Risikovurdering - sett fra ISO og informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Risikovurdering - sett fra ISO og informasjonssikkerhet"

Transkript

1 Risikovurdering - sett fra ISO og informasjonssikkerhet DFØs samarbeidsforum Jan Sørgård, Seniorrådgiver Difi

2 BAKGRUNN

3 Internkontroll og risikostyring «god praksis» Rammeverk og standarder: Internkontroll generelt og ERM m.m. Mange områder HMS ++ Veiledninger (konkretiseringer): Normen ++

4 Difis rolle og mandat innen informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen Være en pådriver på etater/staten når det gjelder å bedre informasjonssikkerheten Gi anbefalinger og veiledning til forvaltningsorgan om internkontroll på informasjonssikkerhetsområdet jf. eforvaltningsforskriften 15

5 Hva er informasjonssikkerhet? Sikring av konfidensialitet integritet tilgjengelighet på informasjon som behandles i tilknytning til våre arbeidsoppgaver

6 Hva er informasjonssikkerhet? konfidensialitet informasjon blir ikke kjent for uvedkommende integritet informasjon blir ikke endret utilsiktet eller av uvedkommende tilgjengelighet informasjon er tilgjengelig ved behov

7 Potensielle konsekvenser ved brudd på informasjonssikkerheten Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling

8 Kilder til risikoer uhell uaktsomhet tilsiktede handlinger fra eksterne fra interne (utro tjenere eller pga. uhensiktsmessige arbeidsforhold) ulykker som skjer rundt oss De skaper risikoer - Kan gi uønskede konsekvenser - Vi når ikke målene våre

9 Målene våre nå mål og resultatkrav effektiv ressursbruk etterleve lover og regler pålitelig rapportering Det er disse, på overordnet eller mer detaljert nivå, som kan påvirkes av risikoer

10 RISIKOVURDERING

11 Hva er dette?

12 ISO Risikostyring Prinsipper og retningslinjer

13 Deltrinnene under Risikovurdering i ISO Identifisere Identifisere risikokilder, områder som berøres, hendelser samt deres årsaker og potensielle konsekvenser Analysere Forstå risikoene Estimere konsekvenser og tilhørende sannsynligheter Evaluere Opp mot kriterier for å akseptere risikoer Kan risikoene aksepteres? Ved NEI gjennomfør risikohåndtering Kan gjøres på ulikt detaljeringsnivå og med bruk av ulike metoder, teknikker, verktøy

14 ISO Metoder og verktøy i risikovurderinger 31 metoder/verktøy nevnt Er likevel ikke en komplett liste Kan kombineres til sammensatte og helhetlige metoder Gir ulik støtte under identifisere analysere evaluere Mange er også relevant under håndtere risiko i kommunikasjon

15 ISO Metoder og teknikker i risikovurderinger osv.

16 Valg av metode / verktøy Bør være tilpasset målet med risikovurderingen behovene til beslutningstaker typen og omfanget av risikoer som analyseres (jf. ISO kap. 6) Kan kombineres i sammensatte metoder tilpasset det som skal risikovurderes Trent prosessleder er ofte viktig for å lykkes Husk at risikovurderinger er beslutningsgrunnlag Notat og hensiktsmessige vedlegg bør i tilstrekkelig grad gi utfyllende dokumentasjon

17 En eller flere metoder og verktøy?

18 Risikovurdering ULIKE TILNÆRMINGER

19 Risikovurderinger kan skje på flere nivå Strategisk Taktisk Operasjonelt ***** Innen informasjonssikkerhet: Fokus på operasjonelle risikoer det som kan skje i tilknytning til utføring av arbeidsoppgavene våre

