Informasjonssikkerhet i UH-sektoren

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Informasjonssikkerhet i UH-sektoren"

Transkript

1 Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, juni 2012

2 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2

3 Bakgrunn Tradisjonelt: Sikkerhet = teknisk sikkerhet 80 % holdninger, 20 % teknologi 3 GigaCampus: Mer fokus på overordnet sikkerhetsarbeid Fra IT-sikkerhet til informasjonssikkerhet

4 Bakgrunn UNINETT-konferansen 2007: «GC setter sikkerhetspolicy på dagsordenen» «Grunnpakke» IT-revisjon Sikkerhetspolicy 4 Risiko- og sårbarhetsvurderinger (ROS-vurderinger), Kontinuitets- og beredskapsplaner (KBP), mv.

5 Hvem er «vi»? 5 personer fra UNINETT + 1 ekstern Nett- og systemavdeling + FAS Bakgrunn: sikkerhet, nett ++ 4 CISA + 3 i emning 5

6 Gjennomføring: IT-revisjon 1-dags «on-site» befaring, intervjuer, mv. Rapport med anbefalinger Konfidensiell! Sjekklister basert på ISO 27001/27002 og beste praksis Avstemt mot Datatilsynet og Riksrevisjonen 6

7 Gjennomføring: informasjonssikkerhetspolicy «Standard» policy 1-dags workshop: Tilpasning til lokale forhold 7 Sikkerhetsmål og -strategi Roller og ansvar Overordnede retningslinjer

8 Informasjonssikkerhetspolicy 8

9 Policy: dokumentstruktur 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. Styrende 2) Overordnede retningslinjer for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policyen. Styrende 3) Standarder og prosedyrer for informasjonssikkerhet inneholder detaljerte retningslinjer for implementering av sikkerhetsarbeidet. Gjennomførende og kontrollerende Hvorfor Hva Hvordan 9

10 Rutiner («Nivå 3- dokumenter») Forslag til noen av de viktigste rutinene IT-reglement Taushetserklæring Hendelses- og avvikshåndtering Klassifisering ROS-vurderinger 10 Ikke oppdatert på en stund lite tilbakemeldinger

11 Finansiering Tilbud til GigaCampus-deltagerne Finansiering: GigaCampus Fastpris for revisjon og policyworkshop Dette har vi fortsatt med 11

12 Deltagelse Hovedfokus på høgskolene og de nye universitetene Breddeuniversitetene har i stor grad egne ressurser 12

13 Resultater og erfaringer IT-revisjoner: 30 Resten: Internrevisjon 13 Andre eksterne Ikke svart Policyworkshops: 25 ROS: 8

14 Oppfølging 14

15 Resultater og erfaringer: funn Mangler sikkerhetsmål og -strategi Mangler IT-strategi Mangler ROS-vurderinger Mangler kontinuitets- og beredskapsplaner for IT Generelt lite dokumentasjon Vi etterspør ikke mye! Lovkrav + beste praksis ift. bl.a. avhengighet 15

16 Resultater og erfaringer: lovkrav Lov/forskrift POF 2-3 Skkerhetsmål og -strategi Hvor mange har oppfylt kravet? Ingen POF 2-12 KBP for IT Ingen POL 13 POF 2-4 POL 16-22, POF 3 Databehandleravtale med tredjeparter ROS-vurdering mht. info-sikkerhet Oversikt over personopplysninger Ingen Noen få Noen få 16 POF 2-6 System for avvikshåndtering Halvparten POF 2-5 Gjennomført revisjon Alle!

17 Resultater og erfaringer Den menneskelige faktor (PEBKAC) Dårlig forankring i ledelsen Dårlig ledelsesforankring gjør at IT-avdelingen setter sikkerhetsnivået ubalanserte tiltak Dette er ikke IT-avdelingens feil! 17

18 Hvorfor sikkerhetspolicy? Formulerer ledelsens mål og intensjoner for informasjonssikkerheten Felles platform for sikkerhet Overordnede og langsiktige føringer Retningslinjer og prosedyrer gir detaljert beskrivelse av tiltak; understøtter policy Felles plattform i UH-sektoren: understøtter samarbeid Viser at virksomheten tar sikkerhet på alvor It s the law! 18

19 Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet 19

20 Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert 20

21 Velbegrunnet sikkerhet? 21

22 Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert beskrive hva den dekker definere ansvar og kontaktpunkter angi hvordan brudd vil bli håndtert 22

23 Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert beskrive hva den dekker definere ansvar og kontaktpunkter angi hvordan brudd vil bli håndtert 23

24 Veien videre: Sekretariat for informasjonssikkerhet Sekretariat for informasjonssikkerhet Samme målgruppe IT-revisjon «første runde» ferdig Samme finansieringsmodell ROS-vurderinger Ledelsens gjennomgang BIA, og etter hvert: kontinuitets- og beredskapsplaner Oppfølging 24

25 Veien videre: ROS-vurderinger Lovpålagt: personopplysningsforskriften 2-5 Rammeverk basert på NSM/SSØ Har gjennomført på 3 institusjoner Personopplysninger IKT-infrastruktur 25

26 Veien videre: KBP for IT Personopplysningsforskriften 2-12 Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk Etablere rammeverk for KBP med standard prosedyrer mv. Utfordring: finne et passende nivå! Samarbeid med UMB og UIS 27

27 Veien videre: rammebetingelser Riksrevisjonens Dokument 1 Kritikk av DSS, KD Kunnskapsdep. vil legge større vekt på sikkerhet tildelingsbrev til UH-sektoren Sekretariat for informasjonssikkerhet Er i ferd med å bli etablert, 1 ny stilling i

28 En metodisk tilnærming til sikkerhet en risikostyrt tilnærming 30

29 Helt til slutt Kontakt:

30 TAKK FOR OPPMERKSOMHETEN! Spørsmål? 32

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av

Detaljer

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO) SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre

Detaljer

UNINETT-konferansen 2017

UNINETT-konferansen 2017 UNINETT-konferansen 2017 Erfaringer fra Sekretariatet for informasjonssikkerhet: landet rundt med ledelsessystem Rolf Sture Normann, leder Sekretariat for informasjonssikkerhet i UH -sektoren Startet i

Detaljer

Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian

Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian Litt historikk IT-sikkerhetsarbeidet ved UiS startet opp sammen med UNINETT og andre aktører i 2009. Formålet var å få en IT sikkerhetspolicy.

Detaljer

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Delområde av styringssystem for informasjonssikkerhet i UH -sektoren Versjon 1.0 1 Innholdsfortegnelse Forord...

Detaljer

Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC Internkontroll SUHS konferansen 07. November 2012 Kenneth Høstland, CISA, CRISC Innhold Internkontroll Regulatorisk forankring Ulike tilnærminger til internkontroll Litt om trusler Generelle erfaringer

Detaljer

Sikkerhetsforum i UH sektoren

Sikkerhetsforum i UH sektoren Sikkerhetsforum i UH sektoren Rolf Sture Normann CSO, UNINETT 13.-14. juni 2012 Om UNINETT Det norske forskningsnettet Eid av Kunnskapsdepartementet Ca 100 ansatte, 200 mill omsetning Gir nett og tjenester

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

INFORMASJONSSIKKERHETSPOLICY. Geir Tutturen IT-leder, UMB

INFORMASJONSSIKKERHETSPOLICY. Geir Tutturen IT-leder, UMB Geir Tutturen IT-leder, UMB - TRENGER VI DET? Et noe ledende spørsmål fra arrangøren. Krav om styringsdokumenter mht informasjonssikkerhet: Personopplysningsloven 13 og 14 Personopplysningsforskriften

Detaljer

Nytt fra sekretariatet

Nytt fra sekretariatet Nytt fra sekretariatet Sikkerhetsforum 2013 Øivind Høiem, CISA CRISC Seniorrådgiver Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

Risikovurdering av Public 360

Risikovurdering av Public 360 Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet

Detaljer

Høgskolen i Telemark Styret

Høgskolen i Telemark Styret Høgskolen i Telemark Styret Møtedato: 24.09.09 Saksnummer: Saksbehandler: Journalnummer: Arne Hatlen 2009/868 Fastsetting av policy for informasjonssikkerhet ved Høgskolen i Telemark Saken i korte trekk

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

VI BYGGER NORGE MED IT.

VI BYGGER NORGE MED IT. VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige Rolf Sture Normann CSO, UNINETT 07.-08. november 2012 Om UNINETT Det norske forskningsnettet Eid av Kunnskapsdepartementet Ca 100 ansatte, 200 mill

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Styret Helse Sør-Øst RHF 14. desember 2017

Styret Helse Sør-Øst RHF 14. desember 2017 Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. desember 2017 SAK NR 122-2017 ORIENTERINGSSAK - INFORMASJONSSIKKERHET OG PERSONVERN. NY PERSONVERNLOVGIVNING I EU/EØS (GDPR) Forslag til

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013 Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

UTS Operativ Sikkerhet - felles løft

UTS Operativ Sikkerhet - felles løft UTS Operativ Sikkerhet - felles løft Olaf.Schjelderup@uninett.no 15 november 2016 Velkommen! 2 UNINETT Teknisk Samling høst 2016 Mandag 14.11 Tirsdag 15.11 10 9 Trådløst Mellomvare Operativ sikkerhet UH-Sky

Detaljer

Informasjonssikkerhetsprinsipper

Informasjonssikkerhetsprinsipper Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer

Detaljer

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning Om Ikomm Lillehammer Hamar Askim 85 Ansatte ISO 9001 ISO 27001 30 000 Brukere 500+ Applikasjoner Norge Sverige Finland

Detaljer

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde UNINETT-konferansen 2017 24.10.17 Jan Gunnar Broch Direktoratet for e-helse, sekretariatet for Normen Side 1 Myndighet Sørge for

Detaljer

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Fra sikkerhetsledelse til handling ambisjoner og forventninger Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4 Forventninger Statlige universiteter og høyskoler skal etterleve

Detaljer

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Reidulf Fonn, seniorrådgiver Incident Response Team (IRT) heldagskurs, UNINETT fagdager 2017, 2. mai Departementets

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Sikkerhetskultur og informasjonssikkerhet

Sikkerhetskultur og informasjonssikkerhet Sikkerhetskultur og informasjonssikkerhet i UH-sektoren Sikkerhet & Sårbarhet 2013 Øivind Høiem, CISA CRISC Seniorrådgiver Om Øivind Seniorrådgiver ved UHsektorens sekretariat for informasjonssikkerhet

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Førsteamanuensis II, IDI, NTNU Om Difi Visjon: utvikle offentlig sektor Digitalisering

Detaljer

Policy. for. informasjonssikkerhet. ved NMBU

Policy. for. informasjonssikkerhet. ved NMBU Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING... 1 1.1 Bakgrunn...

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017 GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,

Detaljer

2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Policy for informasjonssikkerhet ved HSN

Policy for informasjonssikkerhet ved HSN Policy for informasjonssikkerhet ved HSN Side 1 av 15 Versjonskontroll Versjon Dato Endringsbeskrivelse HSN 1.0 16.09 2016 Policy for informasjonssikkerhet for HSN basert på Uninett/HiT-dokumenter bearbeidet

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Krav til informasjonssikkerhet i nytt personvernregelverk

Krav til informasjonssikkerhet i nytt personvernregelverk Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte

Detaljer

Universitetet i Stavanger Styret ved Universitetet i Stavanger

Universitetet i Stavanger Styret ved Universitetet i Stavanger Universitetet i Stavanger Styret ved Universitetet i Stavanger US 17/17 Revisjonsplan 2017 og revisjonsrapport om personvern og informasjonssikkerhet høst 2016 Saksnr: 15/06999-7 Saksansvarlig: Rolf Jegervatn,

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Styringssystem for informasjonssikkerhet ved Høgskulen i Volda

Styringssystem for informasjonssikkerhet ved Høgskulen i Volda Styringssystem for informasjonssikkerhet ved Høgskulen i Volda Basert på ISO/IEC 270001/02: 2013 Styringssystem for informasjonssikkerhet HVO versjon 2.1 13.11.2015 1 Innhold Innledning... 2 2 Risikostyring...

