ISO27001 som del av forvaltningen

Størrelse: px

Begynne med side:

Download "ISO27001 som del av forvaltningen"

Rasmus Økland
7 år siden
Visninger:

1 ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory

2 Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor er standarden ift lovkravene? Internkontroll Hvor er standarden ift internkontroll? Oppsummering 1

3 Presentasjon Geir Arild Engh-Hellesvik Leder informasjonssikkerhetstjenesten i KPMG Norge Styremedlem i Cloud Security Alliance og ISACA Norway Chapters Informasjonssikkerhets tjenester i KPMG Cirka 25 medarbeidere knyttet til sikkerhetstjenester i KPMG med tverrfaglig kapasitet samarbeid med Watchcom Security Group Informasjonssikkerhetstjenesten dekker testing, revisjon, utvikling av ISMS (iht ISO27001, gjeldende lovverk, god internkontroll), utrulling/implementering, bevisstgjøring, opplæring m.m. KPMG er et ledende kompetansehus som tilbyr tjenester innen revisjon, skatt og avgift, samt rådgivning. I Norge er vi over 900 medarbeidere som skaper verdi av kunnskap i 25 byer over hele landet. Globalt har KPMG medarbeidere i 146 land. Sikkerhetstjenesten globalt sysselsetter cirka personer. 2

4 Krav til informasjonssikkerhet i lovverket

5 4

6 Lover og regler med krav til informasjonssikkerhet LOV OM BEHANDLING AV PERSONOPPLYSNINGER (PERSONOPPLYSNINGSLOVEN) FORSKRIFT TIL PERSONOPPLYSNINGSLOVEN (PERSONOPPLYSNINGSFORSKRIFTEN) LOV OM ELEKTRONISK SIGNATUR (ESIGNATURLOVEN) FORSKRIFT OM KRAV TIL UTSTEDER AV KVALIFISERTE SERTIFIKATER MV. LOV OM OPPHAVSRETT TIL ÅNDSVERK MV. (ÅNDSVERKLOVEN) LOV OM BOKFØRING (BOKFØRINGSLOVEN) MED FORSKRIFT (BOKFØRINGSFORSKRIFTEN) LOV OM KOMMUNER OG FYLKESKOMMUNER (KOMMUNELOVEN) LOV OM BEHANDLINGSMÅTEN I FORVALTNINGSSAKER (FORVALTNINGSLOVEN) FORSKRIFT OM ELEKTRONISK KOMMUNIKASJON MED OG I FORVALTNINGEN (EFORVALTNINGSFORSKRIFTEN) INSTRUKS FOR BEHANDLING AV DOKUMENTER SOM TRENGER BESKYTTELSE AV ANDRE GRUNNER ENN NEVNT I SIKKERHETSLOVEN MED FORSKRIFTER (BESKYTTELSESINSTRUKSEN) LOV OM ARKIV (ARKIVLOVEN) MED FORSKRIFTER FORSKRIFT OM BRUK AV INFORMASJONS- OG KOMMUNIKASJONSTEKNOLOGI (IKT- FORSKRIFTEN) FORSKRIFT OM RISIKOSTYRING OG INTERNKONTROLL (FORSKRIFT OM RISIKOSTYRING OG INTERNKONTROLL, FINANS) 5

7 LOV OM REGULERTE MARKEDER (BØRSLOVEN) FORSKRIFT OM KAPITALKRAV FOR FORRETNINGSBANKER, SPAREBANKER, FINANSIERINGSFORETAK, HOLDINGSELSKAPER I FINANSKONSERN, VERDIPAPIRFORETAK OG FORVALTNINGSSELSKAPER FOR VERDIPAPIRFOND MV. (KAPITALKRAVFORSKRIFTEN) LOV OM HELSEREGISTRE OG BEHANDLING AV HELSEOPPLYSNINGER (HELSEREGISTERLOVEN) LOV OM HELSEPERSONELL MV. (HELSEPERSONELLOVEN) FORSKRIFT OM PASIENTJOURNAL (JOURNALFORSKRIFTEN) FORSKRIFT OM BEHANDLING AV HELSEOPPLYSNINGER I NASJONAL DATABASE FOR ELEKTRONISKE RESEPTER (RESEPTFORMIDLERFORSKRIFTEN) LOV OM ARBEIDS- OG VELFERDSFORVALTNINGEN (ARBEIDS- OG VELFERDSFORVALTNINGSLOVEN) LOV OM SPESIALISTHELSETJENESTE (SPESIALISTHELSETJENESTELOVEN) FORSKRIFT OM FØRING AV KLIENTJOURNAL OG MEKLINGSPROTOKOLL VED FAMILIEVERNKONTORENE MV. (FORSKRIFT OM JOURNAL VED FAMILIEVERNKONTORENE) LOV OM ELEKTRONISK KOMMUNIKASJON (EKOMLOVEN) FORSKRIFT OM ELEKTRONISK KOMMUNIKASJONSNETT OG ELEKTRONISK KOMMUNIKASJONSTJENESTE (EKOMFORSKRIFTEN) LOV OM PRODUKSJON, OMFORMING, OVERFØRING, OMSETNING, FORDELING OG BRUK AV ENERGI MM. (ENERGILOVEN) MED FORSKRIFT (ENERGILOVFORSKRIFTEN) FORSKRIFT OM BEREDSKAP I KRAFTFORSYNINGEN (BEREDSKAPSFORSKRIFTEN FOR KRAFTFORSYNINGEN) 6

