Utredning av standarder for styring av informasjonssikkerhet Versjon

Størrelse: px
Begynne med side:

Download "Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011"

Transkript

1 Utredning av standarder for styring av informasjonssikkerhet Versjon

2 Innhold 1 Sammendrag Innledning Bakgrunn Formål Mandatet Arbeidsmetodikk Sammendrag av kapitlene Styringssystem og sikringstiltak Kort historikk Styringssystem for informasjonssikkerhet Sikringstiltak kontroller Risikovurdering Sertifisering Kompetanse og opplæring Utvikling og harmonisering Behov Informasjonsbehandling Elektronisk kommunikasjon og samhandling Offentlig elektroniske tjenester IKT- drift og forvaltning Regelverket Kartlegging Standardiseringsarbeidet Andre initiativer Erfaringer Avgrensning Evaluering av ISO/IEC Hva er formålet med standarden ( ) Prosessen rundt utvikling og forvaltning av standarden ( ) Standardens aksept og utbredelse i markedet ( ) Tilfredsstiller standarden offentlige virksomheter og deres brukeres behov? ( ) Hvilke konsekvenser vil en anbefaling av standarden gi? ( ) Evaluering av ISO/IEC Hva er formålet med standarden ( )

3 8.2 Prosessen rundt utvikling og forvaltning av standarden ( ) Standardens aksept og utbredelse i markedet ( ) Tilfredsstiller standarden offentlige virksomheter og deres brukeres behov? ( ) Hvilke konsekvenser vil en anbefaling av standarden gi? ( ) Konklusjoner og forslag Sammendrag Kriterier Sikker informasjonsbehandling Sikker elektronisk kommunikasjon og samhandling Sikker ekstern IKT-drift og forvaltning Sikker IKT-drift og forvaltning i offentlig sektor Informasjonssikkerhet i styringsdialogen Sikkerhetskrav og strukturering Oppsummering av ISO/IEC og Andre anbefalinger Vedlegg - standardene i ISO/IEC serien En oversikt Vedtatte standarder Sektorvise standarder Standarder - planlagte eller under utarbeidelse Andre relevante standarder De mest aktuelle standardene i ISO/IEC serien Referanser

4 1 Sammendrag Utredningen tar for seg standardene ISO/IEC krav til styringssystem for informasjonssikkerhet og ISO/IEC veiledning til generelt aksepterte sikringstiltak (best practices). Vi kan innledningsvis oppsummere med at standardene bør være godt kjent og aksepterte etter flere år som internasjonale og nasjonale standarder. Det er mange som etter hvert har opparbeidet nødvendig kunnskap og erfaring med standardene, også innenfor offentlig sektor. Etter en kort introduksjon til styringssystem for informasjonssikkerhet og sikringstiltak i kapittel 3, er behovene for bruk av omtalte standarder forsøkt gruppert i noen bruksbehov. Bruksområdene i kapittel 4 er grovt inndelt ut fra forventet risiko og behov for et utvidet sikkerhetsnivå. Ved å etablere et styringssystem etter kravene i ISO/IEC med bl.a. prosesser for planlegging, implementering og forbedring vil dette kunne bidra til å ivareta ledelsens ansvar for informasjonssikkerhet. Sammen med at virksomheten gjennomfører en verdivurdering av egne informasjons- eller IKTaktiva, og en vurdering av eget risikobilde, kan virksomheten så finne en egnet struktur på sikringstiltakene 1 i ISO/IEC 27002, samt forslag til anerkjente sikringstiltak (krav) 2. Til sammen kan dette ha avgjørende betydning om virksomheten er i stand til å ivareta nødvendig grad av informasjonssikkerhet, og om virksomheten etterlever relevant regelverk. Utredningen er gjennomført etter Standardiseringsrådets arbeidsmetodikk. Standardene ISO/IEC og er evaluert hver for seg. Evalueringen viser at begge standardene er egnet som forvaltningsstandarder iht. kriteriene i metodikken. I utredningen blir det gitt forslag til hvordan ISO/IEC og ISO/IEC kan anvendes. Standardene foreslås som: Anbefalt Obligatorisk Obligatorisk og styringssystemet sertifisert 3 Utredningen anbefaler noen sentrale og viktige anvendelsesområder som bør inngå i listen over anbefalte og obligatoriske forvaltningsstandarder i offentlig sektor: 1 Sikkerhetsmål, som kan strukturere hovedinstrukser eller policyer 2 Kontrollmålsetninger 3 For ISO/IEC 27001, dvs. det implementerte styringssystemet skal være sertifisert 3

5 Informasjonsbehandling - for sikring av informasjon med spesielt beskyttelsesbehov mht. konfidensialitet, integritet eller tilgengelighet, på bakgrunn av krav i regelverk eller av andre grunner. 4 Det avgrenses mot krav som følge av sikkerhetsloven [8] o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Elektronisk kommunikasjon og samhandling med og i offentlig sektor gjennom avtaler eller andre reguleringer o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatoriske for å følge struktur og vurdere anbefalte sikringstiltak Ekstern drift - samfunnskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS 5 sertifisert o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Ekstern drift virksomhetskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS sertifisert o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Ekstern drift ikke kritisk infrastruktur eller funksjoner (virksomhetsutsetting / outsourcing) o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Virksomhetsintern drift - i offentlig sektor av samfunnskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS sertifisert o ISO/IEC gjøres obligatoriske for å følge struktur og vurdere anbefalte sikringstiltak Virksomhetsintern drift - i offentlig sektor av virksomhetskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak 4 Dette må ikke forstås slik at å følge standardene tilfredsstiller alle krav i ulikt lovverk på området. 5 ISMS Information Security Management System Styringssystem for informasjonssikkerhet 4

6 Virksomhetsintern drift - i offentlige sektor av ikke kritisk infrastruktur eller -funksjoner o ISO/IEC gjøres anbefalt o ISO/IEC gjøres anbefalt for å følge struktur og vurdere anbefalte sikringstiltak Felles intern drift - i offentlig sektor for flere offentlige virksomheter av samfunnskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS sertifisert o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte siktingstiltak Felles intern drift - i offentlig sektor for flere offentlige virksomheter av virksomhetskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS sertifisert o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte siktingstiltak Felles intern drift - i offentlig sektor for flere offentlige virksomheter av ikke kritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte siktingstiltak Styringsdialogen oppfølging av informasjonssikkerhet i intern og underliggende virksomhet (-er) o ISO/IEC gjøres anbefalt o ISO/IEC gjøres anbefalt for å følge struktur og vurdere anbefalte sikringstiltak Sikkerhetskrav strukturering av sikkerhetskrav og forslag til sikringstiltak o ISO/IEC gjøres anbefalt å følge ifm struktur 6 og vurdere egne behov for alle de foreslåtte sikringstiltakene Kapittel 9 gir begrunnelse til forslagene om bruk av standardene. Dette blir oppsummert i en tabell i kapittel 9.9. Av andre anbefalinger kan det kort nevnes at ISO/IEC risikostyring bør få en egen utredning senere. Grunnen er at det allerede finnes flere standarder, veiledninger og anbefalinger på området. Ofte har virksomheten valgt en annen metodikk og har høstet erfaring med dette. Tilslutt i rapporten er det tatt med et vedlegg som kort oppsummerer de andre standardene i serien. 6 Se sikkerhetsområdene i kapitlene 5 t.o.m 15 5

7 2 Innledning 2.1 Bakgrunn Utredningen har kommet i gang med utgangspunkt i forprosjektet for kartlegging av sikkerhetsstandarder [1], og etter behandling i standardiseringssekretariatet, med saksfremlegg til Standardiseringsrådet. Rådet ga tilslutning og en anbefaling om å utrede ISO/IEC og ISO/IEC Disse to standardene har vært tilgjengelige i mange år, men i ulike versjoner, og er godt kjent også innen offentlig sektor. Det kan vel også hevdes at standardene i noen tilfeller ble benyttet ved kravsetting eller referanser ved arbeid med nye lover, forskrifter og veiledninger. Kapittel 2 i personopplysningsforskriften, men veiledning, er et klart eksempel på dette. Informasjonssikkerhet er et ledelsesansvar, og det må forventes at virksomhetene arbeider metodisk og målrettet med utfordringene. I dette ligger det et særlig ansvar når det behandles sensitiv 7 eller gradert 8 informasjon, eller ved drift og forvaltning av kritisk IKT- infrastruktur. Virksomheter blir i lovog regelverket pålagt å ivareta informasjons- eller IKT-sikkerheten, uten derved alltid å få klare krav og føringer. Det er virksomhetens leder som er ansvarlig for å vurdere egen risikoeksponering og iverksette tilstrekkelig sikringstiltak. I nasjonale retningslinjer for å styrke informasjonssikkerheten [2] finnes det noen klare føringer bl.a. i kapittel 3.1 med overskrift at samfunnskritisk IKTinfrastruktur må beskyttes bedre, og i kapittel 3.7 som slår fast at alle departementer bør fremme bruk av standarder, sertifisering og egenregulering. Harmonisering og etablering av et grunnivå 9 for informasjonssikkerhet kan være en god strategi for offentlig sektor, eller for deler av denne. Det kan her vises til et sektorielt initiativ med felles normer og kjøreregler som i normen for informasjonssikkerhet [3] for helsesektoren, supplert med utvalgte og faktaark, som for eksempel faktaark nr. 2 - Styringssystem for informasjonssikkerhet [4]. Eksempelvis kan det også vises til hva som er gjort i Sverige gjennom Basnivå för informationssäkerhet (BITS) 10 hvor dette er harmonisert mot SS-ISO/IEC 27001, og kravsettet er fra SS-ISO/IEC Det finnes også i Danmark direkte pålegg om å oppfylle krav i standarder for styring av informasjonssikkerhet. Standarden har til når vært DS 484, som nå 7 Eks. sensitive personopplysninger 8 Sikkerhets- eller beskyttelsesgradert 9 Base line, eller basisnivå 10 6

8 gradvis skal erstattes av ISO/IEC 27001, og seneste overgang er når det foreligger en ny versjon av standarden. Andre mulige behov som kan dekkes ved å benytte standarder og veiledninger innenfor området informasjonssikkerhet, kan være ønske om eller behovet for nødvendig organisatoriske sikkerhetsmål, samt felles rammeverk for sikringstiltak (kontroller). Dette kan være med på å underbygge tillitsmodeller mellom publikum og det offentlige, samt mellom virksomheter innenfor offentlig forvaltning, og 3.parter (eksempel eksterne driftspartnere). Ved å etablere et styringssystem for informasjonssikkerhet etter ISO/IEC og bruke ISO/IEC til bl.a. å strukturere sikkerhetstiltakene (-kravene) og som veiledning til kravsetting, bør virksomhetene langt på vei være i stand til å ivareta lover og regelverk på området informasjonssikkerhet. Det er observert at Riksrevisjonen har avdekket mangler ved føringer og krav gitt fra eksempelvis departementer vedrørende krav til informasjonssikkerhet hos underliggende etater, og ved oppfølging av sikkerhetsarbeidet hos disse. Revisjons- og tilsynsarbeid kan underlettes og effektiviseres ved at det i virksomhetene benyttes anerkjente standarder og/eller veiledninger. Standardene kan da legges til grunn som måleparametre for om kravene til informasjonssikkerhet blir ivaretatt. I denne rapporten er begrepet informasjonssikkerhet i stor grad benyttet. Begrepet som benyttes i serien er information security. Ofte ser vi også at IT- eller IKT- sikkerhet, der K står for kommunikasjon blir benyttet. I noen miljøer er de distinkte på å benytte informasjonssikkerhet når målet er å sikre informasjonsaktiva (type sensitivitet), og I(K)T sikkerhet når de beskiver ressursene som maskin- og programvare, samt driftsmiljøene rundt dette. Rapporten tar ikke stilling til begrepsbruk, og bruker i hovedsak informasjonssikkerhet. 2.2 Formål Formålet med utredningen er å gi et konkret beslutningsgrunnlag til Standardiseringsrådet, om standardene skal være anbefalte eller obligatoriske i offentlig sektor. 2.3 Mandatet Mandatet for utredningen er gitt av Standardiseringsrådet. Sitat fra anbefaling etter møte 23, kap. 8.2 punkt 2 Høring av anbefalte standarder for styring av informasjonssikkerhet i møtereferat [5]; Informasjonssikkerhetsarbeidet er viktig i offentlig sektor. Skal man etablere kommunikasjon på tvers av organisasjoner er det viktig å vite at man kan stole på samarbeidspartneres behandling av overført informasjon. Et overordnet regime for styring av informasjonssikkerhet er derfor et viktig virkemiddel i arbeidet for en sikrere og bedre samhandling på tvers av offentlige virksomheter. 7

9 Det ble også i samme møte under kap. 8.2 punkt 5 Utredning av standarder for risikostyring og -vurdering i møtereferat [5], anbefalt en utredning med fokus på ISO/IEC og de andre standardene i serien. Slik det fremkommer senere i denne rapporten, dvs. kap.10, anbefales det en egen utredningsrapport om risikostyring - og vurdering, med risiko- og sårbarhetsanalyser (ROS). 2.4 Arbeidsmetodikk Arbeidet med denne utredningen følger Standardiseringsrådets overordnede arbeidsmetodikk, som finnes på Standardiseringsportalen. Stikkordene er å avdekke behov, avgrense utredningen, kartlegge standarder, evaluere mot kriterier i arbeidsmetodikken, vurdere alternativer, velge med begrunnelse, og etter at valg er gjort, konsekvensvurdere effektene. 2.5 Sammendrag av kapitlene Nedenfor er et kort sammendrag av alle kapitlene i utredningen. Kapittel 1, sammendrag gir en kort oppsummering av utredningen. Kapittel 2, innledning, gir det en kort gjennomgang av bakgrunn, mandatet, metodevalg for utredningen. Kapittel 3, styringssystem og sikringstiltak har til hensikt å gi en kort presentasjon av standardene ISO/IEC og ISO/IEC og hensikten med disse. I kapittel 4, behov, forsøker å kategorisere og oppsummere noen behov for standardene i offentlig sektor. Bruksområdene kan være informasjonsbehandling, elektronisk kommunikasjon og samhandling, offentlige elektroniske tjenenester, drift og forvaltning, samt lover- og regelverk. I kapittel 5, kartlegging, konkluderer med at det ikke er andre relevante standarder for etablering av et styringssystem for informasjonssikkerhet enn ISO/IEC 27001, og at god praksis på sikringstiltak kan dekkes av tilhørende veiledning i ISO/IEC Kapittel 6 gir noen avgresninger for denne utredningen. Det blir ikke vurdert andre standarder enn ISO/IEC og ISO/IEC 27002, men utredningen omtaler andre standarder i serien. Utredningen gir ingen utdypende kravanalyse eller behov gitt i medhold av regelverket. I kapittel 7 utredes ISO/IEC mot spørsmålslisten som følger Standardiseringsrådets overordnede arbeidsmetodikk (utreningsmetodikk). I kapittel 8 utrederes ISO/IEC mot spørsmålslisten som følger Standardiseringsrådets overordnede arbeidsmetodikk (utredningsmetodikk). 8

10 Kapittel 9, konklusjoner og forslag gir konkrete anbefalinger om hvilke anvendelsesområder i offentlig sektor ISO/IEC og må være respektive anbefalte eller obligatoriske, og eventuelt krav om et sertifisert styringssystem for informasjonssikkerhet 11 etter ISO/IEC Kapittel 10 gir andre anbefalinger som for eksempel at det bør gjennomføre en egen utrening for ISO/IEC Risikostyring, da det også finnes andre aktuelle standarder og veiledninger på området. Kapittel 11 i dette vedlegget er de mest aktuelle standardene i serien presentert. Først en oversikt over alle standarder i serien p.t., deretter en nærmere gjennomgang av, i tillegg til ISO/ 27001:2005 og 27002:2005, også ISO/IEC 27000:2009, ISO/IEC 27005:2008, samt ISO/IEC 27006: Styringssystem og sikringstiltak 3.1 Kort historikk Standardene har sin opprinnelse i en britisk standard, BS7799 Code of Practice og første versjon ble utgitt februar 1995, og ny hovedversjon kom mai I desember 2000 ble ISO/IEC første gang ISO standard, etter et fast track prosess. Fra juli 2007 byttet ISO/IEC 17799:2005 navn til ISO/IEC 27002, men innholdet er det samme. Den andre delen BS7799 ble først publisert i 1999, og da som BS7799 part 2 (BS7799-2) med tittel Information Security Management Systems - Specification with guidance for use. Fokuset allerede da var at standarden skulle stille krav til implementering av et styringssystem for informasjonssikkerhet. BS , i norsk oversettelse NS 7799:2003, var blant den mest aktuelle og ble valgt som sertifiseringsstandard for den nyetablerte sertifiseringsordningen sertifisering av sikkerhet i organisasjoner, se kap Arbeidet med å gjøre BS til en ISO-standard 12 møtte noe motstand i starten for det var en tid arbeidet med en annen standard, ISO/IEC TR Guidelines for the management of IT Security (GMITS). Denne er nå ISO/IEC ISMS 12 ISO - International Organization for Standardization 9

11 3.2 Styringssystem for informasjonssikkerhet ISO/IEC 27001:2005 Information technology -- Security techniques -- Information Security Management Systems - requirements (ISMS). ISO/IEC 27001:2005 spesifiserer ulike krav til etablering, implementering, drift, overvåkning, revisjon, vedlikehold og forbedring av et dokumentert styringssystem for informasjonssikkerhet (ISMS). Utgangspunkt skal være i organisasjonens totale virksomhetsrisikoer. Standarden spesifiserer også krav til implementering av sikkerhetsmål og kontroller 13, tilpasset organisasjonens individuelle krav, eller deler av disse. Standarden er i seg selv ikke et styringssystem, men gir hjelp til å utvikle et, tilpasset egen virksomhet. Standarden kan benyttes i alle virksomheter, uavhengig typer og størrelse, og er derved fleksibel og skalerbar som metode for utvikling av et styringssystem for informasjonssikkerhet. ISO/IEC 27003:2010 gir en veiledning til implementering av et styringssystem for informasjonssikkerhet etter kravene i ISO/IEC ISO/IEC 27004:2009 gir veiledning ved utvikling og bruk av sikringstiltak, samt målemetoder med hensikt å vurdere effekten av et implementert styringssystem for informasjonssikkerhet (ISMS) og sikringstiltak, i grupper av tiltak som spesifisert i ISO/IEC Hovedprosessene i ISO/IEC er PDCA, dvs. Plan-Do-Check-Act. Standarden er også en sertifiseringsstandard, noe mange land etter hvert har tatt bruk, også Norge, jfr. kapittel Sikringstiltak kontroller ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management.standarden gir veiledninger til retningslinjer og generelle prinsipper for initiering, implementering, vedlikehold, samt forbedring av organisasjons styring av informasjonssikkerhet. Skisserte sikkerhetsmålsetninger har til hensikt å gi en generell veiledning om allment aksepterte mål for styring av informasjonssikkerheten. Standarden inneholder beste praksis til kontroller og krav innen følgende områder innen informasjonssikkerhet: 13 Sikkerhetskrav- eller tiltak 10

12 sikkerhetspolicy, sikkerhetsorganisering, håndtering av aktiva, personellsikkerhet, fysisk sikkerhet, kommunikasjons- og driftsstyring, tilgangskontroll, anskaffelse, utvikling og vedlikehold av informasjonssystemer, håndtering av sikkerhetshendelser, beredskaps- og kontinuitetsstyring samt etterleve regelverk. Hensikten med kontrollene og kravene i ISO/IEC 27002:2005 er å implementere nødvendige sikringstiltak, identifisert i risiko- og sårbarhetsvurderinger (ROS) slik at rest risikoen blir redusert til et akseptabelt nivå. Standarden har til hensikt å gi felles basis for og et praktisk verktøy ved utvikling av virksomhetens sikkerhetssystem 14, være et effektivt ledelsessystem, samt underbygge tillit i forbindelse med samhandling med andre virksomheter. Mange har erfart at standarden fungerer utmerket som en sjekkliste for administrative og organisatoriske sikringstiltak. Standarden blir da også ofte benyttet ved revisjoner, og da som en benchmark. Når det gjelder det siste kontrollpunktet, om å etterleve regelverk, har den internasjonale standarden selvsagt ikke så mange innspill til de enkelte, nasjonale regelverkene. Kontrollpunktet fungerer som en påminnelse om at den enkelte virksomhet selv må identifisere, vurdere og etterleve de kravene som måtte finnes i lover, forskrifter, instrukser, rammeverk, nasjonale retningslinjer, kontrakter mv. Dette er en selvstendig jobb, som for så vidt må gjennomføres uavhengig av standardene. Regelverk er overordnet standardene. Det er likevel fornuftig å etablere et styringssystem som også sikrer etterlevelsen av de ulike rettslige kravene. 3.4 Risikovurdering ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management. Standarden gir veiledninger for risikostyring, hvor det også inngår risiko- og sårbarhetsanalyse av informasjonssikkerheten. Standarden støtter konseptene spesifisert i ISO/IEC 27001, og er utviklet for å underbygge implementering av informasjonssikkerhet, med utgangspunkt i en risikobasert tilnærming. 14 På området IKT- eller informasjonssikkerhet 11

13 Kunnskap om konsepter, modeller, prosesser og terminologi dokumentert i ISO/IEC og er viktig for å forstå hensikten med ISO/IEC 27005:2008. Standarden kan benyttes og gjelder for alle typer av organisasjoner / virksomheter som ønsker å administrere egen risikostyring. I tillegg til krav om å gjennomføre en risikovurdering, er det essensielt å fokusere på viktigheten av å utføre en verdivurdering av informasjonsaktiva i virksomheten, ref. [15] 15, samt veiledning fra NSM Sertifisering I Norge er det Norsk akkreditering som er akkrediteringsorganet, dvs. de som godkjenner sertifiseringsvirksomheter, slik at de i sin tur igjen kan utstede sertifikater etter sertifiseringsstandarder, som ISO/IEC og ISO Virksomheten som søker akkreditering skal følge ISO/IEC , og under prosessen med å godkjenne en sertifiseringsvirksomhet for ISO/IEC benytter Norsk Akkreditering i tillegg ISO/IEC Følgende 3 norske firmaer er akkreditert, dvs. godkjent av Norsk Akkreditering som sertifikatutsteder etter ISO/IEC 27001; Teknologisk Institutt (TI) Det Norske Veritas (DNV) - nssikkerhet/iso27001/ Nemko information-security-management-system For mange virksomheter foregår sertifisering etter ISO/IEC ISMS samtidig som etter ISO 9001 kvalitetsstyring. For å opprettholde akkrediteringer eller sertifiseringer må styringssystemene fornyes periodisk. Dette foregår ved revisjoner og bedømming. 15 Eksempelvis; KIS hovedrapport KOBI Klassifisering og beskyttelse av informasjon v NSM Nasjonal Sikkerhetsmyndighet Veiledning i verdivurdering 17 Standard for akkreditering av sertifiseringsorgan som sertifiserer styringssystemer 12

14 3.6 Kompetanse og opplæring ISO-standardene er godt etablerte standarder, og det må forventes utbredt kunnskap om og kompetanse rundt bruk av standardene også vårt nasjonale sikkerhetsmiljø. Det er flere firmaer som holder kurs og opplæring. Det kan her nevnes kurs i revisjon etter ISO/IEC og kurs i implementering av slikt styringssystem. 3.7 Utvikling og harmonisering Det foregår flere interessante utviklings- og harmoniseringsaktiviteter også utenfor ISO organisasjonen, som i en eller annen form berører standardene ISO/IEC og ISO/IEC 27002, og kanskje spesielt den siste. Dette kan i seg selv være tema for en interessant kartlegging. Kort kan vi her nevne noen få aktiviteter rundt andre standarder berører ISOstandardene : ITIL v.3 Service Management (ITSM) og ISO/IEC (-1 og -2) CobiT 18 fra ISACA 19 Det kan også nevnes at ISO/IEC til en viss grad er harmonisert med ISO 9001:2000, Quality management system - requirements og ISO/IEC 20000:2005, Information technology service management (ITSM). 4 Behov Relevante standarder som støtter og underbygger informasjonssikkerhet, bør tas i bruk fordi de bl.a. bygger på mange fagpersoners kollektive erfaring, samt felles utvikling av fagområdet over tid, nasjonalt og internasjonalt. På denne måten kan sikkerhetskultur- og nivå bedres og unødvendige feil og risikoer kan unngås. Standardisering forenkler opplæring og motivasjon, slik at kunnskap og erfaring kan utvikles på området. Standarder og bruk av disse bidrar også til samordning av sikkerhetsnivået mellom virksomheter. Standarder bidrar også til å underlette kravsetting til IKT- systemer, løsninger og virksomheter, samt være målestokk når etterlevelsen og sikkerhetsnivået i disse skal etterprøves eller revideres. Lov- og regelverk er ikke alltid like klare i formulering av sikkerhetskrav. Det er ofte generelle formuleringer mot god praksis og tematiske områder, uten å gi klare formulerte krav. Det skal for eksempel oppnås tilfredsstillende informasjonssikkerhet, men hvordan er opp til virksomheten. I de neste kapitlene er det forsøkt å identifisere og gruppere ulike bruksområder innenfor offentlig sektor spesielt. Det forutsettes særskilte forventninger, behov eller krav knyttet til disse bruksområdene. 18 Control Objectives for Information and related Technology 19 Information Systems Audit and Control Association, jfr. kapittel

15 4.1 Informasjonsbehandling Behovet for sikringstiltak er lov- og forskriftspålagt i flere tilfeller, både ved intern og ekstern informasjonsbehandling i offentlig forvaltning, som bruk av personopplysninger etter pol/pof [6], eller elektronisk kommunikasjon iht. eforvaltningsforskriften [7]. Men det er tilfeller hvor slik behandling faller utenfor et regelverk. Beskyttelsesverdig og sensitiv informasjon må ha behandlingsregler og være underlagt et tilfredsstillende regime for informasjonssikkerhet. Det bør i virksomheten være foretatt en grenseoppgang mellom personopplysninger, taushetsplikt og unntatt offentlighet, eksempelvis etter en verdivurdering av informasjonsaktiva, samt risikovurdering. Styringssystem og sikringstiltak etter standardiserte krav og veiledninger kan gi et basis sikkerhetsnivå, utvidet med skjerpede retningslinjer, krav og sikringstiltak for informasjonskategorier og systemer som krever særlig beskyttelse. I denne utredningen diskuterer vi ikke sikkerhets- og beskyttelsesgradert informasjon etter sikkerhetsloven [8] eller beskyttelsesinstruksen [9], da slik gradert informasjon har egne behandlingsregler og sikringskrav. 4.2 Elektronisk kommunikasjon og samhandling Kommunikasjon, samhandling og samarbeide bygger på grader av tillit eller tiltro mellom partene. Dette allmenne postulatet gjelder også innenfor ITverdenen. Informasjonssikkerhet har også til hensikt å bidra til å underbygge og verifisere at kommunikasjons- og samarbeidspartneren ivaretar sitt ansvar på en dokumentert og sikker måte. Informasjonssikkerhet i forbindelse med samhandling må derfor bygge på tillit/tiltro, og må underbygges med et avtaleverk (sikkerhetsmodeller). Vi må være sikre på at samhandlingspartneren eller en 3. part ivaretar nødvendig sikkerhet på avsender/oppdragsgivers vegne. En av flere utfordringer ved samhandling er å verifisere sikkerhetsnivået hos samarbeidspartnere. Spørsmålet er ofte om nivået er det samme eller bedre. Her vil et styringssystem for informasjonssikkerhet (ISMS), etter en felles standard, samt standardiserte og lett verifiserbare sikringstiltak, underlette denne utfordringen på en effektiv måte. 4.3 Offentlig elektroniske tjenester Dette gjelder offentlig tilbud av elektroniske tjenester rettet mot publikum og næringsliv. Det er politiske og forvaltningsmessige motiver for å utvikle og sette i produksjon flere og bedre offentlig elektroniske tjenester til det beste for 14

16 publikum og næringslivet. Hensikten og målet er flere, og innbefatter bl.a. en mer effektiv og brukervennlig forvaltning. Men dette forutsetter og er avhengig av tillit hos innbyggerne, publikum eller brukerne av offentlige tjenester. Brukerne av tjenestene må derfor kunne forvente styring og forvaltning av tjenesteproduksjonen, ved styringsprosesser (styringsmodeller) og standardisert eller beste praksis på sikringstiltak. Standardene ISO/IEC og ISO/IEC kan også her bidra til etablere et basisnivå på informasjonssikkerhet gjennomgående for offentlig forvaltning. 4.4 IKT- drift og forvaltning Når det gjelder IKT- drift og forvaltning er det behov og utfordringer knyttet til kravsetting, kontraktsinngåelse og oppfølging med 3.part driftspartnere (outsourcing). Mørketallsundersøkelsen 2010 [10] tar også opp denne utfordringen, og foreslår samtidig konkrete tiltak. Fra undersøkelsen fremgår det i en av hovedanbefalingene at det offentlige må etablere en sertifiseringsordning for sikkerhet hos IT-driftsleverandørene. Det kanskje aller viktigste er drift av samfunnskritiske IT-systemer, samfunnskritisk IKT-infrastruktur eller (virksomhets-) kritiske IKT-systemer og samfunnsfunksjoner. Nå er disse ikke noen eksakte og vel definerte begreper, hvor det innen offentlig sektor klart fremgår hvilke systemer, funksjoner eller løsninger dette gjelder. Utredningene Når sikkerheten er viktigst - Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner [11] og BAS5 [12] diskuterer disse begrepene. I tillegg har sikkerhetsloven [8] fått en ny forskrift om objektsikkerhet. I nasjonale retningslinjer for informasjonssikkerhet [2] er det i kapittel 3.1 gitt føringer for samfunnskritisk IKT-infrastruktur. Dette og flere begreper er forklart i avnittet ord og uttrykk. Vi kan også her trekke frem drift av fellestjenester - eller komponenter (ITsystemer), i regi av en offentlig virksomhet, og tilbydere av offentlige elektroniske tjenester til publikum og næringsliv. Dette bruksområdet kan også gjelde felles drift for det offentlige fellesskapet, jfr DSS Regelverket Et viktig spørsmål er om sentrale lover og forskrifter gir konkrete krav til ISMS og omfang eller struktur på sikringstiltak. Det er også utfordringer på andre plan, bl.a. hvordan i praksis etterleve ett eller ofte flere regelverk på et ledelsesog styringsnivå. 20 Departementenes Service Senter 15

17 I rapporten fra Statskonsult til SARI 21 Rettslig plikt til å ha system for informasjonssikkerhet? (2007)[12] ble et utvalg regelverk gjennomgått. Formålet var å se om de krevde styringssystem for informasjonssikkerhet. Konklusjonen var at de fleste regelverkene indirekte krevde det, mens noen få, kanskje bare ett, har en ordlyd som relativt direkte kan sies å kreve et styringssystem, basert på anerkjente prinsipper 22, jf forskrift for elektronisk kommunikasjon med og i forvaltningen, fra 2004 [17]. Forskriften er hjemlet i forvaltningsloven, og har samme virkeområde. De vanligste regelverkskravene på dette området er i følge rapporten formulert slik: man skal ha planlagte og systematiske tiltak som dokumenteres, og er helhetlig, videre må en ha internkontroll, kvalitetssystem, lage sikkerhetsmål, sikkerhetsstrategi, prosesser, prosedyrer, rutiner, sikkerhetsadministrasjon, anerkjente prinsipper for informasjonssystemers sikkerhet osv, - alt sammen for å ivareta tilfredsstillende informasjonssikkerhet, tilpasset/skalert iht. egen virksomhet og størrelse. Den nevnte eforvaltningsforskriften gir heller ikke noen føring på hvilken eller hvilke standard(er) som skal legges til grunn, dette er valgfritt. Men det er en plikt å velge en (eller flere), og å følge den/de, som grunnlag for å ivareta informasjonssikkerheten i virksomheten. Alle valg av sikkerhetstiltak skal være basert på dette grunnlaget. Også beslutninger om ikke å bruke sikkerhetstiltak, eller å bruke svake sikkerhetstiltak, skal være forankret i det samme. Forskriften forutsetter at virksomheten lager sin egen sikkerhetsstrategi og sitt eget styringssystem for informasjonssikkerhet, basert på internasjonalt anerkjente prinsipper, i klartekst en eller flere internasjonalt anerkjente standarder. Også personopplysningsloven og -forskriften gir pålegg om å lage sikkerhetsstrategi. De krever planlagte og systematiske tiltak, som dokumenteres. Dette forutsetter at et styringssystem legges til grunn. Personopplysningsforskriftens kapittel 2 har til og med tatt utgangspunkt i og bygget sine krav på den daværende mest anerkjente standarden, som er en forløper for dagens ISO/IEC standard. Datatilsynet går også langt i å 21 Samarbeidsgruppe for regelverk for informasjonssikkerhet (SARI) under Koordineringsutvalget for informasjonssikkerhet (KIS). SARI vites ikke om denne lengre er i funksjon. 22 eforvaltningsforskriften (FOR ) 13. Sikkerhetsmål og sikkerhetsstrategi (1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. (2) Sikkerhetsstrategien skal være utarbeidet i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet. 16

18 peke på at hvis en følger denne standarden, har en langt på vei dekket de viktigste kravene i loven og forskriften. Men de fremhever naturlig nok også at etterlevelse av reglene krever selvstendig vurdering. Dette vil det være naturlig å gjøre som et ledd i å ta i bruk standarden for styring av informasjonssikkerhet i egen virksomhet. Personvernreglene gjelder både i privat og offentlig sektor, så disse reglene har et omfattende, generelt nedslagsfelt. Videre finner vi i norm for informasjonssikkerhet i helsesektoren [3] og i kap. 4.1 krav til styringssystem for informasjonssikkerhet. En del av de anbefalte sikringstiltak etter ISO/IEC (tidligere kjent som ISO/IEC 17799:2005) kjenner vi godt igjen i lov og regelverk, men ikke gruppert og i det omfanget og med den systematikken som standarden beskriver. Lov- og forskriftsverket gir ofte visse føringer innenfor enkelte tematiske områder innenfor informasjonssikkerhet. Dette kan som eksempel være nevnte krav om sikkerhetsmål og sikkerhetsstrategi i pol/pof 23 [5] fra Datatilsynet, samt i eforvaltningsforskriften [7]. På begge områder finnes det veiledninger. Konklusjonen er at det finnes en rekke krav i ulike lover og forskrifter til å ivareta informasjonssikkerheten. Dette skal gjøres planlagt, systematisk og dokumentert, og ut fra egen sikkerhetsstrategi/policy og risikovurderinger. Ved å etablere og forvalte et styringssystem for informasjonssikkerhet, også tilpasset virksomhetens andre styringssystemer, kan dette gjøre det lettere å etterleve krav fra regelverk, samt virksomhetens eventuelle øvrige behov for informasjonssikkerhet. 5 Kartlegging Det er gjort en kartlegging av standarder som inneholder krav eller veiledninger for utvikling, etablering og forvaltning av et styringssystem for informasjonssikkerhet. Det styrende prinsippet bak et styringssystem må være at virksomheten skal, med utgangspunkt i standard eller veiledning, kunne være i stand til å utvikle, implementere og vedlikeholde et konsistent sett med policyer, prosesser og systemer. Dette for å kunne styre alle risikoer mot informasjons- og IKT - ressursene på en slik måte at restrisikoen for informasjonssikkerhet kan aksepteres av ledelsen. 23 Personopplysningsloven og personopplysningsforskriften 17

19 5.1 Standardiseringsarbeidet Standardiseringsarbeidet innen ISO og på området informasjonssikkerhet har pågått i mange år, og i flere komiteer og arbeidsgrupper. For vår utredning er komiteen SC27 og arbeidsgruppene WG 1, 2 og 3, de mest aktuelle å følge jfr. kap Norge deltar til tider aktivt med norsk representasjon og med arbeid i norsk referansegruppe under Standard Norge, med deltakelse fra næringsliv og offentlig sektor. Det må kunne hevdes at den internasjonalt best kjente og aksepterte standarden som etter krav til et ISMS må være ISO/IEC For ISO/IEC ISMS er det først og fremt ISO/IEC som er samhandlende, samt ISO/IEC med introduksjonen og begrepsapparat. Det er vanskelig å se etablering av et styringssystem for informasjonssikkerhet uten å benytte disse tre ISO-standardene, og eventuelt med støtte i ISO/IEC veiledning ved implementering 24. Når det gjelder tilstøtende 25 standarder til ISO/IEC blir disse ikke kartlagt. Det blir gitt en kort presentasjon av de andre mest aktuelle i serien i kap Andre initiativer Den internasjonale foreningen Information Security Forum ISF 26 har i flere år oppsummert erfaringer, praksis og forslag fra sine medlemsorganisasjoner og utgitt en Standard of Good Practice (SOGP) for informasjonssikkerhet. ISF vedlikeholder veiledningen, med tilbakemeldinger fra medlemmene og utgir nye versjoner periodisk. Denne er derfor i form en veiledning og beste praksis og ingen formell vedtatt standard, men kan oppfattes som en vel anerkjent industristandard. Så vidt det er brakt i erfaring kreves det medlemskap i ISF for å få tilgang til veiledningen Standard of Good Practice og det må betales en avgift for å kunne bruke denne i en medlemsorganisasjon. Se for øvrig; https://www.securityforum.org/ En annet og mye omtalt rammeverk er CobiT 27. Denne er utviklet av og blir forvaltet av ISACA 28, jfr. eller se også den norske avdelingen 24 Av ISO/IEC Dvs. sektor- eller løsningsorienterte tokninger og veiledinger til ISO/IEC Må ikke forveksles med foreningen Norsk Informasjonssikkerhetsforum (ISF) The Control Objectives for Information and related Technology, se 28 Information Systems Audit and Control Association 18

20 Dette er også et sett med beste praksis, og som bygger på mange andre standarder og veiledninger. Hensikten med rammeverket er i første rekke å gi virksomhetene en veiledning til styring, kontroll og forvaltning av ITvirksomheten. CobiT gir brukergrupper som ledere, revisorer, IT-personell anerkjente målsetninger (krav), måleparametre (KPI), prosesser, samt beste praksis. Ved å benytte CobiT kan brukeren få veiledning og støtte til å forbedre effektene ved bruk av IKT. I tillegg kan det gjennom bruk av rammeverket oppnås hensiktmessig ledelse og kontroll med IKT- virksomheten. For IKT-virksomheter generelt bør vi også ta med ITIL 29. Dette er en beste praksis med prosesser og strukturer for etablering av Information Technology Service Management (ITSEM) for IKT-utvikling og -drift. ITIL gir et bibliotek med viktige IT-prosesser. Disse er detaljert beskrevet med omfattende sjekkliser, oppgaver og prosedyrer, noe som enhver virksomhet kan benytte og skreddersy for sitt behov. ITIL v3 har under området Service Design dokumentert en god del prosesser innenfor først og fremst sikring av IKT- miljøet, men også informasjonssikkerhet. Både CobiT og ITIL dekker andre behov og virkeområder enn standardene i serien. Det er allerede utført interessant arbeid, noe som fortsatt pågår med henblikk på å finne praktisk bruk av standardene og veiledningen i en sammenheng og slik at de utfyller og støtter hverandre. Det er i forprosjektet kartlegging av sikkerhetsstandarder [1] og i dette utredningsarbeidet ikke funnet frem til andre standarder, veiledninger eller andre som kan erstatte ISO/IEC på tilsvarende måte. En av styrkene til ISO-standarden ligger i at den følges opp av ISO/IEC med anbefalte krav til sikringstiltak, samt andre standarder i serien. 5.3 Erfaringer Sverige På forespørsel er det fra Myndigheten för samhällsskydd och beredskap MSB Enheten för samhällets informationssäkerhet i Sverige medelt følgende erfaringer. Bruk av standardene 30 har opprinnelig vært hjemlet i forskrift fra i da gjeldende versjoner og er nå besluttet i ny forskrift 31 fra Behovet for å styrke informasjonssikkerheten var tidligere definert og motivet for valg av standardene var med utgangspunkt at de var internasjonalt etablerte og utbredte, samt at Sverige deltok aktiv i standardiseringsarbeidet i ISO. I 29 ITIL betyr Information Technology Infrastructure Library 30 SS-ISO/IEC 27001: 2006 og SS-ISO/IEC 27002: Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet 19

21 tillegg hadde EU pekt på disse standardene som grunnlag for informasjonssikkerhetsarbeidet innenfor unionen. De poengterer videre at standardene stemmer godt med ansvaret i statsforvaltningen, ved at selvstedig myndighet har et eget ansvar. I praksis gir standardene en modell for å beslutte sikringstiltak med hensyn til hver enkelt myndighets behov. Dette tar utgangspunkt i vurdering /klassifisering informasjonsverdier og ved risikoanalyser. De synes at det er gått for kort tid til å vurdere effektene. Reaksjonene over forskriften har i alt vært overveiende positive. Noen myndigheter har hatt innvendinger mot forventede økte kostnader. I en konsekvensanalyse er det påvist at det ikke er standardenes omfang som styrer kostnadene, men heller kompleksiteten til spørsmålene rundt informasjonssikkerhet. De hevder videre at om myndighetene får økte kostnader med arbeide rundt informasjonssikkerhet og da med krav i forskriften, er det ofte begrunnet at de tidligere ikke har gjort det man burde. Ved å benytte standardene i sikkerhetsarbeidet bidrar dette til å gjøre rette valg på godt grunnlag, noe som i seg selv er med å redusere kostnadene. Det er ikke gitt krav om sertifisering av ISMS, noe som er overlatt til hver myndighet å bestemme. En myndighet er sertifisert, og noen har planer om dette. Formålet har vært å skape goodwill fra omverdenen, innbyggere og samarbeidspartnere. Generelt oppsummerer de med at arbeidet med informasjonssikkerhet hos statelige myndigheter har utviklet seg positivt etter at forskriften ble vedtatt. Dette underbygges av undersøkelser gjennomført om utviklingen i statsforvaltningen. Forskriften har videre bidratt til økt legalitet for området, bedre engasjement hos virksomhetens ledelse og bedre koordinering og samsyn på informasjonssikkerhet i hele den offentlige sektoren. I tillegg gir det støtte til de ansvarlige for arbeidet med utfordringer på området informasjonssikkerhet i egen virksomhet. Standardene er også naturlig å bruke ved kravsetting ved anskaffelse av IKT-produkter, IKT-tjenester og outsourcing Danmark Fra IT- og Telestyrelsen i Danmark har det kommet følgende erfaringer. DS 484 er de facto en oversetting av ISO/IEC (i realiteten dens forgjenger) med visse danske tillegg. Den viktigste som ble gjort var å gjøre standarden (DS 484) normativ. Standarden ble obligatorisk 1. januar En rekke av standardens sikringstiltak (Controls) ble valgt ut og gjort obligatoriske. Dette medførte en stram fortolkning av hvordan standarden skulle implementeres. Dette medførte videre at det ble størst fokus på å overholde kravene (compliance), enn å etablere et passende sikkerhetsnivå. Standarden ble en sjekkliste i sikkerhetsarbeidet, noe som viste seg nødvendig, grunnet den lave modenheten som den gang var rundt sikkerhetsarbeidet. 20

22 DS 484 har medført i å skape et felles språk vedrørende informasjonssikkerhet. Størrelsen på virksomhetene har hatt betydning for ressursbruk ved implementering, og noen mindre virksomheter har erfart unødvendig ressursbruk ved å fokusere på compliance til standarden. Det blir også nevnt at det har vært omkostninger ved arbeidstid og konsulentbruk ved implementeringen. Det er gjennomført en kvalitativ undersøkelse 32 om erfaringer fra sikkerhetsstandarden. Danmark vil nå gå over til ISO/IEC og Dette av grunner som enklere samarbeid med utlandet, at ISO/IEC (og resten av familien) er resultat av et internasjonalt arbeid fra eksperter. De hevder videre at ISO/IEC legger opp til en større forankring hos ledelsen og har forretningsfokus. ISO/IEC er mer fleksibel i forhold til sikringstiltak, og fordi ISO/IEC er en veiledning og ikke en normativ standard, samt at ISO/IEC legger opp til at det etableres et passende ledelsessystem for sikkerhet, mer enn fokus på compliance. Danmark har igjen krav til sertifisering for statelige virksomheter, og det er heller ikke det nødvendig å innføre et slikt krav. Årsakene er flere. 6 Avgrensning Denne utredningen ser på behovet, mulige valg og forslag vedrørende krav til styringssystem og anbefalte sikringstiltak innenfor informasjonssikkerhet i offentlig forvaltning. Forslagene går ut på om standardene skal være anbefalte eller obligatoriske for de ulike anvendelsesområdene som foreslås. Utredningen vurderer standardene ISO/IEC og ISO/IEC Det er ikke kartlagt andre standarder eller veiledninger som kan erstatte eller delvis supplere disse to når det gjelder styringssystem for informasjonssikkerhet eller veiledninger til krav og sikringstiltak for å ivareta nødvendig og lovpålagt informasjonssikkerhet. Utredningen fokuserer på anvendelse med og i offentlig sektor. Se ellers mandatet i kap Utredningen vurderer ikke standardene opp mot konkrete sikrings- eller beskyttelseskrav fra sikkerhetsloven med forskrifter [8], beskyttelsesinstruksen [9] eller fra personopplysningsloven med forskrift [6], eller annet regelverk, utover det som er gjengitt i kapittel 4.5. Det understrekes likevel at interessene bak de rettslige kravene til sikring av konfidensialitet, integritet og tilgjengelighet generelt er sammenfallende med de interesser og bruks- og anvendelsesområder som utredningen diskuterer. 32 Erfaringer fra implementeringen af DS 484 Standard for informasjonssikkerhed i statslige organisasjoner 21

23 Utredningen tar ikke stilling til styrker eller eventuelle svakheter i de to aktuelle standardene, men observerer at begge er under en viktig revisjon, som er forventet å ta noe tid. 7 Evaluering av ISO/IEC Vurdering av kriteriene i Standardiseringsrådets arbeidsmetodikk. 7.1 Hva er formålet med standarden ( ) Hva er hensikten ved å ta standarden i bruk? ( ) ISO/IEC spesifiserer ulike krav til etablering, implementering, drift, overvåkning, gransking (revisjon), vedlikehold og (ikke minst) forbedring av et dokumentert styringssystem for informasjonssikkerhet (ISMS) med utgangspunkt i organisasjonens totale forretnings- eller virksomhetsrisikoer. Standarden spesifiserer krav til implementering av sikringstiltak, tilpasset organisasjonens individuelle krav, eller deler av disse. ISO/IEC 27001:2005 kan benyttes i alle typer av organisasjoner. Hensikten er å etablere gode og formålstjenlige prosesser, rutiner og instrukser, på en standardisert måte, og som sikrer at virksomheten iverksetter og vedlikeholder nødvendig nivå på informasjonssikkerhet. Standarden er med andre ord et kravdokument for etablering og forvaltning at et styringssystem for informasjonssikkerhet (ISMS). Standarden kan underbygge og skape tillit gjennom samhandling og virksomhetsutsetting (outsourcing av IT-drift) Hvilket nedslagsfelt, bruksområde har standarden? ( ) ISO/IEC 27001:2005 er utviklet og revidert over flere år med hensikt å kunne benyttes i alle typer av organisasjoner. 7.2 Prosessen rundt utvikling og forvaltning av standarden ( ) Har utviklingen av standarden vært en åpen prosess der alle interessenter har kunnet delta på en ikke diskriminerende måte? ( ) Utvikling og forvaltning (revisjon) følger en omfattende prosess, slik alle internasjonale standarder gjennomgår i International Organization for Standardization (ISO). Norge ved Standard Norge har i mange år hatt en nasjonal referansegruppe som deltar og kommer med innspill og kommentarer i ulike faser av standardiseringsarbeidet. ISO/IEC har en hatt en 22

24 forholdsvis lang utvikling og modning i tid. Standarden er nå også under en viktig revisjon Standarden er anerkjent og vil bli vedlikeholdt av en ikkekommersiell organisasjon. Det løpende utviklingsarbeidet foregår på basis av en beslutningsprosess som er åpen for alle interesserte parter på en ikke-diskriminerende måte (kan være konsensus drevet, basert på flertallsavgjørelser osv). ( ) ISO/IEC var opprinnelig en bristisk standard BS 7799-part 2, men har nå i flere år vært underlagt regimet til ISO ved JTC1/SC 27, dvs. Joint Technical Committee 1- Information technology and Subcommittee 27 - IT Security techniques and Working Group 1 - Information security management systems. SC27 har for øvrig flere arbeidsgrupper. Standarden bør nå være godt kjent både nasjonalt og internasjonalt. Dette ikke minst grunnet at de kan vise til historikk tilbake til slutten av 1990-tallet Har beslutningsprosesser i standardiseringsorganisasjonen vært slik at alle parter har hatt likeverdig og nødvendig innflytelse? ( ) Det er mange nasjoner som deltar i standardiseringsarbeidet, også i SC 27 / WG 1. Prosessen med draft, høringer og godkjenning bidrar til å sikre resultatene. Ulempen er at dette, både er ressurs- og tidskrevende. Se lenke under for oversikt over de ulike kodene som benyttes; s_description/stages_table.htm Er standardiseringsorganisasjonen en ikke kommersiell organisasjon? ( ) Ja, både International Organization for Standardization (ISO) og International Electrotechnical Commission (IEC) er ikke kommersielle organisasjoner Har beslutningsprosessen vært åpen og transparent slik at alle har fått ta del i prosessen og kan se hvilket beslutningsgrunnlag som ligger bak standarden? ( ) Alle representanter fra nasjonale standardiseringsorgan og arbeidsgrupper (referansegrupper) som deltar har selvsagt full innsyn i prosessen. I tillegg er det mulig for andre å få innsyn, og de viktige resultatene blir publisert både på hjemmesidene til ISO, og de ulike Subcommittees (SC). Dette fordrer selvsagt interesse og aktive handlinger for å skaffe informasjon Er standarden publisert og dokumentasjon er tilgjengelig enten gratis eller til en ubetydelig avgift? Er det tillatt for alle å kopiere, distribuere og bruke standarden gratis eller for en ubetydelig avgift? ( ) Standarden kan bl.a. kjøpes via Standard Norge. Om prisen er ubetydelig kan selvsagt diskuteres, men prisen for nedlasting er p.t. 980,00 kr eks. mva. Ved abonnent er det rabatt og mengderabatt. 23

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet Versjonshåndtering Versjonsnr. Endret Beskrivelse av endring: Endret av: dato: 0.7 08.02.2011 Godkjenning av alle endringer KrB 1 Innhold 1

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Standardiseringsarbeidet

Standardiseringsarbeidet Standardiseringsarbeidet Kristian Bergem 10.02.2010 Standardiseringsportalen Dato Totaloversikt standard.difi.no http://standard.difi.no/forvaltningsstandarder Dato 1. Ver av referansekatalogen Kom i desember

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

ISOs styringssystemstandarder et verktøy for forenkling

ISOs styringssystemstandarder et verktøy for forenkling 2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Hva sier NS-EN 1717 om krav til tilbakeslagssikring?

Hva sier NS-EN 1717 om krav til tilbakeslagssikring? 31. august 2015 Hva sier NS-EN 1717 om krav til tilbakeslagssikring? OG LITT OM STANDARDER OG STANDARD NORGE Litt om standarder og Standard Norge 01 Standarder bidrar til.. Bærekraft Innovasjon Forenkling

Detaljer

Digitaliseringsstrategi 2014-2029

Digitaliseringsstrategi 2014-2029 Digitaliseringsstrategi 2014-2029 Stavanger kommune Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet.

Detaljer

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13 Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 Forslag til vedtak: Styret tar IKT-strategi for perioden 2013 2016 til orientering. Vedlegg: Saksfremlegg

Detaljer

Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge?

Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge? Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge? Martin Bould Ciber Norge AS i samarbeid med Norsk arkivråd, 17.6.2014 6/24/2014 1 2014 Ciber Eller - Hvor skal jeg begynne? En liten omvei

Detaljer

Samordningsrådet Kran, Truck og Masseforflytningsmaskiner

Samordningsrådet Kran, Truck og Masseforflytningsmaskiner Samordningsrådet Kran, Truck og Masseforflytningsmaskiner Essendropsgt.3 Postboks 5485 Majorstua 0305 OSLO Telefon: 23 08 75 31 / 23 08 75 33 Telefaks: 23 08 75 30 E-post: samordningsradet@ebanett.no UTDYPENDE

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor IKT-konferansen Høgskolen i Buskerud 4. november 2010 Kristin Kopland (Difi) (kristin.kopland@difi.no) Agenda Hvilke oppgaver

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten

Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten Daglig leder Gunnar Flø Guttulsrød Norsk Sertifisering AS 1 Vårt mål Å gjøre ting riktig første gang!