Detaljer

Perspektiver og planer ved Universitetet i Oslo

Perspektiver og planer ved Universitetet i Oslo Perspektiver og planer ved Universitetet i Oslo Nye personvernregler Maren Magnus Jegersberg Juridisk seniorrådgiver UiO Personvern handler om retten til et privatliv og retten til å bestemme over egne

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Universitetet i Agder. Policy for informasjonssikkerhet ved

Universitetet i Agder. Policy for informasjonssikkerhet ved UiA Universitetet i Agder Policy for informasjonssikkerhet ved Dato: 09.05.2011 Versjonskontroll Versjon Dato Endringsbeskrivelse 0.7 2009-11-19 Initiell versjon 0.8 2009-11-26 Etter workshop 2009-11-24

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Policy for informasjonssikkerhet ved U1S

Policy for informasjonssikkerhet ved U1S \I\ EkSLIÆrLf, \HLi: 05 AUG.2013 20in i Stava nger Policy for informasjonssikkerhet ved U1S Versjon:1.2 Dato: 10.04.2013 1.0 Policy for informasjonssikkerhet 4 1.1 Sikkerhetsmål 4 1.2 Sikkerhetsstrategi

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth

Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet Øivind Nyseth Styringssystem for informasjonssikkerhet Tema Litt om SLF Status, informasjonssikkerhet

Detaljer

Nettskyen, kontroll med data og ledelsens ansvar

Nettskyen, kontroll med data og ledelsens ansvar Nettskyen, kontroll med data og ledelsens ansvar SUHS-konferansen 2011 Per Arne Enstad, CISA,CISM 2 Hva kjennetegner en nettsky? Behovsbasert selvbetjening Høy konnektivitet Deling av ressurser Kapasitet

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Gustav Birkeland, seniorrådgiver IRT: Nettverkssamling for hendelsesresponsteam i UH-sektoren, UNINETT fagsamling

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken

Detaljer

Norges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU

Norges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU Norges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU Basert på ISO/IEC 270001/02:2013 Innhold INNLEDNING 3 BEGREPER OG DEFINISJONER 5 1. STYRENDE DEL 8 1.1 Policy

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014 Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk.

Detaljer

Internrevisjon Direktørmøte Høst 2015

Internrevisjon Direktørmøte Høst 2015 Internrevisjon Direktørmøte Høst 2015 Avd. dir. Arne Lunde, Oslo 17.november 2015 Hva er internrevisjon? Intern revisjon er en systematisk og uavhengig undersøkelse innen universitetets forvaltning som

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Informasjon interesseorganisasjoner

Informasjon interesseorganisasjoner Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13 Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 Forslag til vedtak: Styret tar IKT-strategi for perioden 2013 2016 til orientering. Vedlegg: Saksfremlegg

Detaljer

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hva skal vi snakke om? IT-sikkerhet et ledelsesansvar Trusler KRAV/BIA Kontinuitet og ROS Håndtering av IT-kriser

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Har du kontroll på verdiene dine

Har du kontroll på verdiene dine Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1 Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Styringsdokument for personvern, informasjonssikkerhet og beredskap Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 SAK NR 053-2011 Erfaringer og endelig oppsummering av internkontroll ved pasientreisekontorene

Detaljer

Årsplan 2014 for Underavdeling stab og støtte Møte med USITs seksjonssjefer

Årsplan 2014 for Underavdeling stab og støtte Møte med USITs seksjonssjefer 11. februar 2014 Årsplan 2014 for Underavdeling stab og støtte Møte med USITs seksjonssjefer UiOs føringer og mål! Hovedprioritering Grunnverdier (menneskerett, ytringsfrihet, demokrati, velferdsstat,

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer