Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet"

Transkript

1 Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig sektor. Høsten 2012 viste gjennomgangen at det snart ville foreligge nye standarder på området styring av informasjonssikkerhet. Høsten 2013 kom disse standardene på plass og dermed denne utredningen for å vurdere om og eventuelt når man skal peke på de nye versjonene av standardene på anvendelsesområdet. Denne utredningen danner grunnlaget for de råd Standardiseringsrådet gir Difi om hvilke standarder offentlig sektor bør ta i bruk på området styring av informasjonssikkerhet. I tillegg danner dette notatet sammen med møtereferatet fra Standardiseringsrådsmøte grunnlaget for høring av den reviderte listen over anbefalte og obligatoriske IT-standarder i offentlig sektor (Standardiseringsportalen). Denne utredningen danner også grunnlaget for endringen av tidligere planlagte standarder på anvendelsesområdet risikostyring av informasjonssikkerhet. Nye internasjonale versjoner av anbefalte standarder I Referansekatalogen over obligatoriske og anbefalte standarder for norsk forvaltning er ISO/IEC 27001:2005 og ISO/IEC 27002:2005 med nærmere spesifiseringer anbefalte til bruk på området styringssystem for informasjonssikkerhet 1. Disse standardene har nå vært gjennom et omfattende internasjonalt revisjonsarbeid kom ISO med de nye versjonene ISO/IEC 27001:2013 og ISO/IEC 27002:2013. På Norsk Standard sine nettsider sies det i tilknytning til disse at versjonene er «tilbaketrukket». Norsk Standard opplyser at deres tilsvarende versjoner NS-ISO/IEC 27001:2013 og NS-ISO/IEC 27002:2013, som kun har norsk forside og ellers er som de engelske originalversjonene, er forventet klare primo november De gamle utgavene, fra 2005, trekkes samtidig tilbake. I og med at det tar litt tid før det foreligger nye oppdaterte utgaver av (implementasjonsråd), (metrikker) og (Oversikt og termer) sier Standard Norge at det antakeligvis er viktig for noen at de tilbaketrukne standardene er å få tak i, og at de regner med at blir en tilrettelagt ordning for de som har slike behov når de nye versjonene blir tilgjengelig. Standardene er ikke gratis tilgjengelig, men må kjøpes fra Standard Norge eller tilsvarende. Dette gjelder både Standard Norge sine og de internasjonale. På bakgrunn av endringene i de internasjonale standardene bør Difi ta stilling til om det bør gjøres endringer i anbefalingene i Referansekatalogen for de standarder som er omtalt der og omfattet av versjonsendringene. Det er samtidig naturlig å klargjøre status mht. eventuelle anbefalte forvaltningsstandarder for risikostyring av informasjonssikkerhet. Dette har vært behandlet tidligere 1 I de første gjengivelsene av Referansekatalogen 3.1 ble årstallet (utgaven) ved en inkurie utelatt. Det lå implisitt at anbefalingene gjaldt 2005-versjonen (den siste). Dette er nå i ferd med å bli presisert i oppdtaringer av Referansekatalogen der årstall/versjon er tatt med for disse standardene. Side 1 av 14

2 uten at Difi har valgt å gjøre bestemte standarder til forvaltningsstandarder gjennom Referansekatalogen. Historikk og betydning i offentlig forvaltning Notat Etter et omfattende forarbeid anbefalte Difi , i referansekatalogen v. 3.1, å benytte ISO 27001:2005 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller anbefales det å følge strukturen i ISO/IEC appendiks A og innholdsmessig støtte seg på ISO/ IEC Det ble videre presisert at dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO kravene innenfor rammene av det eksisterende styringssystemet 2. Dette var første gangen det ble gitt en formell anbefaling om en felles og internasjonalt basert forvaltningsstandard for styring av informasjonssikkerhet i norsk forvaltning. Tydelighet om en slik felles anbefaling var noe mange hadde etterspurt. Det er etter vår vurdering grunn til å tro at denne klargjøringen vil gjøre det lettere å bygge opp relevant kompetanse og etablere og følge opp god styring av informasjonssikkerheten i alle offentlige virksomheter. Målgruppen med anbefalingen er både etatsstyrere i departementene, virksomhetsledere, kvalitetsledere og sikkerhetsledere i staten og tilsvarende i kommunene. Som anbefalt forvaltningsstandard gjelder anbefalingen både stat og kommune. Anbefalingen vil også være viktig for utviklere av regelverk og konkrete veiledninger både innen informasjonssikkerhet og tilgrensende områder. Fornyings- og administrasjonsdepartementet (FAD) tok dette raskt videre og gjennom Digitaliseringsrundskrivet (P ) presiserte de at statlige virksomheter skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Her henviste de til ovennevnte punkt i Referansekatalogen. Rundskrivet sa videre at denne internkontrollen med fordel kan være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v. De samme føringene er gjengitt i det oppdaterte Digitaliseringsrundskrivet P4-2013, datert Med rundskrivets krav og videre henvisning til Difis anbefalinger i referansekatalogen, er det nå ikke lenger uklart hva statlige virksomheter bør basere seg på, dersom de ikke har velbegrunnede alternativ. Formuleringene i Digitaliseringsrundskrivet gir samtidig handlingsrom for bruken av de anbefalte standardene ut fra virksomhetens egenart samt risiko og vesentlighet. Dette i samsvar med de overordnede føringene for intern kontroll i økonomiregelverket i staten. FADs presisering av at denne internkontrollen med fordel kan være en integrert del av virksomhetenes helhetlige styringssystem, anses også som et viktig signal for å få virksomhetene til å ta de riktige helhetlige vurderingene før de starter implementeringen. 2 Jf. den fullstendige teksten gjengitt i vedlegg 2 3 Jf. den fullstendige teksten gjengitt i vedlegg 3 Side 2 av 14