20 Mål eller konsekvenskategorier? Utgangspunkt i mål Mål 1 Risiko 1 Risiko 2 Risiko 3 Mål 2 Risiko 1 Risiko 3 Risiko 5 Utgangspunkt i ansvarsområder/ arbeidsoppgaver Risiko 1 kan påvirke mål / målområde 1 kan påvirke mål / målområde 2 Risiko 2 kan påvirke mål / målområde 2 kan påvirke mål / målområde 3 NB! målene/målområdene blir her ofte kalt konsekvenskategorier e.l. Operasjonelle risikoer og mål/konsekvenskategorier har ofte et mange til mange forhold

21 RISIKOFORSTÅELSE

22 Liv og helse Økonomi Tjenestenivå Sklir på isen??

23 Risikobeskrivelse (scenario / hendelse) utløsende hendelse, følgehendelse, følgehendelse,. konsekvens... Liv og helse Økonomi Tjenestenivå Sklir på isen?? Hva er risikoen? Hvilken konsekvens? Sannsynlighet for hva? Hva er hendelsen?

24 Sannsynlighetsfordeling på ulike konsekvensnivå Refleksjonsgrunnlag (eksempler):

25 RISIKOBESKRIVELSE (SCENARIO / HENDELSE ) Årsaker Skadestart Konsekvenser utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...

26 «Skadestart» dvs Infosikkerhetsbrudd Kvalitetsbrudd Skadestart «ting» Skadestart helse. Årsaker Skadestart Konsekvenser utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...

27 Brudd på konfidensialitet, integritet, tilgjengelighet Skadestart Informasjonssikkerhetsbrudd Årsaker Konsekvenser utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...

28 Informasjonssikkerhetsbrudd Kilder Uhell Uaktsomhet Tilsiktede handlinger Ulykker Årsaker Skadestart Konsekvenser Konsekvenskategori Tjenestenivå Vår økonomi HMS Personvern Regelverk. utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...

29 Informasjonssikkerhetsbrudd Kilder Uhell Uaktsomhet Tilsiktede handlinger Ulykker Årsaker (1) (2) Konsekvenser Konsekvenskategori Tjenestenivå Vår økonomi HMS Personvern Regelverk. RISIKOBESKRIVELSER (SCENARIO / HENDELSER ) Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen

30 Informasjonssikkerhetsbrudd Kilder Uhell Uaktsomhet Tilsiktede handlinger Ulykker Årsaker Skadestart Konsekvenser Konsekvenskategori Tjenestenivå Vår økonomi HMS Personvern Regelverk. Risikoreduserende tiltak utløsende hendelse, følgehendelse, følgehendelse,. konsekvens...

31 Uttrykke risiko Risikobeskrivelse + Risikostørrelse Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen Analysere risiko Potensiell nyttig tilleggsinfo/ utdypninger kan leggges i risikonotatet risikotabellen andre vedlegg til risikonotatet Analysere risiko Anslått nivå på (a) konsekvens (b) tilhørende sannsynlighet (c) risiko (Minimum for en konsekvenskategori / ett målområde. Minimum for største risiko.) Eksempelvis: Nåværende tiltaksbeskrivelser / sårbarhetsnivå Sannsynlighet årsaksdel, info.sikkerhetsbrudd Berørte konsekvenskategorier Dypere analysebeskrivelser/-teknikker

32 FRA DIFIS VEILEDNING FOR INFORMASJONSSIKKERHET

33 Sentrale aktører i risikovurderinger Risikoeiere (mål- og resultatansvarlige / linjeledere) Bør også være systemeiere for egne (fag)system Risikoeiers ansatte De som kjenner oppgavene og de potensielle konsekvensene Systemeiere fellessystem Må involvere risikoeierne i risikovurderinger Prosessledere Leder praktisk gjennomføring av risikovurderinger Bør ha personlige egenskaper og få litt trening Kan ha behov for eksperter ved spesielle metoder/teknikker Tiltaksleverandører Mulige bidragsytere avhengig av innretning på risikovurderingen Eks: IT, bygningsansvarlig, personalenhet

