure sufficient autonomy & ownership Support & show correct behaviour Mobility Security Compliance Management & Support Vulnerability testing & analysis Create sense and purpose in change Penetration Testing Security Culture ToolBox Deliveries in IT & information Security Business & IT Strategy & architecture ISMS Information Security Management System Security Management Business Continuity Management CMS Corporate Management System Risk Management ITSCM IT Service Continuity Management Policy, Prosesser, Prosedyrer & rutines Mobility Strategy BIA Business Impact Analysis 15

16 EVRY Informasjonssikkerhet Vår tjenesteportefølje Leveranser Business & IT strategi og arkitektur Informasjonsarkitektur System design og implementering IT Strategi Strategi for Sikkerhet og Informasjonssikkerhet Prosjekt- og Endringsledelse Business Continuity Proaktiv Nå Reaktiv Mobilitets kontroll.... Arkitekturvaluering og oppdatering System evaluering og oppdatering Sikkerhetsledelse og system Styring, policy og system Prosedyrer og rutiner Revisjon av systemer, prosedyrer og praksis Disaster Recovery Avviksbeskrivelser med korrigerende tiltak Verktøykasse Sårbarhetsanalyse Business Impact Analysis Risikoanalyse Sikkerhetsrevisjon Risikoanalyse Ansvarsmatrise (RACI) Service Failure Analysis Sikkerhetskultur Sikre aksept og eierskap Endring av holdninger og adferd Kompetanseutvikling Vurdering av behov for endringsstøtte Måling av endringsberedskap Måling av implementeringsgrad og gevinstrealisering Korrigerende tiltak 16

17 EVRY Prosess Security Delivery Model Phase 0 DG0 DG1 DG2 DG3 DG4 Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Business idea /Opportunity Service Strategy Analysis & Design Development Establish Delivery Chain Service in Production Anbefaling for implementering GAP analyse Risiko-/sårbarhets analyse Arkitektur/design Strategi og styring Innledende utfordringer og scope 17

18 EVRY Våre tjenester inkluderer Templates for implementering Inkluderer alle elementer som er relevant for de fleste kunder (store som små) Tilrettelagt for tilpasning til kundens behov og forretningsstrategi Prosesser, prosedyrer og rutiner Fast pris for: Oppstart og scoping Modulbasert implementering 18

19 Fokus i dag: Informasjonssikkerhet + Nettsky Du er her! Informasjonssikkerhet Informasjonsteknologi Regelverk 19

20 Nasjonale lover og forskrifter (informasjonssikkerhet) 20 KILDE: ISF 2008

21 Internasjonalt regelverk I (informasjonssikkerhet) 21

22 23 Eksempler på sektor-/bransjeføringer

23 24 Eksempler på retningslinjer i konsern/virksomhet

24 Tilnærming i praksis Våre erfaringer fra Cloud Planning Steg 1: Skaff deg oversikt over alle krav Svært få har full oversikt og alt på stell Steg 2: Lag deg et system / struktur Mye av dette driver du med allerede, men det er ikke satt i system (ref. ITIL) K.I.S.S. - Gjenbruk Steg 3: Gjennomfør nødvendige tiltak (eksempler fra POL/POF) Risikovurdering God sikkerhet Databehandleravtale Sikkerhetsrevisjon Oversikt ISMS (ISO/IEC 27001:2013) Improvement Context of the organization Leadership Planning Performance evaluation Support Operation 25

25 Hvem er vi

26 27 Børre Holmberg Henning Hogness

27 Takk for oppmerksomheten!

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 Oddmund Wærp Teknologisk Institutt email owa@ti.no Tlf. 934 60 292 TEKNOLOGISK INSTITUTT - HVEM VI ER Landsdekkende kompetansebedrift med hovedkontor

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA, Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001, INNHOLD OG STRUKTUR Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001:2016 Occupational health and safety managment systems Requirements with guidance for use Overordnet mål: forebygge

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Erfaringer fra en Prosjektleder som fikk «overflow»

Erfaringer fra en Prosjektleder som fikk «overflow» Erfaringer fra en Prosjektleder som fikk «overflow» Per Franzén, Project Manager August 30 th, 2017 ERFARINGER FRA EN PROSJEKTLEDER SOM FIKK «OVERFLOW» AV GDPR BEGREPER OG INSTRUKSER Purpose limitation

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert

Detaljer

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016 Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Historie ISO 45001 2000 2007 2016 1. utgave OHSAS 18001:1999 Ny BS standard Oversatt til norsk Helse er tatt med Mer forenlig

