Risikovurdering - sett fra ISO og informasjonssikkerhet
|
|
- Halvor Erlandsen
- 7 år siden
- Visninger:
Transkript
1 Risikovurdering - sett fra ISO og informasjonssikkerhet DFØs samarbeidsforum Jan Sørgård, Seniorrådgiver Difi
2 BAKGRUNN
3 Internkontroll og risikostyring «god praksis» Rammeverk og standarder: Internkontroll generelt og ERM m.m. Mange områder HMS ++ Veiledninger (konkretiseringer): Normen ++
4 Difis rolle og mandat innen informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen Være en pådriver på etater/staten når det gjelder å bedre informasjonssikkerheten Gi anbefalinger og veiledning til forvaltningsorgan om internkontroll på informasjonssikkerhetsområdet jf. eforvaltningsforskriften 15
5 Hva er informasjonssikkerhet? Sikring av konfidensialitet integritet tilgjengelighet på informasjon som behandles i tilknytning til våre arbeidsoppgaver
6 Hva er informasjonssikkerhet? konfidensialitet informasjon blir ikke kjent for uvedkommende integritet informasjon blir ikke endret utilsiktet eller av uvedkommende tilgjengelighet informasjon er tilgjengelig ved behov
7 Potensielle konsekvenser ved brudd på informasjonssikkerheten Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling
8 Kilder til risikoer uhell uaktsomhet tilsiktede handlinger fra eksterne fra interne (utro tjenere eller pga. uhensiktsmessige arbeidsforhold) ulykker som skjer rundt oss De skaper risikoer - Kan gi uønskede konsekvenser - Vi når ikke målene våre
9 Målene våre nå mål og resultatkrav effektiv ressursbruk etterleve lover og regler pålitelig rapportering Det er disse, på overordnet eller mer detaljert nivå, som kan påvirkes av risikoer
10 RISIKOVURDERING
11 Hva er dette?
12 ISO Risikostyring Prinsipper og retningslinjer
13 Deltrinnene under Risikovurdering i ISO Identifisere Identifisere risikokilder, områder som berøres, hendelser samt deres årsaker og potensielle konsekvenser Analysere Forstå risikoene Estimere konsekvenser og tilhørende sannsynligheter Evaluere Opp mot kriterier for å akseptere risikoer Kan risikoene aksepteres? Ved NEI gjennomfør risikohåndtering Kan gjøres på ulikt detaljeringsnivå og med bruk av ulike metoder, teknikker, verktøy
14 ISO Metoder og verktøy i risikovurderinger 31 metoder/verktøy nevnt Er likevel ikke en komplett liste Kan kombineres til sammensatte og helhetlige metoder Gir ulik støtte under identifisere analysere evaluere Mange er også relevant under håndtere risiko i kommunikasjon
15 ISO Metoder og teknikker i risikovurderinger osv.
16 Valg av metode / verktøy Bør være tilpasset målet med risikovurderingen behovene til beslutningstaker typen og omfanget av risikoer som analyseres (jf. ISO kap. 6) Kan kombineres i sammensatte metoder tilpasset det som skal risikovurderes Trent prosessleder er ofte viktig for å lykkes Husk at risikovurderinger er beslutningsgrunnlag Notat og hensiktsmessige vedlegg bør i tilstrekkelig grad gi utfyllende dokumentasjon
17 En eller flere metoder og verktøy?
18 Risikovurdering ULIKE TILNÆRMINGER
19 Risikovurderinger kan skje på flere nivå Strategisk Taktisk Operasjonelt ***** Innen informasjonssikkerhet: Fokus på operasjonelle risikoer det som kan skje i tilknytning til utføring av arbeidsoppgavene våre
20 Mål eller konsekvenskategorier? Utgangspunkt i mål Mål 1 Risiko 1 Risiko 2 Risiko 3 Mål 2 Risiko 1 Risiko 3 Risiko 5 Utgangspunkt i ansvarsområder/ arbeidsoppgaver Risiko 1 kan påvirke mål / målområde 1 kan påvirke mål / målområde 2 Risiko 2 kan påvirke mål / målområde 2 kan påvirke mål / målområde 3 NB! målene/målområdene blir her ofte kalt konsekvenskategorier e.l. Operasjonelle risikoer og mål/konsekvenskategorier har ofte et mange til mange forhold
21 RISIKOFORSTÅELSE
22 Liv og helse Økonomi Tjenestenivå Sklir på isen??
23 Risikobeskrivelse (scenario / hendelse) utløsende hendelse, følgehendelse, følgehendelse,. konsekvens... Liv og helse Økonomi Tjenestenivå Sklir på isen?? Hva er risikoen? Hvilken konsekvens? Sannsynlighet for hva? Hva er hendelsen?
24 Sannsynlighetsfordeling på ulike konsekvensnivå Refleksjonsgrunnlag (eksempler):
25 RISIKOBESKRIVELSE (SCENARIO / HENDELSE ) Årsaker Skadestart Konsekvenser utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...
26 «Skadestart» dvs Infosikkerhetsbrudd Kvalitetsbrudd Skadestart «ting» Skadestart helse. Årsaker Skadestart Konsekvenser utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...
27 Brudd på konfidensialitet, integritet, tilgjengelighet Skadestart Informasjonssikkerhetsbrudd Årsaker Konsekvenser utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...
28 Informasjonssikkerhetsbrudd Kilder Uhell Uaktsomhet Tilsiktede handlinger Ulykker Årsaker Skadestart Konsekvenser Konsekvenskategori Tjenestenivå Vår økonomi HMS Personvern Regelverk. utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...
29 Informasjonssikkerhetsbrudd Kilder Uhell Uaktsomhet Tilsiktede handlinger Ulykker Årsaker (1) (2) Konsekvenser Konsekvenskategori Tjenestenivå Vår økonomi HMS Personvern Regelverk. RISIKOBESKRIVELSER (SCENARIO / HENDELSER ) Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen
30 Informasjonssikkerhetsbrudd Kilder Uhell Uaktsomhet Tilsiktede handlinger Ulykker Årsaker Skadestart Konsekvenser Konsekvenskategori Tjenestenivå Vår økonomi HMS Personvern Regelverk. Risikoreduserende tiltak utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...
31 Uttrykke risiko Risikobeskrivelse + Risikostørrelse Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen Analysere risiko Potensiell nyttig tilleggsinfo/ utdypninger kan leggges i risikonotatet risikotabellen andre vedlegg til risikonotatet Analysere risiko Anslått nivå på (a) konsekvens (b) tilhørende sannsynlighet (c) risiko (Minimum for en konsekvenskategori / ett målområde. Minimum for største risiko.) Eksempelvis: Nåværende tiltaksbeskrivelser / sårbarhetsnivå Sannsynlighet årsaksdel, info.sikkerhetsbrudd Berørte konsekvenskategorier Dypere analysebeskrivelser/-teknikker
32 FRA DIFIS VEILEDNING FOR INFORMASJONSSIKKERHET
33 Sentrale aktører i risikovurderinger Risikoeiere (mål- og resultatansvarlige / linjeledere) Bør også være systemeiere for egne (fag)system Risikoeiers ansatte De som kjenner oppgavene og de potensielle konsekvensene Systemeiere fellessystem Må involvere risikoeierne i risikovurderinger Prosessledere Leder praktisk gjennomføring av risikovurderinger Bør ha personlige egenskaper og få litt trening Kan ha behov for eksperter ved spesielle metoder/teknikker Tiltaksleverandører Mulige bidragsytere avhengig av innretning på risikovurderingen Eks: IT, bygningsansvarlig, personalenhet
34 Delaktiviteter under Risikovurdering Få oversikten og prioritere Foranalyse av ansvarsområde Taktisk oppdeling og gruppering Vurdere behov for risikovurderinger Planlegge og gjennomføre operasjonelle risikovurderinger
35 Gjennomføre risikovurdering Etablere felles referanseramme Etablere felles begrepsforståelse Vurdere obsområder Identifisere risikoer Analysere risikoer Evaluere risikoer Beskrive kvalitet og kunnskaps -styrke
36 Trinn 4 Identifisere risikoer Mål for trinnet: Identifisere et sett av relevante risikoer Formulere dem i helhetlige risikobeskrivelser Prioritere dem i noen hovedgrupper for arbeidet videre Idédugnad og gruppediskusjon
37 Trinn 4 Identifisere risikoer Støttespørsmål Hva er dere mest bekymret for av uønskede hendelser? Hva er dere mest bekymret for av sikkerhetsbrudd og påfølgende konsekvenser, og hva kan utløse disse? Hva med vesentlig konsekvens har skjedd tidligere hos oss eller andre lignende virksomheter? Hva skjer stadig av hendelser og sikkerhetsbrudd? rundt taushetsplikt? rundt uautorisert endring av vesentlig informasjon endring av vesentlig informasjon ved uhell trege systemer, manglende tilgjengelighet på systemer eller informasjon?
38 Trinn 4 Identifisere risikoer Idedugnad i små runder Eksempelvis: 1. objektet for risikovurderingen generelt 2. spesielle obs-områder / hoveddeler 3. sentrale arbeidsoppgaver 4. sentrale informasjonstyper 5. trusselaktører 6. farer 7. sårbarheter
39 Formuler helhetlige risikobeskrivelser Visuell støtte i sløyfediagrammet Informasjonssikkerhetsbrudd Kilder Uhell Uaktsomhet Tilsiktede handlinger Ulykker Årsaker (1) (2) Konsekvenser Konsekvenskategori Tjenestenivå Vår økonomi HMS Personvern Regelverk. RISIKOBESKRIVELSER Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen
40 Eksempel på risikobeskrivelser ID Årsak (1) (1) Ansatte prater om sosialsaker i kantina, naboer til klienter overhører (1) Ansatte legger hemmelige adresser på internett (1) Organiserte kriminelle, sosial manipulering av ansatte via ekstern IKTtilgang 4 (1) Ansatte gjør feil 5 (1) Brann i serverrom Risikobeskrivelse / Scenario Informasjonssikkerhetsbrudd (skadestart) (2) (2) Brudd på taushetsplikt (2) Hemmelige adresser kommer på avveie (2) Kriminelle endrer beløp og utbetalingskonto i økonomisystem (2) Sletter info i tilskuddssystem (2) Alle system detter ned Konskevensbeskrivelse (3) (3) Naboer snakker om ting de ikke skulle vite, klienter opplever ubehag, barn utestenges (3) Voldspersoner får fatt i personer med hemmelig adresse, gir personskade (3) Feil utbetalinger, vi taper penger, andre får ikke det de har krav på (3) Feil beslutninger og utbetalinger (3) All aktivitet ute av drift Beskrivelsene kan ha ulikt detaljeringsnivå på alle tre delene avhengig av hva som anses hensiktsmessig
41 Trinn 5 Analysere risikoer Mål for trinnet: For hver risikobeskrivelse: Forstå årsakssammenhenger Forstå konsekvenssammenhenger Estimere nivå på konsekvens og tilhørende sannsynlighet på sentrale utfall Finn den risikostørrelsen som uttrykker den største risikoen Strukturert gruppediskusjon + andre støttemetoder ved behov Merk: En dypere analyse av årsaker og konsekvenser kan være aktuell senere under eventuell risikohåndtering
42 Trinn 5 Analysere risikoer Støttespørsmål i diskusjon rundt hver av risikobeskrivelsene: Er det tilsiktede handlinger i årsaksdelen (1)? Hvem er trusselaktørene og hvor stor er motivasjon, vilje og kapasitet? Hva er fremgangsmåten i årsaksdelen? Hvordan kan de prøve å utnytte info.sikkerhetsbruddet (2)? Er det ulykker, uhell eller uaktsomhet i årsaksdelen (1)? Hva skjer? Hvordan kan informasjonssikkerhetsbruddet (2) utvikle seg til konsekvenser (3) av ulik type og størrelse? Hva kan hindre at informasjonssikkerhetsbruddet (2) skjer? informasjonssikkerhetsbruddet (2) blir omfattende? konsekvensene (3) blir store?
43 Velg konsekvenskategori (målområde) og nivå på konsekvens, sannsynlighet og risiko for største risiko Refleksjonsgrunnlag (eksempler):
44 Sannsynlighetsestimat Ta utgangspunkt i historisk hyppighet Anslå sannsynlighetsnivå Juster dersom en trusselaktør er involvert i risikobeskrivelsen: Ut fra aktørens intensjon og kapasitet Juster ut fra sårbarhetsnivå status i tiltaksetableringen hvor lett etablerte tiltak kan omgås hvor lett uhell eller uaktsomhet kan skje
45 Sannsynlighetsestimat Kan være nyttig med refleksjon i flere trinn: sannsynlighet for 1. at beskrivelsen i årsaksdelen inntreffer 2. at informasjonssikkerhetsbruddet (skadestart) inntreffer 3. mest forventet konsekvensnivå 4. konsekvensnivå for største risiko Informer beslutningstaker i risikonotat e.l. om at det vi presenterer et ett risikopunkt i en sannsynlighetsfordeling Flere konsekvenser av ulik størrelse og kategori kan inntreffe NB! Formålet i risikovurderingen er oftest å identifisere hvilke risikoer som må håndteres kommunisere meningsfullt om risikoen
46 Kontakt oss Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no
Aggregering av risiko - behov og utfordringer i risikostyringen
Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerGrunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerOversikt. Remi Longva
Oversikt Remi Longva 2018-09-12 as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know.
DetaljerNIFS 16. desember 2015
NIFS 16. desember 2015 Internkontroll i praksis fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene? Dagens agenda Tid Agendapunkt Ansvarlig 10:00 Velkommen og nytt fra
DetaljerFå oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling
Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter
DetaljerInformasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet
Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en
DetaljerKommunikasjon med ledelsen hva kan Difi bidra med?
Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS 21.02.2018 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet»
DetaljerSikkert nok - Informasjonssikkerhet som strategi
Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007
DetaljerInternkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet
Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerSikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet
Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll
DetaljerDifis veiledningsmateriell, ISO 27001 og Normen
Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerRaskere digitalisering med god sikkerhet. Evry
Raskere digitalisering med god sikkerhet Evry 18.03.2019 Zoya Shah Seniorrådgiver Avdeling for digital transformasjon Seksjon for informasjonssikkerhet Hvem er Difi Stortinget Regjeringen Kommunal- og
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerRisikovurdering for folk og ledere Normkonferansen 2018
Risikovurdering for folk og ledere Normkonferansen 2018 Åsmund Ahlmann Nyre Informasjonssikkerhetsrådgiver Helse Midt-Norge IT Risiko «Effekten av usikkerhet knyttet til mål» (ISO 27001) «Antatt sannsynlighet
DetaljerGrunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Interkontroll i praksis - informasjonssikkerhet
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerØyvind Grinde, seksjonssjef
Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef Brukerreise Helsekort for gravide Navnevalg Foreldrepenger Behandlingstid Digital Agenda Offentlig
DetaljerAnbefalte delaktiviteter og dokumentasjon
Støttedokument Dette er en samlet oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er en punktvis versjon laget for å
DetaljerAnbefalte delaktiviteter og dokumentasjon Støttedokument
Støttedokument Dette er en oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er laget for å gi støtte under aktivitetene
DetaljerDifis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no
Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
Detaljer1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2
Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område
DetaljerRisikobasert arbeid med personvern
Risikobasert arbeid med personvern Tirsdag 6. november 2018 Grev Wedels plass 9 infosikkerhet@difi.no Velkommen Tidspunkt Tema Foredragsholder 09:30 Kaffe 10:00 Velkommen Svanhild Gundersen - Difi 10:05
DetaljerSpørreundersøkelse om informasjonssikkerhet
Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerINTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE
INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE Hva vi har fått til og hva gjenstår? Rikke Bødtker Skoe Senior rådgiver 8. Norske arkivmøte 8. april 2019 Foto: Thomas Widerberg
DetaljerStrategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerStyringssystem for informasjonssikkerhet et topplederansvar
Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering
DetaljerKoordinatorskolen. Risiko og risikoforståelse
Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva
DetaljerOrden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.
Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019 Orden i eget hus + styring og kontroll Hva er informasjonssikkerhet?
DetaljerInformasjonssikkerhet
Informasjonssikkerhet med spesielt blikk på administrative funksjoner Ingvild Stock-Jørgensen Juridisk seniorrådgiver UiT Norges arktiske universitet Innledning Om meg Tema for dagen Hva er informasjonssikkerhet
DetaljerStyringssystem for informasjonssikkerhet
Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser
DetaljerRisikostyring Intern veiledning
Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerRisikobasert etterlevelse av pvf
Risikobasert etterlevelse av pvf NIFS-møte 6.11.2018 Jon Holden, Difi Tema Jobbe effektivt og risikobasert med infosikkerhet, pvf og annen regelverksetterlevelse Dvs. effektivt håndtere risiko som er for
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerInformasjonssikkerhet. Øyvind Rekdal, 17. mars 2015
Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerRisikoanalysemetodikk
Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering
DetaljerVeileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?
Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To
DetaljerSeksjon for informasjonssikkerhet
Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.
DetaljerNotat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring???
Notat om risikostyring: Prosessen & foreløpige resultat Fagdag Sikring 15/5-2018 Bjørnar Heide, Ptil Relevant for sikring??? Notatet blir ferdig i juni Presenteres Sikkerhetsforum 15/6 Regelverksforum
DetaljerDepartementenes oppfølging av informasjonssikkerheten i underliggende virksomheter
Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet,
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerPolicy for Antihvitvask
Intern 1/ 5 Policy for Antihvitvask Besluttet av Styret i Sbanken ASA Dato for beslutning 13. desember 2018 Frekvens beslutning Årlig Erstatter Policy datert 01.11.2017 Dokumenteier Leder Kunde Spesialist,
DetaljerInformasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for
Velkommen til Difis høstkonferanse om informasjonssikkerhet! Det er veldig hyggelig å se så mange. Informasjonssikkerhet har hatt et spesielt fokus nå i oktober ifbm sikkerhetsmåneden Men informasjonssikkerhet
DetaljerOm respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):
Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerStrategi for informasjonssikkerhet
Strategi for informasjonssikkerhet 2019 2021 UiT Norges arktiske universitet Foto: 2018 Gartner. All rights reserved. Versjon: v 1.1 Innholdsfortegnelse 1. INNLEDNING... 3 2. MÅLBILDE... 4 3. MÅLBILDETS
DetaljerGjennomføring av sikringsrisikoanalyser og iverksetting av tiltak
Sikring en naturlig del av virksomhetens risikostyring? Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak Anne Egeli, Sikkerhetsrådgiver 17/11/2016 Hvem er vi? Safetec er en ledende tilbyder
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden
Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet
DetaljerRisikovurdering av elektriske anlegg
Risikovurdering av elektriske anlegg NEK Elsikkerhetskonferanse : 9 november 2011 NK 64 AG risiko Fel 16 Hvordan gjør de det? Definisjon av fare Handling eller forhold som kan føre til en uønsket hendelse
DetaljerRisiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess
Risiko og Sårbarhetsanalyse på NTNU Presentasjons av prosess 2 (Info)Sikkerhetsrisiko formål Utfører risikovurderinger for å: Redusere usikkerhet og kompleksitet for systemet Kartlegge uakseptabel risiko
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerHva er sikkerhet for deg?
Sikkerhet Hva er sikkerhet for deg? Foto: Rune Kilden Foto: Øystein Grue Bane NORs sikkerhetspolitikk Bane NOR arbeider systematisk for kontinuerlig forbedring av sikkerheten, for å unngå skade på menneske,
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerUndersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4
Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 ID Spørsmål Svar A Styring og kontroll i virksomheten A.1 Hvilke standarder, rammeverk og
DetaljerFylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen
Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -
DetaljerVeileder: Risikovurdering av informasjonssikkerhet
Veileder: Risikovurdering av informasjonssikkerhet Informasjonssikkerhet og risikovurderinger Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd
DetaljerSamlet risikobilde av pasientreiseområdet 2014 Sannsynlighet
Konsekvens Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet 1 2 3 4 5 5 4 3 1. Sikkerhet 2. Bruk av og kunnskap om 3. Eksterne avtaleparter 4. Økonomiske misligheter 5. Annet 2 1 Risiko Risikopunkt
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerRisiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering
Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre
DetaljerUtgitt: Januar /2017. Kontroll med risiko gir gevinst
Utgitt: Januar 2018 www.marketings.no 4593/2017 Kontroll med risiko gir gevinst Virksomheter som kartlegger risiko og g jennomfører tiltak for å redusere den, vil oppleve at tap og skader blir mindre.
DetaljerSammenligning av ledelsesstandarder for risiko
Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018 Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell
DetaljerInformasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten
Informasjonsaktiva - en (forsøksvis) praktisk tilnærming til kategorisering av data Harald Rishovd Oslo kommune, Vann- og avløpsetaten Informasjonsaktiva Hjelpemiddel for å klassifisere informasjon i henhold
DetaljerOverordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT
Berlevåg kommune Overordnet ROS analyse Risiko og sårbarhetsanalyse for Beredskapsavdelingen Innhold INNLEDNING... 3 KATEGORISERING AV SANNSYNLIGHET OG KONSEKVENS... 3 STYRENDE DOKUMENTER... 3 VURDERING
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerRISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET
RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling
DetaljerElektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008
v/rådgiver Jim-Arne Hansen IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 Disposisjon: Grunnleggende personvernprinsipper Informasjonssikkerhet Papirbasert - / elektronisk arkiv 2 Viktige personvernprinsipper
DetaljerDokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: mars 2018
Dokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: 2.0 22. mars 2018 1. Generelt Virksomheten i Fundstep AS org nr 919 147 474 MVA skal være preget av soliditet, åpenhet
DetaljerRISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011
RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011 Disposisjon Hvorfor gjennomføre risikoanalyser? Sentrale begreper i risikoanalyser Gjennomgang av hovedtyper risikoanalyser
DetaljerRisikovurdering «etterpåklok på forhånd»
Risikovurdering «etterpåklok på forhånd» Sissel Vollan, Yrkeshygieniker og HMS-rådgiver 13.12.18 / SIDE 1 Mål for undervisningen Gi basis kunnskaper om risikovurdering Kunne delta aktivt i en risikovurdering
DetaljerInternkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi
Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan
DetaljerFra ROS analyse til beredskap
Fra ROS analyse til beredskap perspektiv fra offshoreindustrien ESRA seminar, 21.mai 2014 PREPARED. Eldbjørg Holmaas NTH - 94 Ind. øk. Arb.miljø og sikkerhet OD (nå Ptil) 1 år - Elektro og sikringssystemer.
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerEt revisjonsblikk på internkontroll
Et revisjonsblikk på internkontroll Ekspedisjonssjef Jens Gunvaldsen Riksrevisjonen PSC INTOSAI Professional Standards Committee Utgangspunkt I: Early history of internal control Internal controls have
DetaljerHvilke faktorer påvirker virksomhetenes tilnærming til risiko
Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL 13.11.2018 UNDERVISNINGSBYGG OSLO KF Agenda- 10 faktorer som påvirker virksomhetens tilnærming til risiko Definisjon av risiko
DetaljerStyresak Vedlegg 5. Prosessbeskrivelse risikostyring
Styresak 065-2017 Vedlegg 5 Innhold 1. Dokumentets formål... 2 2. Overordnet målsetting... 3 3. Områder som alltid skal risikovurderes... 4 4. Roller og ansvar i risikostyringsprosessen... 4 5. Kunnskaper,
DetaljerNytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring
Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai 2013 Side 1 Program Tid Tema Hvem 08:45-09:00 Registrering og kaffe 09:00 09:05 Velkommen Roger Bjerke, avdelingsdirektør Forvaltnings-
DetaljerKrav til utførelse av Sikringsrisikovurdering
Krav til utførelse av Sikringsrisikovurdering 1. Hensikt Forebygging av viljeshandlinger mot jernbanen handler om å beskytte de fysiske objektene vi har ansvaret for, informasjonen og mennesker som reiser
DetaljerBrudd på personopplysningssikkerheten
Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets
DetaljerIntegrering av IT i virksomhetens helhetlige risikostyring
Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs
DetaljerInternkontroll. SUHS-konferansen 2016
SUHS-konferansen 2016 Vi starter med en liten video https://www.youtube.com/watch?v=usf-vgxmeuq Hva legger vi i begrepet internkontroll? Stikkord: Kontroll av interne rutiner, rammer skal ikke overskrides,
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerRisiko og risikoforståelse
Risiko og risikoforståelse 26.11.2013 Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva er hensikten
DetaljerBarrierestyring. Hermann Steen Wiencke PREPARED.
Barrierestyring Hermann Steen Wiencke PREPARED. Bakgrunn - Ptil Det overordnede fokuset er at barrierer skal ivaretas på en helhetlig og konsistent måte slik at risiko for storulykker reduseres så langt
DetaljerFelles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør
Felles journal Fra et samfunnssikkerhets- og beredskapsperspektiv Elisabeth Longva, avdelingsdirektør 4. mai 2017 DSB (Direktoratet for samfunnssikkerhet og beredskap) Samordningsansvar på nasjonalt nivå
DetaljerSIBA-seminar: Styring av ulykkesrisiko i BAprosjekter
SIBA-seminar: Styring av ulykkesrisiko i BAprosjekter 10. oktober 2016 1 Hotel Park Inn Oslo Airport, Gardermoen Hensikten med SIBA-seminarene Å formidle resultater fra prosjektet, samt å dele erfaringer
DetaljerRisikostyringsprosessen
Kommunikasjon og innvolvering IM 2015-008V Beskrivelse av risikostyringsprosessen Dette vedlegget beskriver de ulike delene av prosessen som fremgår av IM om risikostyring, og hvordan disse kan gjennomføres.
Detaljer