Erfaringer med innføring av styringssystemer

Størrelse: px
Begynne med side:

Download "Erfaringer med innføring av styringssystemer"

Transkript

1 Erfaringer med innføring av styringssystemer Kåre Presttun

2 Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av Standard Norges referansegruppe mot ISO/IEC JTC1/SC27 Jobbet som konsulent i mnemonic siden mai 2004

3 mnemonic as Etablert sommeren 2000 av 4 grundere Omsetning 2013: 264 MNOK Ca. 120 medarbeidere Firmasertifiseringer ISO/IEC sertifisert (siden 2005, NS/BS 7799) ISO 9001-sertifisert Miljøfyrtårn-sertifisering se PCI DSS Qualified Security Assessor (QSA) PCI DSS Approved Scanning Vendor (ASV) PCI DSS Payment Application QSA PCI Forensic Investigator (PFI)

4 Historien 1992 A Code of Practice for Information Security Management, DTI

5 Bakgrunn Vi er et sikkerhetsfirma Det var en del interne diskusjoner om vi skulle gå i gang Vi så i forespørsler (særlig fra offentlig) der de ba oss redegjøre for internt sikkerhetsarbeid i tilbud Vi bestemte til slutt at å bli ISO/IEC sertifisert vill gjøre det enkelt å vise til sertifisering i tilbud (NS/BS 7799) I tillegg mente vi det ville være en fordel i markedet å være sertifisert

6 Implementering Laget høsten 2004 en prosjektgruppe bestående av: Meg som prosjektleder Styreleder Administrerende direktør Sikkerhetsleder Interndrift + andre ved behov

7 Risikoanalyse Vi vurderte flere: OCTAVE OCTAVE-S AS/NZS 4360:2004 NIST Special Publication Endte opp med OCTAVE Nå bruker vi: ISO/IEC 27005:2008 OCTAVE Allegro (to typer Assets: Information, Container) NIST Special Publication er også meget bra

8 OCTAVE Er ganske omfattende Har gode arbeidsskjema for hele prosessen Er laget for å utføres i arbeidsgrupper Hos oss var det prosjektgruppa som ble arbeidsgruppe med ekstra medlemmer avhengig av tema Var grundig og brukte flere måneder på prosessen

9 Policy Det ble utarbeidet en overordnet sikkerhetspolicy En halv A4-side Overordnede føringer på sikkerhetsarbeidet Overordnede føringer på risikoappetitt

10 Risikoappetitt Grunnlaget for risikostyring ligger i etablerte retningslinjer for hva som aksepteres av risiko. I mnemonic aksepterer vi en risiko dersom den medfører: 1. høy nytteverdi for mnemonic 2. og at eventuelle skader kan rettes opp/repareres med rimelig kost og innen rimelig tid 3. og at det finnes mekanismer for deteksjon av skaden eller sikkerhetsbruddet

11 Statement of Applicability Basert på policy og risikoanalyse ble SoA laget SoA tar utgangspunkt i ISO Annex A som er basert ISO/IEC Alle punkter i Annex A som skal med skal begrunnes Alle punkter i Annex A som ikke skal med skal begrunnes En kan ta med andre ting enn det som er i Annex A (begrunnes i risikoanalyse) SoA er basisen for det videre arbeidet

12 Eksempel som ikke er i Annex A Personellsikkerhet Hvis mer enn 2/3 av en avdeling skal reise så skal reisen foretas med to forskjellige transporter Hvis mer enn 1/3 av mnemonic skal reise så skal reisen foretas med to forskjellige transporter

13 Arbeidet videre Basert på SoA pluss det vi hadde fra før ble: Detaljerte policyer utarbeidet Prosedyrer utarbeidet Tiltak implementert Katastrofeplan utarbeidet og implementert Så var det på tide å ringe Veritas Mai 2005 var vi sertifisert etter NS/BS 7799 (tok ca. 7 mnd.) Resertifisering i 2006 var etter ISO/IEC 27001:2005

14 Erfaringer Nyttig i forbindelse med tilbudsarbeid og kontrakter Det var et løft å få det på plass Det er ikke så mye arbeid å vedlikeholde Det er ikke noe tungrodd for medarbeiderne Forbedres hele tiden med tilbakemeldinger fra DNV Erfaringen er så positiv at vi bestemte oss for ISO 9001 også Nytt løft våren 2014 med ISO/IEC 27001:2013 og integrering med ISO 9001

15

16 2005 -> 2013 Endret struktur med felles struktur for alle ISOs ledelsessystemstandarder Risikostyring kommer i alle ledelsessystemstandarder Det er mange ledelsessystemstandarder i ISO (ca. 15) De mest kjente: 9000-familien kvalitet (9001 ny versjon i 2015) familien miljø bærekraftig arrangement/begivenhet matsikkerhet informasjonssikkerhet energi

17 2005 -> 2013 PDCA (Plan-Do-Check-Act)-modell er tatt bort kontinuerlig forbedring er fortsatt et krav Referanser er tatt bort og flyttet til ISO/IEC (oversettes) ISMS skal ikke være løsrevet men integrert i øvrige virksomhetsprosesser «asset owner» er erstattet med «risk owner» den eller de som er ansvarlige for å godkjenne tiltaksplanen samt akseptere gjenværende risiko Valgte tiltak skal sammenlignes med vedlegg A for å kontrollere at ingen relevante tiltak er utelatt. «Statement of Applicability» (SoA), der nødvendige sikringstiltak skal begrunnes og sikringstiltak i vedlegg A som er utelatt skal begrunnes.

18 2005 -> 2013 For risikovurderinger benyttes nå samme terminologi og vokabular som ISO Man skal identifisere risiko på bakgrunn av sannsynlighets- og konsekvensvurderinger. SP gjør forskjell på «adversarial risk» og «nonadversarial risk». Den første bygger på intensjon og evne, den andre på sannsynlighet. I OCTAVE Allegro kommer sannsynlighet inn i bildet i siste trinn når en lager risikohåndteringsplanen. Begge har detaljerte arbeids-ark som leder deg gjennom hele prosessen.

19 2005 -> 2013 For å kunne gjennomføre måling og overvåking av informasjonssikkerheten, samt effektiviteten til styringssystemet, skal man først identifisere hvilke parametere man trenger. Deretter må man vurdere hva, når og hvordan en skal måle, samt hvem som skal gjennomføre målingene. Det har kommet inn et nytt krav om at man skal kunne dokumentere at de korrigerende tiltakene man har iverksatt faktisk fungerer som forutsatt. Kravet til kontinuerlig forbedring dekker nå også styringssystemets egnethet og tilstrekkelighet

20 Hjelpestandarder ISO/IEC 27000:2014 Information security management systems - Overview and vocabulary ISO/IEC 27002:2013 Code of practice for information security controls ISO/IEC 27003:2010 Information security management system implementation guidance ISO/IEC 27004:2009 Information security management Measurement ISO/IEC 27005:2011 Information security risk management ISO/IEC 27007:2011 Guidelines for information security management systems auditing ISO/IEC TR 27008:2011 Guidelines for auditors on information security management systems controls

21 Spørsmål?

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Standarder for informasjonssikkerhet Rune Ask

Standarder for informasjonssikkerhet Rune Ask Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC 27000 Oversikt

Detaljer

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

ISOs styringssystemstandarder et verktøy for forenkling

ISOs styringssystemstandarder et verktøy for forenkling 2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

ISMS for Offentlig sektor Dataforum

ISMS for Offentlig sektor Dataforum for Offentlig sektor Dataforum 6.12.12 Tone Thingbø Tel: 908 89 571 E-post: tone.thingbo@no.ey.com Tone Thingbø Samfunnsviter, cand.philol Lang erfaring fra virksomheter med høye krav til sikkerhet: Etterretningstjenesten

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Styringssystem basert på ISO 27001

Styringssystem basert på ISO 27001 Styringssystem basert på ISO 27001 Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere

Detaljer

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Standarder med relevans til skytjenester

Standarder med relevans til skytjenester Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler

Detaljer

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.

Detaljer

ISO27001 som del av forvaltningen

ISO27001 som del av forvaltningen ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

Rune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet.