3 Digitaliseringsrundskrivet kan etter vår vurdering også sees på som en tydeliggjøring av eforvaltningsforskriftens 13. I Difis rapport 2012:15 4 foreslår Difi at eforvaltningsforskriftens 13 revideres og presiseres med i hovedsak det innhold og den tolkning av Digitaliseringsrundskrivet som er gitt over. I et forslag 5 om flere endringer i eforvaltningsforskriften, som nylig var til høring med høringsfrist , har FAD fulgt opp dette. Der er 13 foreslått oppdatert og harmonisert med føringene i Digitaliseringsrundskrivet. I tillegg til harmoniseringen vil de tydeliggjorte føringene også gjelde for kommunene. Det er etter vår vurdering grunn til å tro at både rundskrivet og harmoniseringen med eforvaltningsforskriften vil sørge for at det blir bedre kjennskap i hele offentlig sektor om både den anbefalte standardene og rundskrivet/forskriftens presiseringer. Videre at ledere på alle nivå i større grad vil se styringssystem for informasjonssikkerhet som en del av den ordinære internkontrollen og noe som med fordel kan integreres i eksisterende styringssystem. En må også kunne forvente at rundskrivet og den trolige forskriftsendringen vil medfører at flere virksomhetsledere retter fokus på status innen området i egen virksomhet, og ut fra dette starter arbeidet med forbedringstiltak. Tilsvarende at en del etatsstyrere i større grad tar opp temaet i etatsstyringen, og at relevante statusundersøkelser og forbedringstiltak blir iverksatt i virksomhetene som følge av dette. Versjonsendringer i ISO/IEC og ISO/IEC I Difis rapport 2012:15 er de (da) kommende endringene omtalt. Der heter det om 27001: I den nye versjonen av ISO som trolig kommer høsten 2013 er det forventet en vesentlig omstrukturering av innholdet i standarden. Dette bl.a. for å oppnå større harmonisering med andre styringssystemstandarder som ISO Selve innholdet forventes det imidlertid ikke vesentlige endringer i, bortsett fra tillegg av noen nye sikringsområder som bør vurderes. I tillegg forventes det som nevnt at den såkalte Plan-Do-Check-Act modellen tones ned eller fjernes helt i den nye versjonen av standarden. Dette synes å ha vært en rimelig riktig beskrivelse av endringene. The British Standards Institution (BSI) sier nå følgende 6 om hovedendringene: What are the main changes? The revised standard has been written using the new high level structure, which is common to all new management systems standards. This will allow easy integration when implementing more than one management system 4 Styringssystem for informasjonssikkerhet. Erfaringer med og anbefalinger om standardene ISO og ISO (Difi, Rapport 2012:15) 5 Jf. den fullstendige forslagsteksten gjengitt i vedlegg 1 pkt. 4 eller omtalt i pkt. 6.4 og gjengitt i pkt. 11 i høringsnotatet 6 Jf. Side 3 av 14

4 Terminology changes have been made and some definitions have been removed or relocated Risk assessment requirements have been aligned with BS ISO Management commitment requirements have a focus on leadership Preventive action has been replaced with actions to address, risks and opportunities SOA requirements are similar, with more clarity on the need to determine controls by the risk treatment process Controls in Annex A have been modified to reflect changing threats, remove duplication and have a more logical grouping. Specific controls have also been added around cryptography and security in supplier relationships. Greater emphasis is on setting objectives, monitoring performance and metrics Dette er videre utdypet i BSI sitt fritt nedlastbare «transition guide» dokument 7 «Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013». Der heter det at ISO/IEC 27001:2013 først og fremst er en revisjon som tar opp i seg de praktiske erfaringene ved bruken av standarden. Dette er den første revisjonen av ISO/IEC Det pekes samtidig på to andre viktige innflytelser på revisjonen. Det første er ISO sine nye krav om at alle nye og reviderte styringssystemstandarder skal møte de samme kravene til overordnet struktur og benytte samme kjernetekst. Dette for å gjøre det lettere for virksomhetene å implementere og etterleve standardene i helhetlige styringssystem som dekker flere områder. Det andre viktige innflytelsen var beslutningen om koble ISO/IEC til prinsippene og veiledningen i ISO (risk management). Dette også for å legge til rette for at virksomheter kan benytte den samme risikovurderingsmetodikk på tvers av flere disipliner. Et godt eksempel på dette er at identifikasjon av verdier, trusler og sårbarheter ikke lenger er et krav for å identifisere informasjonssikkerhetsrisikoer. Det blir opp til virksomhetene om de finner denne eller andre tilnærminger hensiktsmessig. Videre er vedlegg A i ISO/IEC og tiltaksmål og tiltak i ISO/IEC tett koblet også i den nye versjonen. Vedlegg A i er dermed justert og harmonisert i tråd med revisjonen av aktuelle sikringsmål og tiltak i For mer detaljerte utdypninger om endringer i ISO/IEC viser vi til vedlagt «transition guide» dokument fra BSI ISO/IEC I Difis rapport 2012:15 er de (da) kommende endringene i ISO/IEC omtalt som følger: I den nye versjonen av ISO som trolig kommer høsten 2013, forventes det en del endringer på struktur i dokumentet. Det kommer også til noen nye mål, sikringstiltak og retningslinjer for noen nye områder. Det forventes også noen mindre endringer i tidligere mål, sikringstiltak og retningslinjer. 7 Jf. Vedlegg 5 her eller transition-guide-uk-en-pdf.pdf Side 4 av 14

5 Dette synes også i hovedsak å være rimelig riktig. I BSI sin nye omtale 8 av ISO/IEC 27002:2013 heter det: Whilst many of its controls in BS ISO/IEC 27002:2013 are unchanged from the 2005 edition, the associated guidance text has been thoroughly reviewed and updated. Some controls have been removed or combined as they are no longer considered best practice in today s highly interconnected world. Other controls have been clarified or reworded. New controls have been added, addressing developments in technology such as cloud computing and new management challenges such as supplier chain relationships. I BSIs tidligere refererte «transition guide» for ISO heter det: During the revision of ISO/IEC the number of controls has been reduced from 133 controls to 114 controls, and the number of major clauses has been expanded from 11 to 14. Some controls are identical or otherwise very similar; some have been merged together; some have been deleted and some are new. It is important to appreciate that the usefulness of a control to an organization should not change because it has been removed from Annex A. In accordance with Clause 6.1.3, controls are now determined on the basis of risk treatment. If an organization wishes to treat particular risks by deliberately not connecting a computer to the Internet or other networks, then it will need to use a control like the old A regardless of whether it is in Annex A or not. Konsekvenser av versjonsendringene De som allerede har et velfungerende styringssystem Etter vår vurdering er det ingen dramatiske endringer i ISO/IEC 27001:2013 som gjør at offentlige virksomheter som allerede har et velfungerende styringssystem basert på ISO/IEC 27001:2005 umiddelbart må gjøre vesentlige endringer i sitt styringssystem. For de fleste av disse virksomhetene vil det være naturlig å gjennomføre endringene gradvis eller stegvis som en naturlig del av den kontinuerlige forbedringen som tidligere lå i Plan-Do-Check-Act prosessen og som nå ligger i det spesifikke kravet om kontinuerlig forbedring 9. Som BSI er inne på i sin «transition guide» er sentrale endringer i denne standarden en oppsummering av erfaringer og forbedringsmuligheter gjort av mange. En oppdatering av anbefalingene i referansekatalogen bør synliggjøre at den nye versjonen av standarden kan implementeres på denne måten. Med det til grunn kan vi ikke se at en endring i anbefalingene fra 2005-versjonen til 2013-versjonen vil medføre spesielle kostnader for virksomhetene som de ellers ikke naturlig ville fått. En viss kostnad vil det likevel ligge i å gjøre seg kjent med den nye standarden og foreta de justeringer en selv ser er nødvendig. Dette er imidlertid kostnader som naturlig må sees som driftskostnader ved å ha tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet. Den strukturelle endring som 8 Jf. 9 Jf. pkt 10.2 i ISO/IEC 27001:2013 Side 5 av 14

6 ligger i harmonisering av alle styringssystemstandardene har også et gevinstpotensiale for virksomheter som eventuelt opererer med ulike styringssystem for en rekke forskjellig områder. Dette kan bli lettere å få synliggjort og ta ut med basis i den nye versjonen ISO/IEC 27001:2013. Det er også verdt å merke seg følgende vurdering og nyttepotensiale fra Difis rapport 2012:15 s. 58: Det synes samtidig som om virksomhetene som etablerer helhetlige styrings- og kvalitetssystem med forankring i virksomhetens arbeidsprosesser, når bedre ut i hele organisasjonen med relevante risikovurderinger og bevissthet om informasjonssikkerhet. Den viktigste oppdateringen for de som allerede har et velfungerende styringssystem er etter vår vurdering de nye tiltakene i vedlegg A i ISO 27001:2013 med tilhørende utdypninger og veiledninger i ISO 27002:2013. For høye risikoer bør det anbefales at også slike virksomheter tidlig vurderer de oppdateringer og endringer som ligger i vedlegg A i ISO/IEC27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013. Som Difi sier videre i rapport 2012:15: Samtidig synes god sikkerhetskompetanse å være avgjørende for forståelse av trusler og sannsynlighet og for målrettet etablering og etterlevelse av de konkrete sikkerhetstiltakene. De som ikke har et velfungerende styringssystem Etter vår vurdering inneholder ikke ISO/IEC 27001:2013 element som gjør det dyrere å etablere et styringssystem etter denne versjonen enn 2005-versjonen. Som anbefaling til virksomheter som står i startgropen eller har behov for store forbedringer, vil det tvert om måtte ansees som en fordel at anbefalingene er basert på oppdaterte erfaringer. Den harmonisering som tidligere er omtalt av styringssystemstandardene som den nye versjonen av ISO 27001:2013 er en del av, vil etter vår vurdering også lettere kunne gi mer sammenhengende og helhetlige styringssystem i virksomhetene, skape større forståelse, forankring og effekt også for informasjonssikkerheten, redusere kostnader ved etablering av flere styringssystemvarianter og understøtte FAD sine anbefalinger og føringer fra Digitaliseringsrundskrivet om helhetlige styringssystem. Den samme harmoniseringseffekten kan den sterkere og mer synlige koblingen til ISO gi. Her reiser det seg samtidig et mulig behov for ytterligere presiseringer og veilednigner når det gjelder anbefalinger om metodikk for risikovurderinger som vi kommer tilbake til under. Et oppdatert vedlegg A i ISO 27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013, anser vi også som en svært positiv forbedring for de virksomheter som står i startgropen eller har behov for store forbedring. Også på tiltakssiden er det gjennom praksis gjort nyttige erfaringer og det har skjedd forbedringer i råd og veiledninger som ved en oppdatert anbefaling i Referansekatalogen blir lettere tilgjengelig for virksomhetene. Den generelle tekstopprydding som synes å være gjort i ISO/IEC versjonen og tydeliggjøring av den som støttedokument til vedlegg A i ISO/IEC 27001, gjør den også etter vår vurdering mer forståelig og lettere tilgjengelig for risikobasert bruk. Vi ser ingen økte kostnader for offentlige virksomheter ved å anbefale en oppdatert versjon i Referansekatalogen. Kostnader kan selvsagt komme dersom virksomhetene ser behov for å benytte nye tiltak. Siden disse skal være Side 6 av 14

7 risikobaserte, vil imidlertid slike være forankret i virksomhetenes behov for å få risikoer redusert til akseptabelt risikonivå. Oppsummert om konsekvenser Vi ser ingen vesentlige nye kostnader ved å endre anbefalingene i referansekatalogen til de nye versjonene av ISO/IEC og ISO/IEC i den retning som er skissert over. Eventuelle anbefalinger om metodikk for risikovurderinger Difi har tidligere gjennomført en utredning 10 av standarder for risikostyring av informasjonssikkerhet i offentlig forvaltning. Dette i oppfølgingen av tilsvarende arbeid om styringssystem. Tre internasjonale standarder/rammeverk er vurdert i tillegg til flere norske og internasjonale veiledninger/støttedokument og metoder. Rapporten har fokus på standardisering på informasjonssikkerhetsområdet. Om bakgrunn og vektlegging sier rapporten bl.a.: En standardisering vil medføre at virksomhetene har et felles utgangspunkt for å forstå hverandres risikogradering. Standardisering vil også forenkle kommunikasjonen mellom virksomhetene samt gi bedre samhandling i offentlig sektor. Dette vektlegges også i rapporten. Rapporten fokuserer ikke på behovet for helhetlig risikostyring internt i virksomheter på tvers av ulike områder som informasjonssikkerhet, virksomhetsstyring, HMS, miljøstyring m.v. I den avsluttende vurderingen sier rapporten: ISO/IEC og er anbefalte standarder for styring av informasjonssikkerhet.. Sammenhengen mellom ISO/IEC og ISO/IEC bør derfor tillegges avgjørende vekt for at ISO/IEC blir foretrukket. Det er ingen større ulemper ved å innføre RiskIT og NIST SP fremfor ISO/IEC Sett i sammenheng med ISO/IEC antar vi imidlertid at det er større kostnader med å innføre de to førstnevnte. Rapporten anbefaler med dette til grunn at ISO/IEC blir gjort til forvaltningsstandard. I tillegg anbefaler den at to veiledere blir gjort til forvaltningsstandarder: Difis Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor og Helsedirektoratets Risikovurdering til Norm for informasjonssikkerhet. Saken ble behandlet i Standardiseringsrådet 13. november Møtereferatet 11 viser at det var en del diskusjoner og innspill til Difis videre arbeid. De formelle konklusjonene i Standardiseringsrådet var: Det ble besluttet å gi råd til Difi om å gjøre ISO til en anbefalt standard for risikostyring. Det ble besluttet å gi råd til Difi om å videreutvikle «Veilederen i risikovurdering av elektronisk kommunikasjon» før rådet eventuelt vurderer den på nytt. I tillegg bør det tas frem et forvaltningsregime for veilederen før den fremmes på nytt. Rådet oppfordrer på det sterkeste at Difi prioriterer å jobbe videre med en slik veileder, og gjerne i samarbeid med Datatilsynet og NSM Side 7 av 14

8 Kort tid etter kom Difi med den tidligere omtalte Rapport 2012:15 Styringssystem for informasjonssikkerhet. Erfaringer med og anbefalinger om standardene ISO og Denne rapporten synliggjorde bl.a. at behovet for mer enhetlig risikostyring er vel så stort på tvers av områder internt i virksomheter som innen informasjonssikkerhet alene på tvers av virksomheter. Det er det siste den første rapporten om Risikostyring hadde fokus på. I tillegg foretok Difi, hovedsaklig i den nyopprettede seksjon for informasjonssikkerhet, en ny overordnet vurdering av nytten og konsekvensene av å gjøre ISO/IEC til anbefalt forvaltningsstandard. Vår nye vurdering er at ISO/IEC vil være mest nyttig for store virksomheter og for de som lager mer tilrettelagte veiledninger for de andre. De fleste virksomheter i offentlig sektor er av en størrelse som gjør at de trenger tilpassede veiledninger mer enn en anbefaling om det som kan oppfattes som en kompleks ISO/IEC En anbefaling om ISO/IEC som forvaltningsstandard for alle offentlige virksomheter vil kunne føre til vesentlige kostnader for mange virksomheter som ikke står i samsvar med nytten. Disse to forholdene samlet gjorde at Difi til nå har valgt å ikke gjøre ISO/IEC til anbefalt forvaltningsstandard. Når vi nå ser dreiningen i ISO/IEC 27001:2013 inn mot ISO mer enn ISO/IEC 27005, tar vi det som en klar indikasjon på at dette har vært en riktig vurdering. Samtidig er vi enige med Standardiseringsrådet om at veiledningsmateriell i risikostyring må prioriteres. Det har det dessverre ikke vært kapasitet til ennå. Vi har også vurdert om vi bør legge mer fleksible retningsgivende anbefalinger inn i Referansekatalogen som eksemplevis: Ved valg av metoder eller ved utarbeiding av veiledninger for risikostyring anbefales det å støtte seg på begrepene, prinsippene og veiledningene i ISO 31000:2009 og ISO/IEC 27005:2011 med eventuell ytterligere støtte i NIST SP Metode- og veiledningsvalgene virksomheten gjør bør være risikobasert og tilpasset virksomhetens behov. Dersom en virksomhet allerede har metoder og veiledninger for risikostyring vil det ofte være mest hensiktsmessig med en helhetlig harmonisering av virksomhetens risikostyringsmetodikk tilpasset virksomhetens egenart. Etter en nærmere vurdering er vi kommet frem til at anbefalinger og formuleringer som dette mer hører hjemme på Difis veiledningssider for informasjonssikkerhet enn i Referansekatalogen. Difi er i gang med en større satsning for å styrke kompetanse og verktøy innen informasjonssikkerhet i forvaltninga. Slike anbefalinger og videre arbeid med konkrete veiledninger og verktøy vil bli kanalisert dit. Difi vil derfor pr. i dag ikke legge konkrete anbefalinger om standarder for risikostyring inn i Referansekatalogen. Saken vil imidlertid bli vurdert videre i forbindelse med den videre satsingen på veiledning og veiledningsmateriell til forvaltningen innen både risikostyring spesielt og informasjonssikkerhet generelt. Om foreslåtte endringer i referansekatalogen pkt Styringssystem for informasjonssikkerhet Avgrensning av bruksområde Side 8 av 14

9 I arbeidet med Difis rapport 2012:15 ble det identifisert at det hos mange er usikkerhet eller uklare oppfatninger om hva et styringssystem er. Dagens innledende beskrivelse av området under punktet i Referansekatalogen benytter en språkbruk og forklaringsmåte som ikke gjør det spesielt enkelt å forstå. Med utgangspunkt i de forklaringer Difi har benyttet i rapport 2012:15 foreslås det at hele denne innledende teksten under erstattes med følgende: Bruksområdet er internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Formålet er at en virksomhet skal ha tilstrekkelig styring og kontroll på informasjonssikkerheten; dvs. tilstrekkelig styring og kontroll på sikring av konfidensialitet, integritet og tilgjengelighet på informasjon. Dette gjelder både internt i virksomheten, i kommunikasjon med andre og ved bruk av tredjeparts tjenester i kommunikasjon og annen databehandling. Bruksområdet gjelder både informasjon som blir ansett som viktig for å nå virksomhetens mål og informasjon som er underlagt særskilte krav gjennom regelverk (for eksempel personopplysningloven, eforvaltningsforskriften og sikkerhetsloven). Det er forøvrig det bruksområde (scope) virksomhetsledelsen definerer som en overordnet føring for styringssystemet/internkontrollen som utgjør det faktiske bruksområdet i den enkelte virksomhet Bruk av standarder innen dette bruksområdet Som omtalt over ser Difi bare positive effekter av å anbefale de nye og oppdaterte 2013-versjonene av ISO/IEC og til virksomheter som står i startgropen eller har behov for store forbedringer i sine styringssystem. Versjonsangivelsen foreslås derfor endret i første avsnitt under I dagens versjon står det at «Det er anbefalt å benytte ISO/IEC 27001». I Digitaliseringsrundskrivet og i forslag til endringer i eforvaltningsforskriften benyttes formuleringen «baserer seg på anerkjente standarder». Difi mener det er viktig med ensartet begrepsbruk her slik at virksomhetene ikke unødig blir i tvil om handlingsrommet sitt. Det foreslås derfor en justering til «basere seg på» i første setning. I dagens versjon benyttes begrepet «kontroller» og henvisningen «appendiks A». Det foreslås å tydeliggjøre begreps- og språkbruken ved å erstatte disse med «tiltak (kontroller)» og «vedlegg A» og flytte vedleggshenvisningen foran standardnavnet. Justert første avsnitt under blir da: Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013. Andre avsnitt under pkt foreslås videreført med to små endringer. Det ene er oppdatering av versjonsnummeret på ISO/IEC Det andre er at «mål- og resultatstyring» tas med i eksempellisten. Det synliggjør tydeligere den referanse til helhetlige styringssystem som Digitaliseringsrundskrivet gir. Justert andre avsnitt under blir da: Side 9 av 14

10 Dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001, HMS eller mål- og resultatstyring), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle kravene i ISO/IEC 27001:2013 innenfor rammene av det eksisterende styringssystemet. For virksomheter som allerede har et velfungerende styringssystem vil det, som omtalt over, etter vår vurdering være naturlig å gjennomføre endringene de nye versjonene medfører gradvis eller stegvis som en naturlig del av den kontinuerlige forbedringen som er et krav i begge versjoner av standardene. Samtidig bør slike virksomheter anbefales å vurdere nye tiltak i det oppdaterte vedlegg A i ISO/IEC 27001:2013 for spesielle risikoer. Vi foreslår derfor et nytt tredje avsnitt under som følger: For virksomheter som allerede har et velfungerende styringssystem basert på ISO/IEC 27001:2005 anbefales det en gradvis overgang til ISO/IEC 27001:2013 som en del av arbeidet med kontinuerlige forbedring av styringssystemet. Dersom slike virksomheter har risikoer over akseptabelt risikonivå, anbefales det samtidig at virksomhetene tidlig vurderer de oppdateringer og endringer som ligger i vedlegg A i ISO/IEC 27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013. Siste avsnitt i dagens pkt har som formål å peke på at lov- og regelverkskrav kan være mer omfattende enn kravene i standardene. For å gjøre formål og konsekvens tydeligere foreslås det at også dette siste avsnittet justeres til: Det presiseres at lov- og regelverkskrav kan være mer omfattende enn krav og anbefalinger som uttrykkelig er inntatt i de ovennevnte standardene. Den enkelte virksomhetene må derfor som en del av arbeidet tilknyttet styringssystem for informasjonssikkerhet identifisere og etterleve de lov- og regelverkskrav som gjelder for dem. En samlet fremstilling av forslaget til endret punkt 2.16 Styringssystem for informasjonssikkerhet i Referansekatalogen ligger i vedlegg 1. Samme punktet slik det lyder i versjon 3.1 i Referansekatalogen ligger i vedlegg 2. Kravene i pkt. 1.7 Informasjonssikkerhet i Digitaliseringsrundskrivet ligger i vedlegg 3. Forslag til justert 13 i eforvaltningsforskriften ligger i vedlegg 4. BSIs transition guide som synligjør viktige forskjeller mellom og 2013-versjonen av ISO/IEC følger som vedlegg 5. Side 10 av 14

11 Vedlegg 1: Nytt forslag til Referansekatalogens pkt Styringssystem for informasjonssikkerhet 2.16 Styringssystem for informasjonssikkerhet Avgrensing av bruksområde Bruksområdet er internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Formålet er at en virksomhet skal ha tilstrekkelig styring og kontroll på informasjonssikkerheten; dvs. tilstrekkelig styring og kontroll på sikring av konfidensialitet, integritet og tilgjengelighet på informasjon. Dette gjelder både internt i virksomheten, i kommunikasjon med andre og ved bruk av tredjeparts tjenester i kommunikasjon og annen databehandling. Bruksområdet gjelder både informasjon som blir ansett som viktig for å nå virksomhetens mål og informasjon som er underlagt særskilte krav gjennom regelverk (for eksempel personopplysningloven, eforvaltningsforskriften og sikkerhetsloven). Det er forøvrig det bruksområde (scope) virksomhetsledelsen definerer som en overordnet føring for styringssystemet/internkontrollen som utgjør det faktiske bruksområdet i den enkelte virksomhet Bruk av standarder innen dette bruksområdet Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013. Dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001, HMS eller mål- og resultatstyring), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle kravene i ISO/IEC 27001:2013 innenfor rammene av det eksisterende styringssystemet. For virksomheter som allerede har et velfungerende styringssystem basert på ISO/IEC 27001:2005 anbefales det en gradvis overgang til ISO/IEC 27001:2013 som en del av arbeidet med kontinuerlige forbedring av styringssystemet. Dersom slike virksomheter har risikoer over akseptabelt risikonivå, anbefales det samtidig at virksomhetene tidlig vurderer de oppdateringer og endringer som ligger i vedlegg A i ISO/IEC 27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013. Det presiseres at lov- og regelverkskrav kan være mer omfattende enn krav og anbefalinger som uttrykkelig er inntatt i de ovennevnte standardene. Den enkelte virksomhet må derfor som en del av arbeidet tilknyttet styringssystem for informasjonssikkerhet identifisere og etterleve de lov- og regelverkskrav som gjelder for dem.

12 Vedlegg 2: Dagens pkt Styringssystem for informasjonssikkerhet i Referansekatalogen versjon Styringssystem for informasjonssikkerhet Avgrensning av bruksområde Anvendelsesområdet gjelder sikker offentlig behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er underlagt krav om beskyttelse gjennom regelverk (for eksempel personopplysningloven) eller informasjon med særlig behov for beskyttelse (for eksempel informasjon som blir ansett som samfunnskritisk eller virksomhetskritisk). Anvendelsesområdet gjelder styring av alle aspekter av informasjonssikkerhet; konfidensialitet, integritet og tilgjengelighet (inkludert krav til uavviselighet). Anvendelsesområdet inkluderer blant annet, men avgrenser seg ikke til, styring av informasjonssikkerheten ved samhandling og elektronisk kommunikasjon med og i offentlig sektor og styring av informasjonssikkerheten knyttet til ekstern og intern drift av beskyttelsesverdig informasjon Bruk av standarder innen dette bruksområdet Det er anbefalt å benytte ISO/IEC27001 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller anbefales det å følge strukturen i ISO/IEC27001 appendiks A og innholdsmessig støtte seg på ISO/ IEC Dersom en virksomhet allerede har et operativt styringssystem på andre områder(f.eks. i relasjon til ISO 9001, ISO eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO27001-kravene innenfor rammene av det eksisterende styringssystemet. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk.

13 Vedlegg 3: Pkt 1.7. Informasjonssikkerhet i Digitaliseringsrundskrivet (P- 4/2013) Virksomheten skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Denne internkontrollen kan med fordel være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v.

14 Vedlegg 4: Høringsforslag til endring av e-forvaltningsforskriftens 13 Overskriften til kapittel 3 skal lyde: Styring og kontroll med informasjonssikkerheten 13 skal lyde: 13. Internkontroll på informasjonssikkerhetsområdet (1)Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Disse skal danne grunnlaget for forvaltningsorganets internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. (2) Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. (3) Omfang og innretning på internkontrollen skal være tilpasset risiko (4) I den utstrekning det er relevant skal sikkerhetsstrategien og internkontrollen for øvrig også adressere, og om nødvendig stille krav til, bl.a.: a) prosedyrer for anskaffelse, bruk, oppbevaring og sikring av signaturfremstillingsdata, passord/pinkoder og dekrypteringsnøkkel knyttet til personlige sertifikat eller sertifikat for ansatt i forvaltningen, jf. 15, 17 og 20; b) prosedyrer for anskaffelse, bruk, oppbevaring og sikring av signaturfremstillingsdata, passord/pinkoder og dekrypteringsnøkkel knyttet til virksomhetssertifikat, jf. 14 og 21; c) prosedyrer for å etablere og opprettholde et sikkert brukermiljø der det benyttes elektroniske signaturer, kryptering eller andre sikkerhetstjenester, jf. 18; d) prosedyrer for varsling og tilbaketrekking av sertifikat og passord/pin-koder ved mistanke om tap eller misbruk, jf. 23; e) prosedyrer for kontroll av sertifikater og tilbaketrekkingslister ved mottak av melding utstyrt med elektronisk signatur, herunder krav til hvor oppdatert informasjon om sertifikaters status bør være for de ulike formål sertifikatene benyttes for, jf. 25; f) prosedyrer for å nekte bruk av sertifikat mv. ved misbruk av elektronisk kommunikasjon med forvaltningen, jf. 12; g) prosedyrer for behandling av personopplysninger og taushetsbelagt informasjon, jf. 5 og 24, se også personopplysningsloven 13 og personopplysningsforskriften kap. 2; h) prosedyrer for sikkerhetskopiering, oppbevaring og deponering av dekrypteringsnøkkel for opplysninger som angår forvaltningsorganet, jf. 22.

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og

Detaljer

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin... Page 1 of 7 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS SØK FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften) Skriv ut DATO:

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Regelverk. Endringer i regelverk for digital forvaltning

Regelverk. Endringer i regelverk for digital forvaltning Regelverk Endringer i regelverk for digital forvaltning Offentlig sektors dataforum Oslo 28. november 2013 Nina Fladsrud Sikkerhet, robusthet og personvern rege Sikkerhet, robusthet og personvern Digital

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endringer i ISO-standarder

Endringer i ISO-standarder Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner

Detaljer

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583 Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 Rapport 2012:15 ISSN 1890-6583 Forord Digitalisering er et viktig virkemiddel for å få en effektiv

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Regelverk for digital kommunikasjon i og med forvaltningen

Regelverk for digital kommunikasjon i og med forvaltningen Regelverk for digital kommunikasjon i og med forvaltningen Jon Holden, Difi Fagforbundets fagdager 3.-4. september 2014 jho@difi.no To hovedspørsmål Hvem kan/skal/skal ikke kommunisere digitalt med forvaltningen?

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Oppfølging etter Deepwater Horizon - Status og veien videre

Oppfølging etter Deepwater Horizon - Status og veien videre Oppfølging etter Deepwater Horizon - Status og veien videre Industriseminar 23. september 2011 Hilde-Karin Østnes & Øyvind Tuntland Petroleumstilsynet Hovedoppsummering DwH-ulykken reiser spørsmål som

Detaljer

Overordnede ITarkitekturprinsipper. sektor. Versjon 2.1 Direktoratet for forvaltning og IKT 17. september 2012

Overordnede ITarkitekturprinsipper. sektor. Versjon 2.1 Direktoratet for forvaltning og IKT 17. september 2012 Overordnede ITarkitekturprinsipper for offentlig sektor Versjon 2.1 Direktoratet for forvaltning og IKT 17. september 2012 Innhold Om prinsippene... 3 Tjenesteorientering... 5 Interoperabilitet... 6 Tilgjengelighet...