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Paul Torgersen Leder Metier Consulting 20. oktober 2014 Side 2 Innhold Hva er prosjektsuksess? Hva kjennetegner de beste? Mine

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er

Detaljer

ISOs styringssystemstandarder et verktøy for forenkling

ISOs styringssystemstandarder et verktøy for forenkling 2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig

Detaljer

NIRF Finansnettverk. Trond Erik Bergersen 24.1.2013

NIRF Finansnettverk. Trond Erik Bergersen 24.1.2013 NIRF Finansnettverk Trond Erik Bergersen 24.1.2013 Trond Erik Bergersen Hvem er det? IT revisor hva er det? 2 Rollefordeling Hovedstyret Sentralbankledelsen Hovedstyrets revisjonsutvalg Linjeorganisasjon

Detaljer

www.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt

www.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt En praktisk tilnærming til tjenestekatalog Svein Erik Schnell, Senior Consultant Steria AS Tine Hedelund Nielsen, Consultant Steria AS Steria Agenda

Detaljer

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

RS402 Revisjon i foretak som benytter serviceorganisasjon

RS402 Revisjon i foretak som benytter serviceorganisasjon Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Strategi med kunden i fokus

Strategi med kunden i fokus Strategi med kunden i fokus 4. November 2016 Trond Winther, Head of Department SAFER, SMARTER, GREENER Innhold 1 Bakgrunn og utfordring 2 Strategi 3 Læringer 2 Our vision: global impact for a safe and

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST

De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST IT-sikkerhetsledelse og -krav Geir Ove Rosvold AITeL/HiST Hva er informasjonssikkerhet? "Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon

Detaljer

Styring og ledelse av informasjonssikkerhet

Styring og ledelse av informasjonssikkerhet Styring og ledelse av informasjonssikkerhet SUHS-konferansen 30. oktober 2013 Øivind Høiem, CISA CRISC Seniorrådgiver UNINETT AS Mål for styring informasjonssikkerhet Målene for styring av informasjonssikkerhet

Detaljer

IT Service Management

IT Service Management IT Service Management Forelesning uke 7 Innhold Endringer Endringer i ITIL: Service Transition Endringer - en nødvendig onde? If it ain t broke don t fix it. De fleste supportsaker synes å skyldes endringer

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC 13.02.2013 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen

Detaljer

Schlumberger Norge AS Tilsynserfaring

Schlumberger Norge AS Tilsynserfaring Schlumberger Norge AS Tilsynserfaring Ptil Entreprenørseminar 31. oktober 2006 QHSE Coordinator Tore Nyegaard 1 Ptil tilsyn med HMS styring av Schlumberger Reservoir Evaluation Wireline 22.3.2006-23.3.2006

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

ISO 9001:2015 Endringer i ledelsesstandarder

ISO 9001:2015 Endringer i ledelsesstandarder ISO 9001:2015 Endringer i ledelsesstandarder 210 kollegaer Oslo (HK) Bergen / Ågotnes Stavanger Haugesund Trondheim Göteborg VÅRE VERDIER HENSIKT MED STANDARD REVISJONER

Detaljer

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01. Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt

Detaljer

Cyberspace og implikasjoner for sikkerhet

Cyberspace og implikasjoner for sikkerhet Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker

Detaljer

IT-forum våren 2004. ITIL et rammeverk for god IT-drift

IT-forum våren 2004. ITIL et rammeverk for god IT-drift IT-forum våren 2004 ITIL et rammeverk for god IT-drift Jon Iden, dr. polit Institutt for prosessutvikling og arbeidsflyt AS Institutt for informasjons- og medievitenskap, UiB Institutt for Prosessutvikling

Detaljer

Standarder med relevans til skytjenester

Standarder med relevans til skytjenester Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

Styringssystem basert på ISO 27001

Styringssystem basert på ISO 27001 Styringssystem basert på ISO 27001 Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere

Detaljer

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste

Detaljer

05/476-3984/05 200504500-/MB Erik Hansen, 55 97 65 00 01.12.2005

05/476-3984/05 200504500-/MB Erik Hansen, 55 97 65 00 01.12.2005 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo 05/476-3984/05 200504500-/MB Erik Hansen, 55 97 65 00 01.12.2005 Vurdering av helseforetakenes IKT-driftsfunksjoner Viser til brev fra Helse-

Detaljer

Quality Policy. HSE Policy

Quality Policy. HSE Policy 1 2 Quality Policy HSE Policy Astra North shall provide its customers highly motivated personnel with correct competence and good personal qualities to each specific assignment. Astra North believes a

Detaljer

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur

Detaljer

Risikostyring og informasjonssikkerhet i en åpen verden www.steria.com

Risikostyring og informasjonssikkerhet i en åpen verden www.steria.com Risikostyring og informasjonssikkerhet i en åpen verden Infosikkerhetsarkitektur i et risikostyringsperspektiv Ivar Aasgaard, seniorrådgiver Steria ivaa@steria.no, Mobil: 992 82 936 LinkedIn: http://www.linkedin.com/pub/ivar-aasgaard/0/255/639

Detaljer

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05 ROS analyse for samfunnskritiske IKT systemer Utfordringer og muligheter 24/11-05 Hermann Steen Wiencke Proactima/Universitetet i Stavanger 1 Et samarbeid mellom Universitetet i Stavanger og Rogalandsforskning

Detaljer

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens

Detaljer

Security events in Norway

Security events in Norway Security events in Norway Threats, risk and event handling Stig Haugdahl, CISO DSS Sikkerhed og revision 2013 Who am I? Master of Science in Engineering Civilingeniør kybernetik CISM ISACA SSCP (ISC)²

Detaljer

Kort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no

Kort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no Kort om IPnett - Hvem er vi? - Trapeze vs. Juniper - Uninett avtalen Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no IPnett AS Vollsveien 2b Pb 118 1325 LYSAKER

Detaljer

NOVUG 3 februar 2009

NOVUG 3 februar 2009 NOVUG 3 februar 2009 Tjenestekatalog og CMDB En kombinasjon som fungerer i praksis 2008 Prosesshuset AS All tillhørende informasjon kan bli endret uten varsel 1 Introduksjon Stig Bjørling Ellingsen Gründer

Detaljer

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER Neste generasjon ISO standarder ISO 9001 og ISO 14001 Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir

Detaljer

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet

Detaljer

Mål med prosjektet. proactima.com. Utvikle, markedsføre og selge den beste løsningen for Risikostyring og HMS ledelse for det globale markedet

Mål med prosjektet. proactima.com. Utvikle, markedsføre og selge den beste løsningen for Risikostyring og HMS ledelse for det globale markedet UXRisk PREPARED. Tema Målet med prosjektet hvilke utfordringer skulle løses Erfaringer fra samarbeid med et internasjonalt selskap Involvering av kunder Hvor er dere i dag. Erfaringer med Innovasjon Norge

Detaljer

Common Safety Methods

Common Safety Methods Common Safety Methods Johan L. Aase Sikkerhets- og Kvalitetssjef Utbyggingsdivisjonen Jernbaneverket ESRA - 11.11.09 Foto: RuneFossum,Jernbanefoto.no CSM Common Safety methods Common Safety Method on Risk

Detaljer

Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen?

Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen? Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen? Risikoidentifikasjon - IT Bjørn Jonassen Finansnettverket NIRF Agenda 1. Litt om meg 2. IT-Risiko bakgrunn 3. Risikoidentifikasjon

Detaljer

NIFS 9.september 2015

NIFS 9.september 2015 NIFS 9.september 2015 Sikkerhet i innbyggertjenester Balansen mellom tilgjengelighet, integritet og konfidensialitet Dato Dagens agenda Tid Agendapunkt Ansvarlig 09:00 Velkommen Thorbjørn Ellefsen 09:05

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Digitalisering og IT-modenhet, med spesiell vekt på offentlige virksomheter

Digitalisering og IT-modenhet, med spesiell vekt på offentlige virksomheter Digitalisering og IT-modenhet, med spesiell vekt på offentlige virksomheter Er vi modne for digitalisering? Hvor trykker skoen? EVRY Norge AS, Sak- og portaldagene April 2014 Peter Hidas Senior konsulent

Detaljer

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo, Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet

Detaljer

ISMS for Offentlig sektor Dataforum

ISMS for Offentlig sektor Dataforum for Offentlig sektor Dataforum 6.12.12 Tone Thingbø Tel: 908 89 571 E-post: tone.thingbo@no.ey.com Tone Thingbø Samfunnsviter, cand.philol Lang erfaring fra virksomheter med høye krav til sikkerhet: Etterretningstjenesten

Detaljer

Internrevisjon i en digital verden

Internrevisjon i en digital verden Internrevisjon i en digital verden IIA Norge årskonferanse, Fornebu 29. 30. mai 2017 Services 1 Industry 4.0 Big Data 3D Printing Internet of Things Digitisation 2 Exponential organizations Disruption

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Endringer i ISO-standarder

Endringer i ISO-standarder Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter

Detaljer

ISO 55000-serien Asset management

ISO 55000-serien Asset management Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

