Bygging av en sikkerhetsarkitektur -Security Architecture another pie in the sky. En kort presentasjon

Størrelse: px
Begynne med side:

Download "Bygging av en sikkerhetsarkitektur -Security Architecture another pie in the sky. En kort presentasjon"

Transkript

1 Bygging av en sikkerhetsarkitektur -Security Architecture another pie in the sky En kort presentasjon

2 Bakgrunn... ønsker en felles helhetstenkning for hele foretaket når det gjelder Sikkerhet. Man skal integrere sikkerhetsstyring med kvalitetsrapportering Man ønsker et klart skille mellom strategisk sikkerhetsstyring og operativ sikringskontroll

3 Dynamiske Statiske Filosofi Administrative, ikke-tekniske Operative, tekniske En sikkerhetsarkitektur bør bygges opp innefor 4 områder: 1. Administrative, ikke-tekniske elementer 2. Operative, tekniske elementer 3. Statiske, langsiktige aktiviteter 4. Dynamiske aktiviteter Fokuserer på 3 pilarer for å oppnå styring og kontroll med IT ( IT- Governance ). 1. Målsetning (kvantifiserbart, målbart) 2. Risiko (Vurdering og analyser) 3. Styring/kontroll (Kvalitetssirkel)

4 IKT Sikkerhet - to aspekter Administrative, ikketekniske tiltak (Sørge for og Påse tilfredsstillende leveransekvalitet) Sikre at prosedyrer eksisterer og blir fulgt Etablere og følge opp egenkontroll. Omforme et rammeverk til et praktisk og operativt verktøy for internt bruk Cobit ISO ITIL Tekniske, operative tiltak (Preventive, Detekterende og Korrigerende tiltak) Etablere sikkerhet i nye tekniske løsninger Overvåke og monitorere interne og eksterne hendelser Følge opp og sørge for utbedring av registrerte feil og mangler

5 Tekniske, operative tiltak IKT Sikkerhetsansvarlig skal i sitt operative virke holder på med 4 oppgaver: Plan Do Act Check slik at et akseptabelt risikonivå for leveranser holdes. Det vil si Planlegger tiltak, Utfører aktiviteter, Reagerer ved uønskede hendelser og sjekker at driftsorganisasjonens rutiner sørger for at sikkerhetshendelser ikke kan gjentas. Preventivt: Deltar aktivt i prosjekter for nye infrastrukturløsninger for å sikre at behov for konfidensialitet, integritet og tilgjengelighet ivaretas sammen med brukeropplevd funksjonalitet. (eks. Ny aksessløsning) Detekterende: Følger opp relevante sikkerhetsrelaterte hendelser og brudd som skjer internt og eksternt på Ad-hoc-basis. Foreslår strakstiltak i samarbeid med fagansvarlig og vurderer langsiktige forbedringstiltak. (eks. Vurdere Sikkerhetspatcher, etablere Incident Response Team etc) korrektive: Følger regelmessig opp innregistrerte risikoer som er lagt inn i Internkontrollsystemet. Aktivt sammen med fagansvarlige iverksette tiltak for å hindre gjentagelse ved å etablere arbeidsprosesser som medfører IT drift innenfor ledelsens akseptable risikonivå. (eks. Gi ansatte en forståelse av viktigheten av å følge prosedyrer som ITIL beskriver og av egenkontroll og dokumentasjon slik at man gjør tingene riktig første gang og hindrer gjentagelse av feil)

6 Administrative, ikke-tekniske tiltak Tilfredsstillende leveransekvalitet i form av stabil drift og minimalt med feil, plunder og heft kan kun oppnås ved økt forståelse for langsiktig IT Governance (forvaltning som hindrer problemer i å oppstå) fremfor dagens mer kortsiktige IT Management (fiksing/brannslukking av problemer). Dette krever en langsiktig (organisasjons-) utvikling av de ansatte innen foretaket. Alle normale daglige driftprosesser må være dokumentert i form av prosedyrer. Avvikshåndtering må være beskrevet og spesielle kontrollaktiviteter som beviser at jobben er utført tilfredsstillende må dokumenteres og etterleves. Sikkerhetsansvarlig har en kontrollfunksjon for å sikre at slike prosedyrer eksisterer og blir fulgt og kan fremlegges ved tilsyn/revisjon. For å oppnå en slik leveransekvalitet overfor revisor/tilsyn, må sikkerhetsansvarlig i samarbeid med fagansvarlige gjennomgå hvordan man jobber i dag, er det tilfredsstillende prosedyrer som eksisterer og hvordan kan vi etablere en egenkontroll som sikrer kvaliteten i det arbeidet som utføres. Derfor må det beskrives egen- og nøkkelkontroller som kvalitetssikrer utført arbeid og leveransene. Til å hjelpe med en slik forståelse av hva som må og bør gjøres, kan Cobit bli benyttet som et rammeverk som må tilpasses og omformes til praktiske, operative beskrivelser av hva gjør vi i dag. De fleste ideelle prosessene beskrevet i Cobit blir gjort i dag, men ikke i form av en bevisst og etterprøvbar handling. Sikkerhetsansvarlig har et ansvar for å knytte dagens handlinger opp mot eksisterende IKT Sikkerhetspolicy og sørge for at IT personell kan legge frem dokumentasjon og bevis for sine aktiviteter.

7 IKT Sikkerhetsansvarligs oppgaver IKT Sikkerhetsansvarlig har som oppgave å følge opp at IKT-organisasjonen faktisk utfører de daglige driftsoppgavene de er pålagt. I tillegg har IKT Sikkerhetsansvarlig et eget ansvar for å ha kunnskap, kompetanse og evne til å etablere og forvalte. en Sikkerhetsplanlegging hvor alle oppgaver og prosesser skal samhandle og bringe mer effektivitet og leveransekvalitet. (Sikkerhet og internkontroll) rutiner for Identity Management (Autentisering og Autorisering av brukere). prosedyrer for Brukerkontoer slik at de blir opprettet, endret og slettet etter som brukerens arbeidsoppgaver og stilling endrer seg i virksomheten. testing, overvåkning og monitorering av særskilte sikkerhetsløsninger som foretaket har valgt å bruke for å forsikre seg om at kvaliteten på løsningene er tilfredsstillende over tid og holder tritt med teknologiske nyvinninger. beskyttelse av sikkerhetsteknologi (IDS, firewall, Active Directory etc) slik at den ikke kan bli kompromittert, endret eller forbigått av inntrengere. tiltak som motstår og oppdager ondsinnet kode/ virusangrep og foretar korrektive tiltak ved angrep. (Incident Response Team) rutiner for sikring av utveksling av sensitive data slik at informasjonen er tilgjengelig og gyldig når autoriserte brukere ber om den.

8 Ledelsens tilslutning nødvendig Modellen er dynamisk og kan bygges ut med flere funksjoner/ fagområder dersom det er behov for det. Dette gir et helhetssyn og ikke alt vil komme på plass med en gang. Det er en stor elefant, og vi starter med å spise snabelen.. Det viktige er at: 1. Man får forankring for konseptet, og at visjon og sikkerhetspolicy fort blir etablert og sanksjonert av Ledelsen/Styret 2. Risk Manager hurtig utarbeider prinsipper for de viktigste sikkerhetsområdene. Prinsippene vil vise hvilke samfunnsmessige krav som stilles og hvilke anerkjente standarder som skal benyttes. 3. De operasjonelle enhetene adopterer konseptet og på bakgrunn av gitte prinsipper/standarder, utarbeider en strategi som viser hvilke satsninger man vil gjøre innenfor en 2-års periode. Alle mål man setter opp må være kvantifiserbare, slik at man kan måle forbedringen.(2-4 områder) 4. Det etableres kvalitetsrapportering som muliggjør oppfølging overfor de mål strategiene setter.

9 Et eksempel Fra en stor sentral bank

10 Forslag til Visjon Sikkerhet - Fra Styret Konsernledelsen har løpende, helhetlig og effektiv oversikt og kontroll med risiko knyttet til begrepene Etikk, Sikkerhet, Internkontroll og Kvalitetssikring Sikkerhet omfatter: Fysisk sikkerhet, Svindel, Beredskap, IT-sikkerhet, Sikkerhetsarkitektur, Personellsikkerhet og Kvalitetssikring

11 Forslag til Sikkerhetspolicy Verdier, dokumenter og informasjon, både skriftlig, elektronisk og muntlig, skal beskyttes mot uautorisert endring, ødeleggelse, offentliggjøring eller tap. Alle ansatte skal gis opplæring og settes i stand til å forstå og utføre vedtatte sikkerhetsrutiner og instrukser. De skal også beskyttes mot de skader og trusler de kan utsettes for i sitt arbeid for konsernet Kunder og publikum skal beskyttes mot ulike trusler når de benytter konsernets tjenester, eiendommer eller lokaler.

12 Dynamisk Statisk Arkitekturens hierarki Visjon Sikkerhetspolicy Prinsipper Sikkerhetsarkitektur Prinsipper IT-sikkerhet Prinsipper Beredskap Prinsipper Fysisk Sikkerhet Prinsipper Uregelmessigheter og Misligheter Prinsipper Intern kontroll Prinsipper Personell Sikkerhet Strategi 2-3 års perspektiv Strategi 2-3 års perspektiv Strategi Data recovery Strategi IT/ Kontinuitet 2-3 års perspektiv Strategi Fysisk/Terror 2-3 års perspektiv Strategi 2-3 års perspektiv Strategi (ekstern) 2-3 års perspektiv Strategi (Intern) 2-3 års perspektiv Strategi 2-3 års perspektiv Strategi 2-3 års perspektiv Funksjoner og prosesser Retningslinjer Retningslinjer Retningslinjer Retningslinjer Retningslinjer Retningslinjer Retningslinjer Roller Ansvar Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner = Det administrative/organisatoriske som Risk Manager vil jobbe med = Det operative, tekniske som operative sikkerhetsenheter vil jobbe med

13 Prosesser Beskrivelse av strategiske prosesser innen administrativ sikkerhetsadministrasjon Strategiske prosesser Strategi for organisatiriske prosesser, roller og funksjoner. Strategi for Innføring av nytt dokumenthierarki Strategi for Innføring av Standarder og måloppnåelse Strategi for Bevisstgjøring Strategi for Risikokartlegging og (myndighets-) rapportering Strategi for Utarbeidelse av maler, web, layout etc. Strategi for Revisjoner/ sertifiseringer Konkrete aktiviteter, tjenester og anskaffelser. = Det administrative/organisatoriske som Strategisk sikkerhet vil jobbe med = Det operative, tekniske som operative sikkerhetsenheter vil jobbe med

14 Prosesser Beskrivelse av strategiske prosesser innen IT-Sikring Strategiske prosesser Strategi for Data Recovery prosesser Strategi for Risikovurdering og -analyse Strategi for Testing av sikkerhet Strategi for Drift og overvåkning Strategi for Utvikling og Implementering. Strategi for Sikkerhetsorganisering og styringssystemer Strategi for Revisjoner/ sertifiseringer Konkrete aktiviteter, tjenester og anskaffelser.

15 Er sikkerhetsarkitektur et luftslott?

16 Dynamiske Statiske Sikkerhetsarkitektur Stråmodellen vårt eget rammeverk Implementert i ulike virksomheter Alle sikkerhetsaktiviteter får en felles plan, organisering og oppfølging Administrative, ikke-tekniske Operative, tekniske

17 SIKKERHET - Må jobbe på flere nivåer Nivå Tjeneste Metode Strategisk Sikkerhetsarkitektur Styrende dokumenter Strategiske valg Stråmodellen Taktisk ROS-analyser Beredskap og kontinuitet Sikkerhetsstandard Beskrive taktiske planer for Sikkerhet inn i IT Prosesser Operativt Overvåkning Sårbarhetsanalyse Design sikre nett Sikringstiltak inn i prosedyrer og arbeidsrutiner Plattform Windows serverplattform, Active Directory, Exchange, Citrix/WTS Sikre mobile løsninger (SSL/VPN), Virtualisering

18 Modellen dere velger må kunne bygges ut etter behov.

19 Sikkerhetsarkitektur Fokus på Administrative/organisatoriske, ikke tekniske elementer 1. Visjon og policy 2. Prinsipper som klargjør hvilke standarder som skal følges 3. Strategi for oppfyllelse av sikkerhetsarkitekturens krav 4. Utarbeide organisatoriske funksjoner, roller og ansvar 5. Organisasjonelle avhengigheter må beskrives 6. Bevisstgjøring ved aktivt bruk av kompetansehevende interaktivt opplæringsprogram 7. Beskrive hvordan basiskontroller, prosedyrer og arbeidsinstrukser skal etableres (maler) 8. Etablere et regime for oppfølging og kvalitetsrapportering.

20 Sikkerhetsarkitektur Fokus på operative, tekniske elementer 1. Tekniske standarder, kvantifisering av mål og risiko 2. Prosesser og systemer, avtaler om kontrollhandlinger og SLA er 3. Sikkerhetsprodukter som gir bedre kontroll 4. Spesielle forhold 5. Revisjons-/overvåkningsverktøy for hendelsesoppfølging og kvalitetsrapportering 6. Prosedyrer /arbeidsrutiner utarbeides basert på maler for å sikre styring og kontroll 7. Oppfølging av ansatte for å sikre at rutiner etterleves og kan dokumenteres utført

21 Strategi for et Sikkerhetsprogram Administrative, ikke-tekniske Ledelsens tilslutning på Visjon og Policy Utarbeidede Prinsipp-dokumenter fremlegges Daglig leder Omforente strategidokumenter utarbeides av fagområdene. Ledelsens tilslutning for å Etablere/fornye regime for Internkontroll Forprosjekt presenterer forskjellige alternative løsninger Nytt regime på plass til kvalitetsrapportering ved årsskifte. Tekniske, operative tiltak Utarbeide dokumenter ihht. arkitekturens hierarki Alle statiske dokumenter utarbeides Etablere prosjekt for å implementere regime for Internkontroll Metodikk/skjema for rapportering av sikkerhet etableres innen årets utløp Foretningsområdene er i stand til å forvalte sine kvalitetssystemer innen rapportering Etablere omforent målemetodikk Måleparametere etableres fortløpende gjennom året.

22 Modellen må kunne utvides til omfatte arkitektur over IT Styring og kontroll

23 Kundens fundament - IT Governance Strategic alignment sikrer at foretningssidens behov ivaretas, at Konsernledelsens og myndighetenes ønsker om styring møtes. Føringer legges ved strategiske IT-planer Value delivery sikrer leveranser av de tjenester som Kunden kjøper fra Leverandøren. Hele leveranseprosessen skal være optimal mhp verdiøkende tjenester og kostnadseffektivitet. Tjenestene kan deles inn i IT Drift, Applikasjonsdrift, Nettverksdrift og Utvikling/Prosjekt eller Service Delivery/Service Support for ITIL Performance measurement Måler leverte tjenester opp mot krav stilt i SLA innen Applikasjonsdrift, IT Drift, Nettverksdrift og implementeringsprosjekter IT Governance Resource Management Risk management krever forståelse i Konsernledelsen med hensyn på å etablere et Akseptabelt Risikonivå. Videre må behovet for Compliance, Beredskap og Risikostyring imøtekommes. Resource management Ivaretar forståelse for ressursutnyttelse i foretaket av personer med kunnskap og kompetanse, Hardware og Software og rettidig informasjon.

24 Leverandørens verktøy - IT Management Intern kontroll og Compliance Strategisk samarbeid IT-Arkitektur Utviklingsmetodikk Leveranser innenfor områdene: Applikasjonsdrift IT Drift Nettverksdrift Utvikling og prosjekt Måling ved Oppfølging av SLA Kvalitetsmåling for hvert leveranseområde Tjenester IT Governance Resource Management Ressurspool Risikostyring/-analyser Beredskapsplaner Sikkerhetsstandard Intern kontroll Personell Infrastruktur Datasett/Informasjon Applikasjoner

25 En metodikk, en styring - For Sikkerhet og kontroll IT Governance Stråmodellen Säkerhet Visjon Resource Management Policy Prinsipp Arkitektur Stråmodellen Policy Info.sikkerhet ISO17799/ITIL HMS Beredskap Lovpålagte krav Internkontroll COSO/CobiT Strategi Implementering Organisering IT/IS Kontinuitet Oppfølging og kvalitet Retningslinjer Funksjoner Retningslinjer Planer Planlegge Monitorere Roller Ansvar Prosesser Intern Rapportering Arbeidsrutiner Arbeidsrutiner

26 En metodikk, en styring - For Styring av tjenester Stråmodellen IT Value Delivery Visjon Policy Policy Prinsipp Arkitektur IT Covernance Critical Business Applications Computer Installations Network Infrastructure Development Environment Strategi Implementering Organisering Change mngt & Identity mngt Delivery & Support Delivery & Support Aquisition & Implement Kommunikasjon Leverandør Funksjoner Ansvar SIG-gruppe SIG-gruppe SIG- gruppe SIG-Gruppe Roller Prosesser IT Governance SLA-oppfølging SLA Resource Management

27 En metodikk, en styring - For Måling og oppfølging av SLA IT Governance Stråmodellen IT Preformance Mngt Policy (for måling) Prinsipp: (Måling av...) Strategi Arkitektur IT Covernance Implementering Organisering Visjon Policy Critical Business Applications Måling mot Business krav Computer Installations Måling mot Oppetid etc Network Infrastructure Måling mot tilgjengelighet Development Environment Måling mot prosjektmål Resource Management Oppfølging Funksjoner Ansvar SIG-gruppe SIG-gruppe SIG- gruppe SIG-Gruppe Roller SLA -leveranse normer Prosesser SLA

28 Gevinst: Fra 2 mot 4 på en Maturity Model

29 Noe dere lurer på? Spørsmål nå Eller kontakt Takk for meg

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef IT-sikkerhet ved outsourcing 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef Risiko Før: Nå: Av forvaltningskapitalen er: 0,5% kontanter 99,5% representert som tall i datamaskinene 2 Sammenheng sikkerhet,

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011 Sikkerhetsstyring for mindre virksomheter Sikkerhet, samtrafikkevne, passasjerrettigheter og markedsovervåking Morgenmøte 24. november 2011 Charlotte Grøntved - Sikkerhetsstyring og tilsyn Elisabeth Nilsen

Detaljer

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

IT-forum våren 2004. ITIL et rammeverk for god IT-drift

IT-forum våren 2004. ITIL et rammeverk for god IT-drift IT-forum våren 2004 ITIL et rammeverk for god IT-drift Jon Iden, dr. polit Institutt for prosessutvikling og arbeidsflyt AS Institutt for informasjons- og medievitenskap, UiB Institutt for Prosessutvikling

Detaljer

Prosjekt: Utvikling av egenkontrollen i kommunene

Prosjekt: Utvikling av egenkontrollen i kommunene Prosjekt: Utvikling av egenkontrollen i kommunene Hovedprosjekt: Utvikling av egenkontrollen i kommunene, herunder økt bruk av egenkontroll i de statlige tilsynene. Målet for prosjektet: Få til et godt

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet Dokumentasjon av balansen IT-revisjon Siste forelesning Rev3576 Klassisk IT-revisjon Cobit ITIL 1 Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld)

Detaljer

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL IT-revisjon Klassisk IT-revisjon Cobit ITIL Dokumentasjon av balansen Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld) Kilder BOL 11, FOR-01.12.2004

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren Frede Aas Rognlien Head of Legal and Compliance SEB Enskilda AS 1 MiFID

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) Ragnvald Sannes (ragnvald.sannes@bi.no) Institutt for ledelse og organisasjon, Handelshøyskolen BI Hva er IT Governance

Detaljer

05/476-3984/05 200504500-/MB Erik Hansen, 55 97 65 00 01.12.2005

05/476-3984/05 200504500-/MB Erik Hansen, 55 97 65 00 01.12.2005 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo 05/476-3984/05 200504500-/MB Erik Hansen, 55 97 65 00 01.12.2005 Vurdering av helseforetakenes IKT-driftsfunksjoner Viser til brev fra Helse-

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

Samfunnsansvar og helhetlig virksomhetsstyring i Flytoget

Samfunnsansvar og helhetlig virksomhetsstyring i Flytoget Samfunnsansvar og helhetlig virksomhetsstyring i Flytoget ISO 26000 og GRI komplementære eller konkurrerende Adelheid Sæther Flytoget AS Nøkkeltall 2013 6,5 mill passasjerer 16 togsett Utgjør 10 % av alle

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Cloud computing. Bruk av skytjenester krever en klar strategi

Cloud computing. Bruk av skytjenester krever en klar strategi Cloud computing Bruk av skytjenester krever en klar strategi KORT OM SELSKAPET ASP Norge er et uavhengig rådgivingsselskap Vi har spisskompetanse på forretningstyrt og strategisk bruk av IT Selskapet ble

Detaljer

EMENTOR Application Management Center

EMENTOR Application Management Center EMENTOR Application Management Center Agenda Hvordan levere en god brukeropplevelse i et konfliktfritt miljø Bjørn M. Riiber Produktsjef - Citrix og Ementor AMC briiber@ementor.no 92018498 Ementors fem

Detaljer

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet Hvordan NAV arbeider med internkontroll i et prosessperspektiv Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet Internkontrollhistorie i NAV Stort trykk på produksjon etter opprettelsen

Detaljer

IT Service Management

IT Service Management IT Service Management Forelesning uke 3 Innhold Repetisjon fra forrige uke. Service Operation: Incident Management Repitisjon Service Operation: Finne rette balansen Event Management: Få oversikt over

Detaljer

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens

Detaljer

Interne revisjoner et sentralt ledelsesverktøy i forbedringsarbeid. Erfaringer etter utføring av mere enn 200 HMS revisjoner

Interne revisjoner et sentralt ledelsesverktøy i forbedringsarbeid. Erfaringer etter utføring av mere enn 200 HMS revisjoner Interne revisjoner et sentralt ledelsesverktøy i forbedringsarbeid Erfaringer etter utføring av mere enn 200 HMS revisjoner v/marit Norberg og Siv Wergeland Kort om oss Bergensbasert konsulentselskap stiftet

Detaljer

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? HelsIT 2011 Roar Engen Leder for arkitekturseksjonen,teknologi og ehelse, Helse Sør-Øst RHF Medforfatter: Jarle

Detaljer

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering?

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Difi 18 desember 2013 Ingar Brauti, P3M Registered Consultant Med tilpasning og praktisering av

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001?

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Skal du etablere et styringssystem for ytre miljø, men ikke vet hvor du skal starte? Forslaget nedenfor er forslag til hvordan du

Detaljer

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Historie ISO 45001 2000 2007 2016 1. utgave OHSAS 18001:1999 Ny BS standard Oversatt til norsk Helse er tatt med Mer forenlig

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

IT som pådriver for prestasjonsforbedring. Åge Helgeland, IT-sjef i Petoro

IT som pådriver for prestasjonsforbedring. Åge Helgeland, IT-sjef i Petoro Åge Helgeland, IT-sjef i Petoro Kort om Petoro Den norske stat eier store andeler i olje- og gasslisensene på norsk sokkel gjennom Statens Direkte Økonomiske Engasjement (SDØE). Disse eierandelene forvaltes

Detaljer

)R8XWIRUGULQJHULQQHQ,7VLNNHUKHW. Ketil Stølen SINTEF 6. mars 2003

)R8XWIRUGULQJHULQQHQ,7VLNNHUKHW. Ketil Stølen SINTEF 6. mars 2003 )R8XWIRUGULQJHULQQHQ,7VLNNHUKHW Ketil Stølen SINTEF 6. mars 2003 1 ,QQKROG n,7vlnnhukhw hva er det? n,7vlnnhukhw er ikke kun teknologi n,7vlnnhukhw forutsetter risikoanalyse n,7vlnnhukhw en del av systemutviklingen

Detaljer

Hvordan påvirker et varsel om tilsyn interne prioriteringer?

Hvordan påvirker et varsel om tilsyn interne prioriteringer? Hvordan påvirker et varsel om tilsyn interne prioriteringer? Tove Muravez, IT & Admin Manager 23. April 2013 1 DISPOSISJON Tilsynsvarsel trussel eller mulighet? Umiddelbare aksjoner Hvordan tar vi dette

Detaljer

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) UTFORDRINGER INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) Stavanger april 2012 Olav Molven Virksomheten mangler en felles fremgangsmåte for å vurdere risiko og tilhørende (intern)kontroll. Virksomheten

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Forventninger til HMS-system og etterlevelse

Forventninger til HMS-system og etterlevelse Forventninger til HMS-system og etterlevelse Punktene som er listet i det følgende beskriver Statnetts forventninger til leverandørers HMS-system og etterlevelse av dette, i tilknytning til Statnetts prosjekter.

Detaljer

Mislighetsrevisjon Sykehuset Innlandet HF

Mislighetsrevisjon Sykehuset Innlandet HF www.pwc.no Mislighetsrevisjon Sykehuset Innlandet HF 3. juni 2014 Innholdsfortegnelse 1. Mandat og oppdrag... 3 Forbehold... 3 2. Evaluering av rammeverk for å redusere mislighetsrisiko... 4 Formålet...

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018

Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Innhold Hovedmål 1 Vellykket teknisk innføring av nødnett-brukerutstyr... 6 Hovedmål 2:

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

COSOs komponeter De fire siste. Risikovurdering. Hva er risiko? Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO?

COSOs komponeter De fire siste. Risikovurdering. Hva er risiko? Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO? COSOs komponeter De fire siste Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO? Risikovurdering Risikomodellen er viktig i revisjon Styrer hva vi kontrollerer og hvor mye Riktig omfang

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Betryggende kontroll Internkontrollen til rådmannen

Betryggende kontroll Internkontrollen til rådmannen Stein A. Ytterdahl Rådmann Betryggende kontroll Internkontrollen til rådmannen Foto: Carl-Erik Eriksson Agenda Hvilke overordnede tanker styres kommunen etter, herunder kort om organisering, omfang og

Detaljer

Forebygging og avdekking av interne misligheter i DnB NOR

Forebygging og avdekking av interne misligheter i DnB NOR Forebygging og avdekking av interne misligheter i DnB NOR NIRF - Nettverksmøte om Økonomisk kriminalitet Torsdag 16. februar 2006 Revisjonsleder Ole Hansen, DnB NOR Konsernrevisjonen Rammevilkår Interne:

Detaljer

Prosjekt: Utvikling av egenkontrollen i kommunene Fornyingskonferansen 31. oktober 2013

Prosjekt: Utvikling av egenkontrollen i kommunene Fornyingskonferansen 31. oktober 2013 Prosjekt: Utvikling av egenkontrollen i kommunene Fornyingskonferansen 31. oktober 2013 Endringer i kommuneloven 1. juli 2013 Rapporteringsplikt i årsberetningen: I kommuneloven 48 nr 5 innføres det et

Detaljer

DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID. (HMS - plan) for Norsk Biokraft AS 2015-2016

DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID. (HMS - plan) for Norsk Biokraft AS 2015-2016 DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID (HMS - plan) for Norsk Biokraft AS 2015-2016 januar 2015 Rev.nr.1.0 Erstatter plan av oktober 2012 Utarbeidet av Norsk Biokraft AS

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

Kvalitetssikringssystemer i IKT Agder

Kvalitetssikringssystemer i IKT Agder 9.4.2015 Kvalitetssikringssystemer i IKT Agder Kvalitetssikringssystemer 1 Innholdsfortegnelse 1 KVALITETSSIKRINGSSYSTEMER I IKT AGDER... 3 1.1 INCIDENT MANAGEMENT...3 1.2 CHANGE MANAGEMENT...3 1.3 PROBLEM

Detaljer

Policy for Eierstyring og Selskapsledelse

Policy for Eierstyring og Selskapsledelse Policy for Eierstyring og Selskapsledelse Innholdsfortegnelse 1.1 Formål... 2 1.2 Verdiskapning... 2 1.3 Roller og ansvar... 3 1.3.1 Styrende organer... 3 1.3.2 Kontrollorganer... 4 1.3.3 Valgorganer...

Detaljer

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn Fellesrapport Tilsyn med regnskapsførerselskaper som utfører regnskapstjenester for foretak av allmenn interesse Tematilsyn 2014 DATO: 15. juni 2015 NUMMER: 14/8978 m.fl. Seksjon/avdeling: Revisjon og

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Fra innkjøpsstrategi til handling et rammeverk som sikrer effektiv og vellykket gjennomføring

Fra innkjøpsstrategi til handling et rammeverk som sikrer effektiv og vellykket gjennomføring Mange organisasjoner opplever i dag et gap mellom strategiske innkjøpsmål og operativ handling. Det gjennomføres en rekke initiativer; herunder kategoristyring, leverandørhåndtering og effektivitet i innkjøpsprosessene

Detaljer

Risikostyring som faglig utfordring i Riksrevisjonen

Risikostyring som faglig utfordring i Riksrevisjonen Risikostyring som faglig utfordring i Riksrevisjonen Innlegg på Nasjonal fagkonferanse i offentlig revisjon, 17. 18. oktober 2006 Therese Johnsen Ekspedisjonssjef Riksrevisjonen Revisjonsvirksomheter burde

Detaljer

BUSINESS SERVICE MANAGEMENT

BUSINESS SERVICE MANAGEMENT Sykehuspartner BUSINESS SERVICE MANAGEMENT SQS Software Quality Systems Agenda Innledning Om Sykehuspartner Prosjektoversikt Ende til ende målinger Initielle behov og krav Business Service Management og

Detaljer

Kort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no

Kort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no Kort om IPnett - Hvem er vi? - Trapeze vs. Juniper - Uninett avtalen Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no IPnett AS Vollsveien 2b Pb 118 1325 LYSAKER

Detaljer

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger Agenda 1.Internkontroll 2.Roller / organisering 3.Risikoanalysen 4.Kultur 5.Utkontraktering og kjøp av tjenester

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap Internkontroll i Bergen kommune Liv Røssland Byråd for finans, eiendom og eierskap TILSYNSFUNKSJON KONTROLLFUNKSJON Bystyrets tilsyn og kontroll Byrådets rapportering og informasjon til bystyrets organer,

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER

KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER Innholdsfortegnelse 1 Innledning... 3 1.1 Generelt om kvalitetsstyringssystemet ved IMB Maskiner...3 1.2 Om IMB Maskiner...3 1.3 Definisjoner av sentrale begrep

Detaljer

Profesjonalisering av prosjektledelse

Profesjonalisering av prosjektledelse Profesjonalisering av prosjektledelse Ingar Brauti, RC Fornebu Consulting AS Software2013, IT-ledelse i fremtiden Onsdag 13. februar 2013 ingar.brauti@fornebuconsulting.com I fremtiden vil IT funksjonen

Detaljer

IT I PRAKSIS!!!!! IT i praksis 20XX

IT I PRAKSIS!!!!! IT i praksis 20XX IT I PRAKSIS 1 IT i praksis 20XX 2 IT I PRAKSIS FORORD 3 INNHOLD 4 IT I PRAKSIS Styringsmodell for utviklingsprosjekter (SBN) 5 Fra en idé til gevinstrealisering styringsmodell for utviklingsprosesser

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

Sikkerhetskultur. Helge Holtebekk Oslo T-banedrift AS 20.10.2012 2

Sikkerhetskultur. Helge Holtebekk Oslo T-banedrift AS 20.10.2012 2 T-banen i Oslo har gjennomført et helhetlig program for bedre sikkerhetskultur. Som passasjerer har vi merket mange forbedringer på både informasjon og materiell. Men det er i tillegg mange viktige sammenhenger,

Detaljer

Introduksjon 1. samling planlegging og risikovurdering

Introduksjon 1. samling planlegging og risikovurdering Introduksjon 1. samling planlegging og risikovurdering 10. desember 2013 13.12.2013 Direktoratet for økonomistyring Side 1 Plan for gjennomføring QB Innspill/behov til opplegget generelt/gjennomføring

Detaljer

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring Jostein Amdal Chief Risk Officer Innhold Gjensidige Organisasjon og styringsstruktur ERM i praksis Risikostyring

Detaljer