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 1 Innhold 1. Bakgrunn og innledning... 3 2. Standarder for publisering av nettleserbaserte

Detaljer

Standardiseringsarbeidet

Standardiseringsarbeidet Standardiseringsarbeidet Kristian Bergem 10.02.2010 Standardiseringsportalen Dato Totaloversikt standard.difi.no http://standard.difi.no/forvaltningsstandarder Dato 1. Ver av referansekatalogen Kom i desember

Detaljer

Samlet bevilgning. neste år Utgifter 103 8593 8695 8566 116 Inntekter 1047 1074

Samlet bevilgning. neste år Utgifter 103 8593 8695 8566 116 Inntekter 1047 1074 Kulturdepartementet 1 Kulturdepartementets forvaltning og gjennomføring av budsjettet for 2011 1.1 Generelt om resultatet av revisjonen Tabell 1 (tall i mill. kroner)* Overført fra forrige år Bevilgning

Detaljer

Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning

Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning Seminar Digitale postkasser i offentlig forvaltning Avdeling for forvaltningsinformatikk (AFIN) Oslo 12. september 2013

Detaljer

Saksdokumenter: Dok.dato Tittel Dok.ID 15.02.2013 KR 11.1/13 Årsplan 2013- status pr 14. 2. 13.doc 91960

Saksdokumenter: Dok.dato Tittel Dok.ID 15.02.2013 KR 11.1/13 Årsplan 2013- status pr 14. 2. 13.doc 91960 DEN NORSKE KIRKE KR 11/13 Kirkerådet, Mellomkirkelig råd, Samisk kirkeråd Sted, 14.-15. mars 2013 Referanser: MKR 06/13, SKR 05/13 Saksdokumenter: Dok.dato Tittel Dok.ID 15.02.2013 KR 11.1/13 Årsplan 2013-

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

HOVEDINSTRUKS FOR HELSEDIREKTORATET

HOVEDINSTRUKS FOR HELSEDIREKTORATET HOVEDINSTRUKS FOR HELSEDIREKTORATET Fastsatt av Helse- og omsorgsdepartementet den 31.01.2012 1. Innledning Formal med instruksen og forhold til øvrig regelverk Formålet med instruksen er å angi myndigheten

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet Versjonshåndtering Versjonsnr. Endret Beskrivelse av endring: Endret av: dato: 0.7 08.02.2011 Godkjenning av alle endringer KrB 1 Innhold 1

Detaljer

Ny ISO 9001:2015. Disclaimer:

Ny ISO 9001:2015. Disclaimer: Ny ISO 9001:2015 Disclaimer: Presentasjon basert på draft versjon Subjektiv vurdering av endringer Subjektiv vurdering av hva som oppfattes som viktig Representerer ikke et sertifiseringsorgan Ny ISO 9001:2015

Detaljer

Hvordan lage gode offentlige nettsider?

Hvordan lage gode offentlige nettsider? Hvordan lage gode offentlige nettsider? Oslo 11. nov 2009 Direktoratet for forvaltning og IKT Velkommen Kristian Bergem 12.11.2009 11. nov 2009 Direktoratet for forvaltning og IKT Direktoratet for forvaltning

Detaljer

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER Neste generasjon ISO standarder ISO 9001 og ISO 14001 Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

Samordning av IKT i det offentlig. Sesjon A1 på NOKIOS 16. oktober 2008 Jens Nørve (DIFI) og Marianne Andreassen (SSØ) Utvikling gjennom samarbeid

Samordning av IKT i det offentlig. Sesjon A1 på NOKIOS 16. oktober 2008 Jens Nørve (DIFI) og Marianne Andreassen (SSØ) Utvikling gjennom samarbeid Samordning av IKT i det offentlig Sesjon A1 på NOKIOS 16. oktober 2008 Jens Nørve (DIFI) og Marianne Andreassen (SSØ) Utvikling gjennom samarbeid Agenda for sesjonen Utvikling gjennom samarbeid 3 forskjellige

Detaljer

Merknader til foreslått revidering av Energilovsforskriften av 7. desember 1990 nr. 959 (ref. nr. 201203949)

Merknader til foreslått revidering av Energilovsforskriften av 7. desember 1990 nr. 959 (ref. nr. 201203949) Merknader til foreslått revidering av Energilovsforskriften av 7. desember 1990 nr. 959 (ref. nr. 201203949) Generelt NVE foreslår å endre gjeldende Energilovsforskrifts 3-5 Vilkår for konsesjon på elektriske

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Selskapene oppfordres til å vurdere og følge opp følgende tiltak:

Selskapene oppfordres til å vurdere og følge opp følgende tiltak: Selskapene oppfordres til å vurdere og følge opp følgende tiltak: 1. Arbeidsplanlegging / arbeidsutførelse/ lederansvar 2. Kunnskap/ / lederansvar 3. Kunnskap/ 4. Kunnskap/ (M/O) 5. Styringssystemer 6.

Detaljer

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

ISOs styringssystemstandarder et verktøy for forenkling

ISOs styringssystemstandarder et verktøy for forenkling 2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig

Detaljer

12/2724 12/00953-2/JSK 7.

12/2724 12/00953-2/JSK 7. Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO 12/2724 12/00953-2/JSK 7. januar 2012 Høringsuttalelse - Digital kommunikasjon som hovedregel - Endringer i Forvaltningsloven

Detaljer

ISO 9001:2015 Endringer i ledelsesstandarder

ISO 9001:2015 Endringer i ledelsesstandarder ISO 9001:2015 Endringer i ledelsesstandarder 210 kollegaer Oslo (HK) Bergen / Ågotnes Stavanger Haugesund Trondheim Göteborg VÅRE VERDIER HENSIKT MED STANDARD REVISJONER

Detaljer

Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011

Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011 Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011 Innhold 1 Sammendrag... 3 2 Innledning... 6 2.1 Bakgrunn... 6 2.2 Formål... 7 2.3 Mandatet... 7 2.4 Arbeidsmetodikk...

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og Pasientreiser ANS Rapport 3/2013 - Oversikt over revisjonsfunn (oppsummert nasjonalt) og anbefalinger Nr Revisjonsfunn

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Denne veilederen tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram, og gir råd til hvordan man kan utvikle sikkerhetskulturen.