34 Delaktiviteter under Risikovurdering Få oversikten og prioritere Foranalyse av ansvarsområde Taktisk oppdeling og gruppering Vurdere behov for risikovurderinger Planlegge og gjennomføre operasjonelle risikovurderinger

35 Gjennomføre risikovurdering Etablere felles referanseramme Etablere felles begrepsforståelse Vurdere obsområder Identifisere risikoer Analysere risikoer Evaluere risikoer Beskrive kvalitet og kunnskaps -styrke

36 Trinn 4 Identifisere risikoer Mål for trinnet: Identifisere et sett av relevante risikoer Formulere dem i helhetlige risikobeskrivelser Prioritere dem i noen hovedgrupper for arbeidet videre Idédugnad og gruppediskusjon

37 Trinn 4 Identifisere risikoer Støttespørsmål Hva er dere mest bekymret for av uønskede hendelser? Hva er dere mest bekymret for av sikkerhetsbrudd og påfølgende konsekvenser, og hva kan utløse disse? Hva med vesentlig konsekvens har skjedd tidligere hos oss eller andre lignende virksomheter? Hva skjer stadig av hendelser og sikkerhetsbrudd? rundt taushetsplikt? rundt uautorisert endring av vesentlig informasjon endring av vesentlig informasjon ved uhell trege systemer, manglende tilgjengelighet på systemer eller informasjon?

38 Trinn 4 Identifisere risikoer Idedugnad i små runder Eksempelvis: 1. objektet for risikovurderingen generelt 2. spesielle obs-områder / hoveddeler 3. sentrale arbeidsoppgaver 4. sentrale informasjonstyper 5. trusselaktører 6. farer 7. sårbarheter

39 Formuler helhetlige risikobeskrivelser Visuell støtte i sløyfediagrammet Informasjonssikkerhetsbrudd Kilder Uhell Uaktsomhet Tilsiktede handlinger Ulykker Årsaker (1) (2) Konsekvenser Konsekvenskategori Tjenestenivå Vår økonomi HMS Personvern Regelverk. RISIKOBESKRIVELSER Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen

40 Eksempel på risikobeskrivelser ID Årsak (1) (1) Ansatte prater om sosialsaker i kantina, naboer til klienter overhører (1) Ansatte legger hemmelige adresser på internett (1) Organiserte kriminelle, sosial manipulering av ansatte via ekstern IKTtilgang 4 (1) Ansatte gjør feil 5 (1) Brann i serverrom Risikobeskrivelse / Scenario Informasjonssikkerhetsbrudd (skadestart) (2) (2) Brudd på taushetsplikt (2) Hemmelige adresser kommer på avveie (2) Kriminelle endrer beløp og utbetalingskonto i økonomisystem (2) Sletter info i tilskuddssystem (2) Alle system detter ned Konskevensbeskrivelse (3) (3) Naboer snakker om ting de ikke skulle vite, klienter opplever ubehag, barn utestenges (3) Voldspersoner får fatt i personer med hemmelig adresse, gir personskade (3) Feil utbetalinger, vi taper penger, andre får ikke det de har krav på (3) Feil beslutninger og utbetalinger (3) All aktivitet ute av drift Beskrivelsene kan ha ulikt detaljeringsnivå på alle tre delene avhengig av hva som anses hensiktsmessig

41 Trinn 5 Analysere risikoer Mål for trinnet: For hver risikobeskrivelse: Forstå årsakssammenhenger Forstå konsekvenssammenhenger Estimere nivå på konsekvens og tilhørende sannsynlighet på sentrale utfall Finn den risikostørrelsen som uttrykker den største risikoen Strukturert gruppediskusjon + andre støttemetoder ved behov Merk: En dypere analyse av årsaker og konsekvenser kan være aktuell senere under eventuell risikohåndtering

42 Trinn 5 Analysere risikoer Støttespørsmål i diskusjon rundt hver av risikobeskrivelsene: Er det tilsiktede handlinger i årsaksdelen (1)? Hvem er trusselaktørene og hvor stor er motivasjon, vilje og kapasitet? Hva er fremgangsmåten i årsaksdelen? Hvordan kan de prøve å utnytte info.sikkerhetsbruddet (2)? Er det ulykker, uhell eller uaktsomhet i årsaksdelen (1)? Hva skjer? Hvordan kan informasjonssikkerhetsbruddet (2) utvikle seg til konsekvenser (3) av ulik type og størrelse? Hva kan hindre at informasjonssikkerhetsbruddet (2) skjer? informasjonssikkerhetsbruddet (2) blir omfattende? konsekvensene (3) blir store?