E-navigasjon 12-13 Juni 2014

E-navigasjon 12-13 Juni 2014 E-navigasjon 12-13 Juni 2014 SIKKER NAVIGERING Classification: Internal 2014-06-11 E-NAVIGASJON Introduksjon, Tor Arne Tønnessen Statoil hvem er vi E-navigasjon, hvorfor er det viktig for Statoil ECDIS,

Detaljer

Neste generasjon ERP-prosjekter

Neste generasjon ERP-prosjekter Neste generasjon ERP-prosjekter Jan-Olav Arnegård 27. okt 2016 Nøkkeltall 2015 22 Land der vi er direkte representert 36 BearingPoint-kontorer 67 Kontorer der vi er representert via vår globale alliansepartnere

Detaljer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år

Detaljer

Hvordan påvirker et varsel om tilsyn interne prioriteringer?

Hvordan påvirker et varsel om tilsyn interne prioriteringer? Hvordan påvirker et varsel om tilsyn interne prioriteringer? Tove Muravez, IT & Admin Manager 23. April 2013 1 DISPOSISJON Tilsynsvarsel trussel eller mulighet? Umiddelbare aksjoner Hvordan tar vi dette

Detaljer

Modelldrevet risikoanalyse med CORAS

Modelldrevet risikoanalyse med CORAS Modelldrevet risikoanalyse med CORAS Bjørnar Solhaug Seminar om risikostyring SINTEF, 27. januar 2011 1 Oversikt Hva er CORAS? Sentrale begreper Risikoanalyseprosessen Risikomodellering Oversettelse av

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

ISO27001 som del av forvaltningen

ISO27001 som del av forvaltningen ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

Information security in the Norwegian higher education sector Kenneth Høstland, CISA, CRISC

Information security in the Norwegian higher education sector Kenneth Høstland, CISA, CRISC Information security in the Norwegian higher education sector 2012-13.06 Kenneth Høstland, CISA, CRISC Contents Policy track RVA BCP/DRP and BIA 2 UFS Policy track Background Protection of personal data

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Kontinuitet for IKT systemer

Kontinuitet for IKT systemer Kontinuitet for IKT systemer Innledning til kontinuitetsplanlegging for IKT Rolf Sture Normann, CSO UNINETT AS Introduksjon IKT og andre automatiserte systemer er sentrale i de fleste organisasjoner i

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Delt opp i tre strategier: forretningststrategi, organisasjonsstrategi og informasjonstrategi.

Delt opp i tre strategier: forretningststrategi, organisasjonsstrategi og informasjonstrategi. Oppsummering infosys Strategier Delt opp i tre strategier: forretningststrategi, organisasjonsstrategi og informasjonstrategi. Forretningststrategi Porters modell - konkurransefordel Bedriften oppnår konkurransefordel

Detaljer

Nyttestyring og viktigheten av den gode kunde. Magne Jørgensen

Nyttestyring og viktigheten av den gode kunde. Magne Jørgensen Nyttestyring og viktigheten av den gode kunde Magne Jørgensen Hva er et vellykket IT-prosjekt? Suksess er kontekstavhengig, men bør minimum inkludere: Oppnådd nytte (gevinster, verdi, måloppnåelse, ROI)

Detaljer

Hvordan oppdatere fra gammel til ny standard i bedriften?

Hvordan oppdatere fra gammel til ny standard i bedriften? Hvordan oppdatere fra gammel til ny standard i bedriften? Risikostyrt Kvalitet og Miljø Quality Norway 1. februar 2016 Oppdatering av eksisterende «ledelsessystem» Planlegge og forankre Kartlegge og planlegge

Detaljer

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo, Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling

Detaljer

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Hvordan beste praksis rammeverk praktiseres aller best

Hvordan beste praksis rammeverk praktiseres aller best Hvordan beste praksis rammeverk praktiseres aller best Felles introduksjon til kurs 1A, 1B og 1C Ingar Brauti, RC Fornebu Consulting AS NOKIOS kurs tirsdag 29. oktober 2013 ingar.brauti@fornebuconsulting.com

Detaljer

Hva er vitsen med sikkerhetspolicies?

Hva er vitsen med sikkerhetspolicies? Hva er vitsen med sikkerhetspolicies? Ketil Stølen Oslo 23. november 2006 Innhold Hva er en policy? En policy er ikke en.. Overordnet struktur for en policy Hvordan klassifiseres policyer? Tre policymodaliteter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Service Level Management - ITIL Dato: 12.02.2009 Versjon 1.1 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets Service

Detaljer

2.13 Sikkerhet ved anskaffelse

2.13 Sikkerhet ved anskaffelse 2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag

Detaljer