Detaljer

Standarder for sikker bruk av VPN med og i offentlig sektor

Standarder for sikker bruk av VPN med og i offentlig sektor Standarder for sikker bruk av VPN med og i offentlig sektor Standardiseringsrådsmøte 23.-24. november 2011 beslutningssak Bakgrunn Grønn IKT (Hjemmekontor, videokonferanser) Fjernarbeid og distribuert

Detaljer

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 v/rådgiver Jim-Arne Hansen IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 Disposisjon: Grunnleggende personvernprinsipper Informasjonssikkerhet Papirbasert - / elektronisk arkiv 2 Viktige personvernprinsipper

Detaljer

Deres ref Vår ref Dato 12/2780-18.09.2013. Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014

Deres ref Vår ref Dato 12/2780-18.09.2013. Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014 Samtlige departement Statsministerens kontor Deres ref Vår ref Dato 12/2780-18.09.2013 Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014 Finansdepartementet har i dag fastsatt endringer

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

NIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby

NIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby NIRF Hvitvaskingsregelverket og internrevisorer Advokat Roar Østby Oslo 4. mars 2014 Agenda Endringer i regelverket ( 4. direktiv) «Kjenn-din-kunde» (lovens krav) 2 Noen tall Antall MT-rapporter til EFE

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet

Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet Instruksen er fastsatt 9. mai 2014 i henhold til 3 annet ledd i Reglement for økonomistyring i Staten, og trådte i kraft

Detaljer

Revisjonsnotat høsten 2015

Revisjonsnotat høsten 2015 Revisjonsnotat høsten 2015 1 Innledning Difi har ansvaret for å vedlikeholde en liste over anbefalte og obligatoriske IT-standarder for kommunikasjon med og i forvaltningen. En viktig del av forvaltningsprosessen

Detaljer

Fiskeri- og kystdepartementet

Fiskeri- og kystdepartementet Fiskeri- og kystdepartementet 1 Fiskeri- og kystdepartementets forvaltning og gjennomføring av budsjettet for 2006 1.1 Generelt om resultatet av revisjonen Fiskeri- og kystdepartementet består av ett programområde:

Detaljer

Kvalitative og kvantitative risikovurderinger

Kvalitative og kvantitative risikovurderinger Kvalitative og kvantitative risikovurderinger Litt fra teori og praksis ESRA 10. desember 2015 NATIONAL POLICE DIRECTORATE Politidirektør Politidirektørens stab Tilsyn Kommunikasjonsstab Juridisk utredning

Detaljer

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Nasjonal fagkonferanse i offentlig revisjon Gardermoen 29. oktober 2014 Innledning Innhold Hva er beholdt fra 92-rammeverket,

Detaljer

Workshop 22. september 2015

Workshop 22. september 2015 Workshop 22. september 2015 Rapporteringsforordning (EU) nr. 376/2014 Luftfartstilsynet T: +47 75 58 50 00 F: +47 75 58 50 05 postmottak@caa.no Postadresse: Postboks 243 8001 BODØ Besøksadresse: Sjøgata

Detaljer

Handlingsplan for oppfølging av regionale anbefalinger i oppsummeringsrapport 10/2012, etter revisjon av intern styring og kontroll av det

Handlingsplan for oppfølging av regionale anbefalinger i oppsummeringsrapport 10/2012, etter revisjon av intern styring og kontroll av det Handlingsplan for oppfølging av regionale anbefalinger i oppsummeringsrapport 10/2012, etter revisjon av intern styring og kontroll av det pasientadministrative arbeidet i helseforetakene 1 Tiltak på kort

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Arkiv skal ikkje førast ut or landet

Arkiv skal ikkje førast ut or landet Arkiv skal ikkje førast ut or landet Advokat Siv Owing Maanum Copyright 2015 Foyen Torkildsen All Right Reserved 1 Arkivloven 9 b) «Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller

Detaljer

HØRING - ENKELTE ENDRINGER I SENTRALBANKLOVEN

HØRING - ENKELTE ENDRINGER I SENTRALBANKLOVEN 0* o',4nt3 %P NORGES BANK Representantskapet Finansdepartementet FINANSDEPARTEMEN 0 i. JUL 2008 Sakw 0}i 3("11 - " Arkitmr, Oslo, 19. juni 2008 HØRING - ENKELTE ENDRINGER I SENTRALBANKLOVEN Det vises til

Detaljer

INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD

INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD Instruksen er fastsatt av Klima- og miljødepartementet i medhold av 3 i Reglement for økonomistyring i

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010 Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for dokumentformater Møte i Standardiseringsrådet 16. mars 2010 Disposisjon Kort historikk behandling av rapporten Forberedende

Detaljer

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) UTFORDRINGER INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) Stavanger april 2012 Olav Molven Virksomheten mangler en felles fremgangsmåte for å vurdere risiko og tilhørende (intern)kontroll. Virksomheten

Detaljer

Norsk Skogsertifisering

Norsk Skogsertifisering 2 Systemsertifisering ISO 140011/PEFC FM 2014.05.07-9 Sertifiseringsomfang: Rådgivning, opplæring og revisjon med det formål at avtaletilknyttede skogeiendommer skal tilfredsstille kravene til miljøstyring

Detaljer

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? For Kontrollutvalg 30.11.15 v/rådmann Thor Smith Stickler OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? Definisjon av internkontroll - PwC Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter

Detaljer

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Kommuneforlagets ledelsesprodukter Bedrekommune.no - KF BedreStyring- KF Kvalitetsstyring Program Sesjon 1 [10.00 10.55] Målstyring, tjenestekvalitet og internkontroll

Detaljer

Vår ref: 09/4568 /TLB

Vår ref: 09/4568 /TLB // Arbeids- og inkluderingsdepartementet Postboks 8019 Dep 0030 Oslo ARBEIDS OG tnkluder1nusuepammentet MOTTATT 0'4JUN2009 Deres ret 200901113/MCH Vår ref: 09/4568 /TLB Vår dato: 29.05.2009 Høringskommentarer

Detaljer