Rune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet. Rune Ask Tittel: Seniorrådgiver - Informasjonssikkerhet Utdanningsnivå: Ingeniør Født: 1957 OPPSUMMERING AV KOMPETANSE- OG FAGOMRÅDER Rune har 35 års erfaring innen informasjonssikkerhet og IT. Han har

Detaljer

ISO 55000-serien Asset management

ISO 55000-serien Asset management Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST

De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST IT-sikkerhetsledelse og -krav Geir Ove Rosvold AITeL/HiST Hva er informasjonssikkerhet? "Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Kjell Arne Knutsen Direktør DSS NSM sikkerhetskonferanse mars 2015 Formål Formidle noen nyttige erfaringer fra DSS 1. Innledning Kort om

Detaljer

Revisjon av ISO 14001

Revisjon av ISO 14001 Miljø- og klimaforum, 4. juni 2014 Revisjon av ISO 14001 V/KNUT JONASSEN, STANDARD NORGE Hovedpunkter Styringssystemer: ISO 9001 og ISO 14001 Bakgrunnen for revisjonen Spesielle utfordringer Felles struktur

Detaljer

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater Sikkerhetsledelse et løpende og langsiktig arbeid - Som ikke alltid gir raske resultater Innhold Fem overordnede prinsipper for sikkerhetsledelse Six impossible things before breakfast Og en oppsummerende

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth

Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet Øivind Nyseth Styringssystem for informasjonssikkerhet Tema Litt om SLF Status, informasjonssikkerhet

Detaljer

Helseforetakenes senter for pasientreiser ANS 1/2016

Helseforetakenes senter for pasientreiser ANS 1/2016 Helseforetakenes senter for pasientreiser ANS 1/2016 RAPPORT Oppfølging av revisjoner som ble gjennomført i 2013-14 Revisjonsrapport 1/2016 Internrevisjon Side 1 av 13 Tidsrom for revisjonen Mai-juni 2016

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

NS-EN ISO/IEC 17021-1

NS-EN ISO/IEC 17021-1 Guri Kjørven, 2015-12-02 NS-EN ISO/IEC 17021-1 SAMSVARSVURDERING - KRAV TIL ORGANER SOM TILBYR REVISJON OG SERTIFISERING AV LEDELSESSYSTEMER - DEL 1: KRAV Historikk ISO/IEC 17021:2006 Erstattet Guides

Detaljer

Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10

Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10 Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10 Fagforbundet, 2010-03-10 1 Standarder Beskriver o et produkt, o en arbeidsprosess o et system Gir forslag

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 SAK NR 53-2016 Halvårlig risikovurdering, Helseforetakenes senter for pasientreiser ANS per

Detaljer

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016 Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern

Detaljer

Sikkert nok - Informasjonssikkerhet som strategi

Sikkert nok - Informasjonssikkerhet som strategi Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007

Detaljer

Internasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no

Internasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering SN/K186 Standard Norge, Komite 186 Norsk skyggekomite: ISO IEC/JTC1/SC36 CEN TC353 ISO/IEC JTC1/SC36 (ITLET)

Detaljer

1. Styringssystemet for informasjonssikkerhet

1. Styringssystemet for informasjonssikkerhet Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Styringssystemet for informasjonssikkerhet Greta Hjertø (revidert av Bjørn Klefstad) 16.08.13 Lærestoffet er utviklet for faget Informasjonssikkerhetsstyring

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Standarder for styringssystemer Prosjektleder Guri Kjørven, Standard Norge

Standarder for styringssystemer Prosjektleder Guri Kjørven, Standard Norge Standarder for styringssystemer Prosjektleder Guri Kjørven, Standard Norge NFKR-Bergen, 2009-05-26 1 Temaer Standard Norge, standarder og standardisering ISO 9000-familien Standarder for andre styringssystemer

Detaljer

Hvordan oppdatere fra gammel til ny standard i bedriften?

Hvordan oppdatere fra gammel til ny standard i bedriften? Hvordan oppdatere fra gammel til ny standard i bedriften? Risikostyrt Kvalitet og Miljø Quality Norway 1. februar 2016 Oppdatering av eksisterende «ledelsessystem» Planlegge og forankre Kartlegge og planlegge

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 Oddmund Wærp Teknologisk Institutt email owa@ti.no Tlf. 934 60 292 TEKNOLOGISK INSTITUTT - HVEM VI ER Landsdekkende kompetansebedrift med hovedkontor

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001?

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Skal du etablere et styringssystem for ytre miljø, men ikke vet hvor du skal starte? Forslaget nedenfor er forslag til hvordan du

Detaljer

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV... 2 2. KVALITETSSYSTEM... 6

Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV... 2 2. KVALITETSSYSTEM... 6 Avdeling for informatikk og elæring, Høgskolen i Sør-Trøndelag Greta Hjertø Redigert og tilrettelagt for faget Datasikkerhet av Geir Ove Rosvold 20. november 2006 Opphavsrett: Forfatter og Stiftelsen TISIP

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

PEFC FM: Kjøp og salg av tømmer, skogbehandling, avvirkning, skogbruksplanlegging og utmarkstjenester

PEFC FM: Kjøp og salg av tømmer, skogbehandling, avvirkning, skogbruksplanlegging og utmarkstjenester PEFC rapport fra resertifisering Systemsertifisering 2015.05.04-08 Kontakt person Andreas Holen Sertifiseringsomfang: PEFC FM: Kjøp og salg av tømmer, skogbehandling, avvirkning, skogbruksplanlegging og

Detaljer

Risikostyring og informasjonssikkerhet i en åpen verden www.steria.com

Risikostyring og informasjonssikkerhet i en åpen verden www.steria.com Risikostyring og informasjonssikkerhet i en åpen verden Infosikkerhetsarkitektur i et risikostyringsperspektiv Ivar Aasgaard, seniorrådgiver Steria ivaa@steria.no, Mobil: 992 82 936 LinkedIn: http://www.linkedin.com/pub/ivar-aasgaard/0/255/639

Detaljer

Erfaringer med energiledelse sertifisering i norsk industri

Erfaringer med energiledelse sertifisering i norsk industri Erfaringer med energiledelse sertifisering i norsk industri Lansering av NS-EN ISO 50001 Thomas Haug, DNV Bussiness Assurance Det Norske Veritas (DNV) Uavhengig stiftelse etablert i 1864 Målsetning: To

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Guideline. HMS Policy

Guideline. HMS Policy Guideline HMS Policy Bilfinger Industrial Services Norway AS Kort beskrivelse Denne guideline skal anvendes av Selskapets enheter ved planlegging, gjennomføring og oppfølging av helse-, miljø- og sikkerhetsarbeid.

Detaljer

RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL

RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL RISIKO, NIRF 19-05-2011 Side 1 RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL Det er sannsynlig at noe usannsynlig vil skje (Aristoteles) Tradisjonelt var betraktning av risiko basert på en analyse av en mulig

Detaljer

Styresak GÅR TIL: FORETAK: Styremedlemmer Helse Stavanger HF

Styresak GÅR TIL: FORETAK: Styremedlemmer Helse Stavanger HF Styresak GÅR TIL: FORETAK: Styremedlemmer Helse Stavanger HF DATO: 17.01.2017 SAKSBEHANDLER: Arild Johansen SAKEN GJELDER: Risikovurdering av overordnede styringsmål 2016 - evaluering av måloppnåelse ved

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling

Detaljer

Risikohåndtering Risky business?

Risikohåndtering Risky business? Risikohåndtering Risky business? Morten Weea, 31. juli 2013 Abstract Risikoforståelse og risikohåndtering i informasjonssikkerhet er et vanskelig tema. For alle som jobber med risiko i informasjonssikkerhetsammenheng

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011 Sikkerhetsstyring for mindre virksomheter Sikkerhet, samtrafikkevne, passasjerrettigheter og markedsovervåking Morgenmøte 24. november 2011 Charlotte Grøntved - Sikkerhetsstyring og tilsyn Elisabeth Nilsen

Detaljer

Risikostyring. Rune Ask Risk & Compliance Manager Det Norske Veritas. Rune Ask

Risikostyring. Rune Ask Risk & Compliance Manager Det Norske Veritas. Rune Ask Risikostyring Rune Ask Risk & Compliance Manager Det Norske Veritas Rune Ask Risk & Compliance Manager i DNV tidligere Chief Specialist Tidligere daglig leder (software-firma), IT-sjef (shipping), sikkerhetskonsulent

Detaljer

Grønt sykehus grønn standard

Grønt sykehus grønn standard Miljøledelse miljøsertifisering Grønt sykehus grønn standard Norsk forening for Sterilforsyning 05.06.2015 Mette Myhrhaug, spesialrådgiver kvalitet Vestre Viken HF Miljøstyring Grønt sykehus Bakgrunn Miljøstandarden

Detaljer

Innføring av kvalitet/hms/miljøsystemer raskt, effektivt og i fellesskap?