Detaljer

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583 Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 Rapport 2012:15 ISSN 1890-6583 Forord Digitalisering er et viktig virkemiddel for å få en effektiv

Detaljer

Ny ISO 9001:2015. Disclaimer:

Ny ISO 9001:2015. Disclaimer: Ny ISO 9001:2015 Disclaimer: Presentasjon basert på draft versjon Subjektiv vurdering av endringer Subjektiv vurdering av hva som oppfattes som viktig Representerer ikke et sertifiseringsorgan Ny ISO 9001:2015

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

Arbeidsgruppas behandling av rapporten

Arbeidsgruppas behandling av rapporten Arbeidsgruppas behandling av rapporten Redigerbare dokumentformater Anbefaling om sammensetning produsert av Bouvet ASA Innledning Bouvet ASA har på oppdrag fra Standardiseringssekretariatet gjort en utredning

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 1 Innhold 1. Bakgrunn og innledning... 3 2. Standarder for publisering av nettleserbaserte

Detaljer

Offentlig sertifisering av IT-sikkerhet. Seminar om sikkerhet og tillit, 22. september 2005. Lars Borgos, SERTIT

Offentlig sertifisering av IT-sikkerhet. Seminar om sikkerhet og tillit, 22. september 2005. Lars Borgos, SERTIT Offentlig sertifisering av IT-sikkerhet Seminar om sikkerhet og tillit, 22. september 2005 Lars Borgos, SERTIT Tema Om ordningen Sertifisering ift forebyggende sikkerhet Nytteverdi SERTIT i NSM Direktør

Detaljer

Samarbeid om IKT- løsninger og elektronisk samhandling

Samarbeid om IKT- løsninger og elektronisk samhandling Tjenesteavtale 9 Samarbeid om IKT- løsninger og elektronisk samhandling Samarbeid om IKT-løsninger og bruk av felles plattform lokalt er av stor betydning for å få til god samhandling. Enkel, rask og pålitelig

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioritering 2011 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioriteringsnotat 2011 Gjennomgang av forslag til standardiseringsarbeidet Prioritering i henhold til kriterier Utkast til prioriteringsnotat

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

ISO 14001. Standard for miljøstyring ytre miljø. Verktøy for å ha kontroll med forurensning og møte fremtidens miljøutfordringer

ISO 14001. Standard for miljøstyring ytre miljø. Verktøy for å ha kontroll med forurensning og møte fremtidens miljøutfordringer ISO 14001 Standard for miljøstyring ytre miljø Verktøy for å ha kontroll med forurensning og møte fremtidens miljøutfordringer 31 JANUAR 2011 Foredragsholder: Paul Liseth, Ph.D, www.miljoeplan.no Hva er

Detaljer

Sertifisering av tavlebyggere ISO 9001 Slik blir prosessen i egen virksomhet Årsmøte 03.04.2013 Quality Hotel Olavsgaard, Skjetten

Sertifisering av tavlebyggere ISO 9001 Slik blir prosessen i egen virksomhet Årsmøte 03.04.2013 Quality Hotel Olavsgaard, Skjetten Sertifisering av tavlebyggere ISO 9001 Slik blir prosessen i egen virksomhet Årsmøte 03.04.2013 Quality Hotel Olavsgaard, Skjetten Daglig leder Gunnar Flø Guttulsrød Norsk Sertifisering AS 1 Norsk Sertifisering

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Saksdokumenter: Dok.dato Tittel Dok.ID 15.02.2013 KR 11.1/13 Årsplan 2013- status pr 14. 2. 13.doc 91960

Saksdokumenter: Dok.dato Tittel Dok.ID 15.02.2013 KR 11.1/13 Årsplan 2013- status pr 14. 2. 13.doc 91960 DEN NORSKE KIRKE KR 11/13 Kirkerådet, Mellomkirkelig råd, Samisk kirkeråd Sted, 14.-15. mars 2013 Referanser: MKR 06/13, SKR 05/13 Saksdokumenter: Dok.dato Tittel Dok.ID 15.02.2013 KR 11.1/13 Årsplan 2013-

Detaljer

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig

Detaljer

Prosedyrer for utvikling og revisjon av det norske PEFC sertifiseringssystem

Prosedyrer for utvikling og revisjon av det norske PEFC sertifiseringssystem PEFCN N ST 1002:2013 PEFC Norge standard PEFC N ST 1002:2013 Prosedyrer for utvikling og revisjon av det norske PEFC sertifiseringssystem Ny standard august 2013. Erstatter PEFC Norway ST 1002:2009 Rules

Detaljer

Sertifisering av IT-sikkerhet

Sertifisering av IT-sikkerhet Sertifisering av IT-sikkerhet Innhold Forord 4 IT-sikkerhet 5 Sikre IT-systemer 5 Standardisering og IT-sikkerhet 6 Common Criteria (CC) 6 Krav til IT-sikkerhet 7 Sertifiseringsprosessen 8 Evaluering

Detaljer

NS-EN ISO/IEC 17021-1

NS-EN ISO/IEC 17021-1 Guri Kjørven, 2015-12-02 NS-EN ISO/IEC 17021-1 SAMSVARSVURDERING - KRAV TIL ORGANER SOM TILBYR REVISJON OG SERTIFISERING AV LEDELSESSYSTEMER - DEL 1: KRAV Historikk ISO/IEC 17021:2006 Erstattet Guides

Detaljer

Tjenestebeskrivelse for sertifisering i henhold til ISO 10667

Tjenestebeskrivelse for sertifisering i henhold til ISO 10667 Tjenestebeskrivelse for sertifisering i henhold til ISO 10667 Victoria Ward Siv Inderdal Eklo 2013-07-23 1 of 6 INNHOLD 1 BAKGRUNN OG FORMÅL MED SERTIFISERINGSORDNINGEN... 3 2 DEFINISJONER... 3 3 RUTINER

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO) SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018

Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Innhold Hovedmål 1 Vellykket teknisk innføring av nødnett-brukerutstyr... 6 Hovedmål 2:

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

Nr. Vår ref Dato R-117 14/3305 20.05.2015

Nr. Vår ref Dato R-117 14/3305 20.05.2015 Rundskriv R Samtlige departementer Statsministerens kontor Nr. Vår ref Dato R-117 14/3305 20.05.2015 Internrevisjon i statlige virksomheter 1. Innledning Finansdepartementet varslet i kap. 9 i Gul bok

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Brosjyren inneholder hovedpunkter fra dokumentet Kvalitetsstrategi for Helse Midt-Norge. Du kan laste ned hele dokumentet fra www.helse-midt.

Brosjyren inneholder hovedpunkter fra dokumentet Kvalitetsstrategi for Helse Midt-Norge. Du kan laste ned hele dokumentet fra www.helse-midt. K V A L I T E T S S T R A T E G I F O R H E L S E M I D T - N O R G E 2 0 0 4 2 0 0 7 Brosjyren inneholder hovedpunkter fra dokumentet Kvalitetsstrategi for Helse Midt-Norge. Du kan laste ned hele dokumentet

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING

RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING Hjemlet i lov om kommunale helse- og omsorgstjenester av 14.6.2011 3-5 tredje ledd, 6-2 siste

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Sertifisering av personell innen kvalitet- miljø og risikostyring. Hvorfor er akkreditert sertifisering viktig?

Sertifisering av personell innen kvalitet- miljø og risikostyring. Hvorfor er akkreditert sertifisering viktig? Sertifisering av personell innen kvalitet- miljø og risikostyring Hvorfor er akkreditert sertifisering viktig? Hva er sertifisering? «Alle» kan i prinsippet foreta sertifisering «En sertifisering refererer

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater Sikkerhetsledelse et løpende og langsiktig arbeid - Som ikke alltid gir raske resultater Innhold Fem overordnede prinsipper for sikkerhetsledelse Six impossible things before breakfast Og en oppsummerende

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Veiledning til IKT- forskriftens 5 "Sikkerhet" August 2013

Veiledning til IKT- forskriftens 5 Sikkerhet August 2013 Veiledning til IKTforskriftens 5 "Sikkerhet" August 2013 2 Finanstilsynet Innhold 1 Innledning 4 2 Forskriftsmessige krav til sikkerhet i IKT-systemene 5 3 Berørte områder av IKT-virksomheten 5 4 Etterlevelse

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Endringer i ISO-standarder

Endringer i ISO-standarder Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter

Detaljer

Trondheim byarkiv v/elin E. Harder. Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv

Trondheim byarkiv v/elin E. Harder. Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv Trondheim byarkiv v/elin E. Harder Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv Foto: Foto: Carl-Erik Geir Hageskal Eriksson Norsk arkivråd, Trondheim 23.03.2010

Detaljer

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 v/rådgiver Jim-Arne Hansen IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 Disposisjon: Grunnleggende personvernprinsipper Informasjonssikkerhet Papirbasert - / elektronisk arkiv 2 Viktige personvernprinsipper

Detaljer