43 Velg konsekvenskategori (målområde) og nivå på konsekvens, sannsynlighet og risiko for største risiko Refleksjonsgrunnlag (eksempler):

44 Sannsynlighetsestimat Ta utgangspunkt i historisk hyppighet Anslå sannsynlighetsnivå Juster dersom en trusselaktør er involvert i risikobeskrivelsen: Ut fra aktørens intensjon og kapasitet Juster ut fra sårbarhetsnivå status i tiltaksetableringen hvor lett etablerte tiltak kan omgås hvor lett uhell eller uaktsomhet kan skje

45 Sannsynlighetsestimat Kan være nyttig med refleksjon i flere trinn: sannsynlighet for 1. at beskrivelsen i årsaksdelen inntreffer 2. at informasjonssikkerhetsbruddet (skadestart) inntreffer 3. mest forventet konsekvensnivå 4. konsekvensnivå for største risiko Informer beslutningstaker i risikonotat e.l. om at det vi presenterer et ett risikopunkt i en sannsynlighetsfordeling Flere konsekvenser av ulik størrelse og kategori kan inntreffe NB! Formålet i risikovurderingen er oftest å identifisere hvilke risikoer som må håndteres kommunisere meningsfullt om risikoen

46 Kontakt oss Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no

Aggregering av risiko - behov og utfordringer i risikostyringen

Aggregering av risiko - behov og utfordringer i risikostyringen Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning

Detaljer

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?

Detaljer

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet

Detaljer

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Helhetlig arbeid med informasjonssikkerhet. Remi Longva Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

Oversikt. Remi Longva

Oversikt. Remi Longva Oversikt Remi Longva 2018-09-12 as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know.

Detaljer

NIFS 16. desember 2015

NIFS 16. desember 2015 NIFS 16. desember 2015 Internkontroll i praksis fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene? Dagens agenda Tid Agendapunkt Ansvarlig 10:00 Velkommen og nytt fra

Detaljer

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter

Detaljer

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en

Detaljer

Kommunikasjon med ledelsen hva kan Difi bidra med?

Kommunikasjon med ledelsen hva kan Difi bidra med? Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS 21.02.2018 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet»

Detaljer

Sikkert nok - Informasjonssikkerhet som strategi

Sikkert nok - Informasjonssikkerhet som strategi Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Raskere digitalisering med god sikkerhet. Evry

Raskere digitalisering med god sikkerhet. Evry Raskere digitalisering med god sikkerhet Evry 18.03.2019 Zoya Shah Seniorrådgiver Avdeling for digital transformasjon Seksjon for informasjonssikkerhet Hvem er Difi Stortinget Regjeringen Kommunal- og

Detaljer

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner

Detaljer

Risikovurdering for folk og ledere Normkonferansen 2018

Risikovurdering for folk og ledere Normkonferansen 2018 Risikovurdering for folk og ledere Normkonferansen 2018 Åsmund Ahlmann Nyre Informasjonssikkerhetsrådgiver Helse Midt-Norge IT Risiko «Effekten av usikkerhet knyttet til mål» (ISO 27001) «Antatt sannsynlighet

Detaljer

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Interkontroll i praksis - informasjonssikkerhet

Detaljer

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra

Detaljer

Øyvind Grinde, seksjonssjef

Øyvind Grinde, seksjonssjef Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef Brukerreise Helsekort for gravide Navnevalg Foreldrepenger Behandlingstid Digital Agenda Offentlig

Detaljer

Anbefalte delaktiviteter og dokumentasjon

Anbefalte delaktiviteter og dokumentasjon Støttedokument Dette er en samlet oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er en punktvis versjon laget for å

Detaljer

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Anbefalte delaktiviteter og dokumentasjon Støttedokument Støttedokument Dette er en oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er laget for å gi støtte under aktivitetene

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...

Detaljer

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2 Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område

Detaljer

Risikobasert arbeid med personvern

Risikobasert arbeid med personvern Risikobasert arbeid med personvern Tirsdag 6. november 2018 Grev Wedels plass 9 infosikkerhet@difi.no Velkommen Tidspunkt Tema Foredragsholder 09:30 Kaffe 10:00 Velkommen Svanhild Gundersen - Difi 10:05

Detaljer

Spørreundersøkelse om informasjonssikkerhet

Spørreundersøkelse om informasjonssikkerhet Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i

Detaljer

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet

Detaljer

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE Hva vi har fått til og hva gjenstår? Rikke Bødtker Skoe Senior rådgiver 8. Norske arkivmøte 8. april 2019 Foto: Thomas Widerberg

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Koordinatorskolen. Risiko og risikoforståelse

Koordinatorskolen. Risiko og risikoforståelse Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva

Detaljer

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019 Orden i eget hus + styring og kontroll Hva er informasjonssikkerhet?

Detaljer

Informasjonssikkerhet

Informasjonssikkerhet Informasjonssikkerhet med spesielt blikk på administrative funksjoner Ingvild Stock-Jørgensen Juridisk seniorrådgiver UiT Norges arktiske universitet Innledning Om meg Tema for dagen Hva er informasjonssikkerhet

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Risikobasert etterlevelse av pvf

Risikobasert etterlevelse av pvf Risikobasert etterlevelse av pvf NIFS-møte 6.11.2018 Jon Holden, Difi Tema Jobbe effektivt og risikobasert med infosikkerhet, pvf og annen regelverksetterlevelse Dvs. effektivt håndtere risiko som er for

Detaljer

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Retningslinjer for risikostyring ved HiOA Dato siste revisjon: Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,

Detaljer

Politikk for informasjonssikkerhet

Politikk for informasjonssikkerhet Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Notat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring???

Notat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring??? Notat om risikostyring: Prosessen & foreløpige resultat Fagdag Sikring 15/5-2018 Bjørnar Heide, Ptil Relevant for sikring??? Notatet blir ferdig i juni Presenteres Sikkerhetsforum 15/6 Regelverksforum

Detaljer

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet,

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Policy for Antihvitvask

Policy for Antihvitvask Intern 1/ 5 Policy for Antihvitvask Besluttet av Styret i Sbanken ASA Dato for beslutning 13. desember 2018 Frekvens beslutning Årlig Erstatter Policy datert 01.11.2017 Dokumenteier Leder Kunde Spesialist,

Detaljer

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for Velkommen til Difis høstkonferanse om informasjonssikkerhet! Det er veldig hyggelig å se så mange. Informasjonssikkerhet har hatt et spesielt fokus nå i oktober ifbm sikkerhetsmåneden Men informasjonssikkerhet

Detaljer

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle): Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Strategi for informasjonssikkerhet

Strategi for informasjonssikkerhet Strategi for informasjonssikkerhet 2019 2021 UiT Norges arktiske universitet Foto: 2018 Gartner. All rights reserved. Versjon: v 1.1 Innholdsfortegnelse 1. INNLEDNING... 3 2. MÅLBILDE... 4 3. MÅLBILDETS

Detaljer

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak Sikring en naturlig del av virksomhetens risikostyring? Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak Anne Egeli, Sikkerhetsrådgiver 17/11/2016 Hvem er vi? Safetec er en ledende tilbyder

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

Risikovurdering av elektriske anlegg

Risikovurdering av elektriske anlegg Risikovurdering av elektriske anlegg NEK Elsikkerhetskonferanse : 9 november 2011 NK 64 AG risiko Fel 16 Hvordan gjør de det? Definisjon av fare Handling eller forhold som kan føre til en uønsket hendelse

Detaljer

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess Risiko og Sårbarhetsanalyse på NTNU Presentasjons av prosess 2 (Info)Sikkerhetsrisiko formål Utfører risikovurderinger for å: Redusere usikkerhet og kompleksitet for systemet Kartlegge uakseptabel risiko

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering

Detaljer

Hva er sikkerhet for deg?

Hva er sikkerhet for deg? Sikkerhet Hva er sikkerhet for deg? Foto: Rune Kilden Foto: Øystein Grue Bane NORs sikkerhetspolitikk Bane NOR arbeider systematisk for kontinuerlig forbedring av sikkerheten, for å unngå skade på menneske,

Detaljer

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Policy for informasjonssikkerhet og personvern i Sbanken ASA Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer

Detaljer

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 ID Spørsmål Svar A Styring og kontroll i virksomheten A.1 Hvilke standarder, rammeverk og

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Veileder: Risikovurdering av informasjonssikkerhet

Veileder: Risikovurdering av informasjonssikkerhet Veileder: Risikovurdering av informasjonssikkerhet Informasjonssikkerhet og risikovurderinger Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd

Detaljer

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet Konsekvens Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet 1 2 3 4 5 5 4 3 1. Sikkerhet 2. Bruk av og kunnskap om 3. Eksterne avtaleparter 4. Økonomiske misligheter 5. Annet 2 1 Risiko Risikopunkt

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre

Detaljer

Utgitt: Januar /2017. Kontroll med risiko gir gevinst

Utgitt: Januar /2017. Kontroll med risiko gir gevinst Utgitt: Januar 2018 www.marketings.no 4593/2017 Kontroll med risiko gir gevinst Virksomheter som kartlegger risiko og g jennomfører tiltak for å redusere den, vil oppleve at tap og skader blir mindre.

Detaljer

Sammenligning av ledelsesstandarder for risiko

Sammenligning av ledelsesstandarder for risiko Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018 Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell

Detaljer

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten Informasjonsaktiva - en (forsøksvis) praktisk tilnærming til kategorisering av data Harald Rishovd Oslo kommune, Vann- og avløpsetaten Informasjonsaktiva Hjelpemiddel for å klassifisere informasjon i henhold

Detaljer

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT Berlevåg kommune Overordnet ROS analyse Risiko og sårbarhetsanalyse for Beredskapsavdelingen Innhold INNLEDNING... 3 KATEGORISERING AV SANNSYNLIGHET OG KONSEKVENS... 3 STYRENDE DOKUMENTER... 3 VURDERING

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 v/rådgiver Jim-Arne Hansen IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 Disposisjon: Grunnleggende personvernprinsipper Informasjonssikkerhet Papirbasert - / elektronisk arkiv 2 Viktige personvernprinsipper

Detaljer

Dokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: mars 2018

Dokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: mars 2018 Dokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: 2.0 22. mars 2018 1. Generelt Virksomheten i Fundstep AS org nr 919 147 474 MVA skal være preget av soliditet, åpenhet

Detaljer

RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011

RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011 RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011 Disposisjon Hvorfor gjennomføre risikoanalyser? Sentrale begreper i risikoanalyser Gjennomgang av hovedtyper risikoanalyser

Detaljer

Risikovurdering «etterpåklok på forhånd»

Risikovurdering «etterpåklok på forhånd» Risikovurdering «etterpåklok på forhånd» Sissel Vollan, Yrkeshygieniker og HMS-rådgiver 13.12.18 / SIDE 1 Mål for undervisningen Gi basis kunnskaper om risikovurdering Kunne delta aktivt i en risikovurdering

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Fra ROS analyse til beredskap

Fra ROS analyse til beredskap Fra ROS analyse til beredskap perspektiv fra offshoreindustrien ESRA seminar, 21.mai 2014 PREPARED. Eldbjørg Holmaas NTH - 94 Ind. øk. Arb.miljø og sikkerhet OD (nå Ptil) 1 år - Elektro og sikringssystemer.

Detaljer

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017 GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,

Detaljer

Et revisjonsblikk på internkontroll

Et revisjonsblikk på internkontroll Et revisjonsblikk på internkontroll Ekspedisjonssjef Jens Gunvaldsen Riksrevisjonen PSC INTOSAI Professional Standards Committee Utgangspunkt I: Early history of internal control Internal controls have

Detaljer

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL 13.11.2018 UNDERVISNINGSBYGG OSLO KF Agenda- 10 faktorer som påvirker virksomhetens tilnærming til risiko Definisjon av risiko

Detaljer

Styresak Vedlegg 5. Prosessbeskrivelse risikostyring

Styresak Vedlegg 5. Prosessbeskrivelse risikostyring Styresak 065-2017 Vedlegg 5 Innhold 1. Dokumentets formål... 2 2. Overordnet målsetting... 3 3. Områder som alltid skal risikovurderes... 4 4. Roller og ansvar i risikostyringsprosessen... 4 5. Kunnskaper,

Detaljer

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai 2013 Side 1 Program Tid Tema Hvem 08:45-09:00 Registrering og kaffe 09:00 09:05 Velkommen Roger Bjerke, avdelingsdirektør Forvaltnings-

Detaljer

Krav til utførelse av Sikringsrisikovurdering

Krav til utførelse av Sikringsrisikovurdering Krav til utførelse av Sikringsrisikovurdering 1. Hensikt Forebygging av viljeshandlinger mot jernbanen handler om å beskytte de fysiske objektene vi har ansvaret for, informasjonen og mennesker som reiser

Detaljer

Brudd på personopplysningssikkerheten

Brudd på personopplysningssikkerheten Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

Internkontroll. SUHS-konferansen 2016

Internkontroll. SUHS-konferansen 2016 SUHS-konferansen 2016 Vi starter med en liten video https://www.youtube.com/watch?v=usf-vgxmeuq Hva legger vi i begrepet internkontroll? Stikkord: Kontroll av interne rutiner, rammer skal ikke overskrides,

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Risiko og risikoforståelse

Risiko og risikoforståelse Risiko og risikoforståelse 26.11.2013 Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva er hensikten

Detaljer

Barrierestyring. Hermann Steen Wiencke PREPARED.

Barrierestyring. Hermann Steen Wiencke PREPARED. Barrierestyring Hermann Steen Wiencke PREPARED. Bakgrunn - Ptil Det overordnede fokuset er at barrierer skal ivaretas på en helhetlig og konsistent måte slik at risiko for storulykker reduseres så langt

Detaljer

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør Felles journal Fra et samfunnssikkerhets- og beredskapsperspektiv Elisabeth Longva, avdelingsdirektør 4. mai 2017 DSB (Direktoratet for samfunnssikkerhet og beredskap) Samordningsansvar på nasjonalt nivå

Detaljer

SIBA-seminar: Styring av ulykkesrisiko i BAprosjekter

SIBA-seminar: Styring av ulykkesrisiko i BAprosjekter SIBA-seminar: Styring av ulykkesrisiko i BAprosjekter 10. oktober 2016 1 Hotel Park Inn Oslo Airport, Gardermoen Hensikten med SIBA-seminarene Å formidle resultater fra prosjektet, samt å dele erfaringer

Detaljer

Risikostyringsprosessen

Risikostyringsprosessen Kommunikasjon og innvolvering IM 2015-008V Beskrivelse av risikostyringsprosessen Dette vedlegget beskriver de ulike delene av prosessen som fremgår av IM om risikostyring, og hvordan disse kan gjennomføres.

Detaljer