Innføring av kvalitet/hms/miljøsystemer raskt, effektivt og i fellesskap? Innføring av kvalitet/hms/miljøsystemer raskt, effektivt og i fellesskap? Hvem er SIMPLI? Lager og leverer software for styring og forbedring: SIMPLI Manange og SIMLI Better Kjerneområde: ISO 9001(kvalitet),

Detaljer

Grønne energikommuner Hva kan vi bidra med?

Grønne energikommuner Hva kan vi bidra med? Grønne energikommuner Hva kan vi bidra med? Hans Olav Sandbakken 25 mai 2010 1 Styringsdokument Kvalitetskultur YIT i Norge Omsetning: ca 4 mrd. kroner Antall ansatte: ca 3200 Landsdekkende med ca. 60

Detaljer

Styret Pasientreiser HF 07/06/2017. Forslag til vedtak: 1. Styret tar fremlagt sak om miljøarbeid i Pasientreiser HF til etterretning.

Styret Pasientreiser HF 07/06/2017. Forslag til vedtak: 1. Styret tar fremlagt sak om miljøarbeid i Pasientreiser HF til etterretning. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 07/06/2017 SAK NR 17-2017 Miljøarbeid i Pasientreiser HF Forslag til vedtak: 1. Styret tar fremlagt sak om miljøarbeid i Pasientreiser

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

MILJØSTYRING. i NHO Service

MILJØSTYRING. i NHO Service MILJØSTYRING i NHO Service Miljøledelse Det er selvsagt med stolthet, men enda mer med glede, vi som organisasjon kan smykke oss med ISO 14001 sertifikat. Glede fordi prosessen har gjort noe med oss som

Detaljer

Direktiv Krav til sikkerhetsstyring i Forsvaret

Direktiv Krav til sikkerhetsstyring i Forsvaret Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi

Detaljer

Veiledning til IKT- forskriftens 5 "Sikkerhet" August 2013

Veiledning til IKT- forskriftens 5 Sikkerhet August 2013 Veiledning til IKTforskriftens 5 "Sikkerhet" August 2013 2 Finanstilsynet Innhold 1 Innledning 4 2 Forskriftsmessige krav til sikkerhet i IKT-systemene 5 3 Berørte områder av IKT-virksomheten 5 4 Etterlevelse

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001, INNHOLD OG STRUKTUR Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001:2016 Occupational health and safety managment systems Requirements with guidance for use Overordnet mål: forebygge

Detaljer

Bilag 1 Kravspesifikasjon Avtalereferanse: NT Sertifiseringstjenester

Bilag 1 Kravspesifikasjon Avtalereferanse: NT Sertifiseringstjenester ilag 1 Kravspesifikasjon Avtalereferanse: NT-0350-16 Sertifiseringstjenester Side 1 av 14 Innholdsfortegnelse ilag 1 Kravspesifikasjon 1 INNLEDNING... 3 1.1 EGREPSDEFINISJONER... 3 1.2 UTFORMING AV KRAVTAELLER

Detaljer

Integrert styringssystem

Integrert styringssystem Integrert styringssystem Sivilingeniør J.F. Knudtzen AS` Historie Eierselskapet JFK AS Sivilingeniør J.F. Knudtzen AS ble startet i Oktober 1955 av Johan Fredrik og May Knudtzen, og drives fortsatt som

Detaljer

Informasjonssikkerhetsstyring

Informasjonssikkerhetsstyring Informasjonssikkerhetsstyring Greta Hjertø (Revidert av Bjørn Klefstad), Institutt for informatikk og e-læring, NTNU Lærestoffet er utviklet for emnet IBED2003 og IINI2009 Resymé: I denne leksjonen får

Detaljer

Common Safety Methods

Common Safety Methods Common Safety Methods Johan L. Aase Sikkerhets- og Kvalitetssjef Utbyggingsdivisjonen Jernbaneverket ESRA - 11.11.09 Foto: RuneFossum,Jernbanefoto.no CSM Common Safety methods Common Safety Method on Risk

Detaljer

ISO standard for vurderingssprosesser

ISO standard for vurderingssprosesser Internasjonal kvalitetssikring innen det arbeidspsykologiske ISO standard for vurderingssprosesser Norsk Standards Frokostmøte 07.05.2013 v/sverre L. Nielsen Seniorrådgiver Norsk Psykologforening Norsk

Detaljer