8 LOV OM FOREBYGGENDE SIKKERHETSTJENESTE (SIKKERHETSLOVEN) FORSKRIFT OM SIKKERHETSADMINISTRASJON FORSKRIFT OM INFORMASJONSSIKKERHET FORSKRIFT OM SIKKERHETSGRADERTE ANSKAFFELSER FORSKRIFT OM PERSONELLSIKKERHET LOV OM SCHENGEN INFORMASJONSSYSTEM (SIS-LOVEN) FORSKRIFT TIL LOV OM SCHENGEN INFORMASJONSSYSTEM (SIS-FORSKRIFTEN) 7

9 Krav til informasjonssikkerhet i forvaltningen Mange lover og forskrifter Enda flere når vi tar med EU direktiver mv. Karakteriseres av fragmentert og til dels lite samkjørt utforming Flere tilfeller der lover kommer i konflikt med hverandre Eks: Arkivloven og Personopplysningslovens sletteplikt Ikke lett å velge rett lov å forholde seg til Alle kravene flytter fokus fra god sikkerhet til god etterlevelse får vi god sikkerhet av det? 8

10 Kilde for listen IT-Sikkerhetsforum Veiledning lover og regler med betydning for informasjonssikkerheten 9

11 ISO 27001

12 ISO27001 Standarden gir retningslinjer for etablering, implementering, drift, vedlikehold, evaluering og forbedring av en organisasjons ledelsessystem for informasjonssikkerhet. Erstatter NS 7799 / BS 7799 Byggger også på andre standarder som ISO 17799:2005, ISO/IEC :2004, ISO/IEC TR :1998, ISO/IEC TR :2000, ISO/IEC TR 18044:2004 og OECD Guidelines for Security of Information Systems and Networks Towards a culture of security 11

13 Act Plan Do This lnternational Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Tilpasset andre ledelsessystem standarder som ISO 9001, ISO mv. hvor kontinuerlig forbedring av et system er inkludert (henholdsvis kvalitet og miljøvern). Check 12

14 Plassering av ISO27001 i lover og regler ISO27001 og 2 (tidl BS7799, ISO17799 mv) er allerede å finne igjen i en rekke lover og regler Personopplysningsforskriftens kap 2 Norm for informasjonssikkerhet i Helsesektoren IKT-forskriften (som ref POL/POF på dette punktet) Flere kommer til og forslag om innføring av krav til styring av informasjonssikkerhet iht ISO27001/2 er på bordet (ref Riksrevisjonen Dok1) 13

15 Informasjonssikkerhet og internkontroll

16 Målsetninger for internkontroll (her internkontrollforskriften) Virksomheten skal 1. ha tilgjengelig aktuelle lover og forskrifter og oversikt over viktige krav 2. sørge for at alle har tilstrekkelige kunnskaper og ferdigheter 3. sørge for at ansatte medvirker slik at kunnskap og erfaring benyttes 4. fastsette mål og strategisk retning for arbeidet (styrende dokumenter) 5. ha oversikt over organisasjon, ansvarsfordeling og hvem som gjør hva 6. Iverksette rutiner for å avdekke, rette opp og forebygge feil (avvikshåndtering) 7. systematisk overvåkning og gjennomgang/revisjon 15

17 Krav til prosesser for kontinuerlig forbedring og systematisk arbeid med Helse, Miljø og Sikkerhet foreligger og skal være etablert i norske offentlige virksomheter Disse prosessene kan brukes ved etablering av styringssystem for informasjonssikkerhet integrering av sikkerhetsarbeidet med eksisterende arbeidsprosesser 16

18 Hva gjør KPMG Bransjenormer Samler lov og regelkrav i ett omforent sett retningslinjer med forslag til konkrete rutiner og verktøy Forenkler etterlevelse av lover og regler for bransjen Sikrer at bransjen og tilsynsmyndigheten har en felles forståelse av beste praksis Kan bidra til å redusere arbeidet for den enkelte virksomhet med etablering av etterlevelse Eks: Norm for informasjonssikkerhet i helsesektoren, bransjenorm for inkassovirksomhet og pågående arbeid med bransjenorm for kollektivtrafikkbransjen i Norge. 17

19 Takk for oppmerksomheten! Geir Arild Engh-Hellesvik Leder Informasjonssikkerhetstjenester KPMG Norge E-post: Mobil:

20 Vi hjelper våre kunder med Styringssystem for informasjonssikkerhet (Information Security Management System) Utvikling av ISMS (iht ISO27001) Implementering / utrulling av ISMS Evaluering av ISMS og forbedring Risikohåndtering Etablere risikostyringssystem Gjennomføre risikovurderinger Policy og regelverk Utvikling av policy og regelverk Personvern Kartlegging av personopplysninger i virksomheten og behov for vern Vurdering av etterlevelse relevant lovverk Hendelseshåndtering og kontinuitetsplanlegging Utvikling av rutiner for hendelseshåndteringe, kontinuitetsplanlegging og katastrofeplanlegging Basert på standarden BS25999 Opplæring og bevisstgjøring Attestasjon 19

21 2011 KPMG AS, a Norwegian member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).

Like dokumenter

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens