Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Transkript

1 Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard

2 Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur Erfaringer og konklusjoner ccc ccc ccc ccc ccc ccc

3 Hvem er Statens pensjonskasse? 360 mrd kr,- i opptjente forpliktelser 19,8 mrd kr,- i pensjonsutbetalinger medlemmer lånekunder 5 mrd kr,- i aktiv forvaltning Perform 1 mrd kr,- Over 1600 kunder (org. og foretak)

4

5 Vi har jobbet med ISMS siden 2009 Hvor var SPK i 2009? Fokus på IT-sikkerhet Fragmentert sikkerhetsdokumentasjon Lite kontinuitet i sikkerhetsarbeidet Hvor er SPK nå? Det er fokus på informasjonssikkerhet og sikkerhet som en helhet IT er kun et element i helheten Forankring i TLG overordnet risikovurdering Sikkerhetsleder sitter i TLG Jobber kontinuerlig med sikkerhet i SPK

6

7 Styringssystem for informasjonssikkerhet Interessenter Plan Etablere ISMS Interessenter Act Vedlikeholde og forbedre ISMS Implementere og betjene ISMS Do Krav og forventninger til informasjonssikkerhet Kontrollere og gjennomgå ISMS Check Styrt informasjonssikkerhet Hentet fra ISO/ IEC 27001: 2005

8 Ansvarsdeling ifm risikostyring TLG besluttende Sikkerhetsrådet Kontroll og oppfølging Linjen utførende

9 Sikkerhetsorganiseringen i SPK (III)

10 Mandat SPKs sikkerhetsråd skal være ansvarlig for: omforming av overordnede føringer og krav kontinuerlig oversikt over sikkerhetstilstanden ivaretakelse og kontinuerlig forbedring av ISMS rådgivning ifm utarbeidelse og implementering av tiltak sikring av nødvendig kompetanse innen ISMS

11

12 Prosesser ifm sikkerhetsarbeidet TLG Sikkerhetsleder Linjen Overordnet policy Måleparametere Sikkerhetspolicy Overordnede retningslinjer for sikkerhet Sikkerhetsmål Risikovurdering Sikkerhetspraksis Operative retningslinjer for sikkerhet Planer for risikohåndtering Detaljerte risikovurderinger Gjennomføring av tiltak Rapportering Krav og føringer Kontroll og oppfølging Utførende SOA * : Statement of Applicability, ref. ISO/ IEC 27001:2005

13 Dokumentstruktur Krav og føringer fra toppledelsen: Sikkerhetspolicy Overordnede retningslinjer for sikkerhet Retningslinjer fra sikkerhetsrådet Operative retningslinjer for sikkerhet Tiltak etablert i linjen Prosedyrer Rutiner Tekniske sikringstiltak

14

15 Hendelsesoppfølging i SPK

16 Styringssystem for sikkerhet: er i ferd med å etablere aktivitetshjul 11. Ledelsens årlige gjennomgang 1. Revidere sikkerhetspolitikken 2. Revidere verdioversikten 10. Revisjon av styringssystemet 3. Gjennomføre overordnet risikovurdering 9. Oppfølging av tiltaksplaner 4. Revidere overordnede retningslinjer for sikkerhet 8. Gjennomføre tiltaksplaner 5. Revidere operative retningslinjer for sikkerhet 7. Formell risikoakseptanse 6. Gjennomføre detaljerte risikovurderinger

17

18 Prosesser ifm sikkerhetsarbeidet Her bruker vi Corporater til å følge opp risikobildet, og rapportere på oppgaver som gjennomføres i Jira.

19 Prosess eier team/portefølje (alle prosesser) Investerings portefølje ((IA) alle prosesser) Linje portefølje IT forretnings team/portefølje ( alle prosesser)) Organisering av operativ oppfølging SPK er strukturert i et hierarki, og en matrise organisasjon. På kryss av dette går det aktivitets porteføljer. Administrasjon- og støtteområder (FO'er) Forretningsområder (FO'er) Organisasjonskart (horisontalt) KOM HRO VSO ITO KMO FPO PEO KFO Prosess- / porteføljekart (vertikalt) POP prosessen POP - VSO POP - ITO POP - KMO POP - FPO KMD prosessen KMD - ITO KMD - KMO FPO - FPO PEP prosessen PEP - VSO PEP - ITO PEP - KMO PEP - PEO FPX prosessen FPX - KOM FPX - HRO FPX - VSO FPX - ITO FPX - KMO FPX - FPO FPX- PEO FPX - KFO Linje prosesser Øvrige prosjekter og prosesser ikke innlemmet i PPF Perform prosesser Performs "systemmessig nedslagsfelt"

20 Sikkerhets rådets porteføljer Overordnet risikovurdering og detaljert risikovurdering gjennomført i prosessene SPKs risikofaktorer evalueres iht. portefølje Porteføljeleder følger opp håndteringen og effekten av risikoreduserende tiltak

21 Sikkerhets portefølje oppfølging Hver portefølje har et eget omr. som er spesifisert slik at dette kun vil inneholde de risiko faktorene, tiltakene, SOA punktene, og etter hvert som vi får dette på plass KPIene som påvirker ansvars spennet til denne porteføljen,

22 Strategiske mål risikofaktorer Alle identifiserte risikofaktorer prioriteres iht. sannsynlighet og konsekvens Risikofaktorer revurderes to ganger i året

23 Erfaringer og konklusjoner

24 utfordringer Det har vært vanskelig å avgrense vårt arbeid mot intern kontroll Det har tatt lang tid å komme i gang med risikovurdering av prosesser Lavt akseptansenivå for enkelt risikoer mange røde felt i risikoanalysen vanskelig å prioritere tiltakene

25 Positive erfaringer Høy fokus på sikkerhet og sikkerhetsrådets arbeid i TLG og hos direktør Sikkerhetsleder sitter i TLG Hjelp av konsulent med å holde koken i en hektisk hverdag

26 Konklusjon Må avsette tid til risikoarbeidet Kompetansehevende tiltak mot nøkkelpersoner i organisasjonen er viktig Viktig med engasjement i sikkerhetsarbeidet

27