Utredning av standarder for styring av informasjonssikkerhet Versjon

Størrelse: px
Begynne med side:

Download "Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011"

Transkript

1 Utredning av standarder for styring av informasjonssikkerhet Versjon

2 Innhold 1 Sammendrag Innledning Bakgrunn Formål Mandatet Arbeidsmetodikk Sammendrag av kapitlene Styringssystem og sikringstiltak Kort historikk Styringssystem for informasjonssikkerhet Sikringstiltak kontroller Risikovurdering Sertifisering Kompetanse og opplæring Utvikling og harmonisering Behov Informasjonsbehandling Elektronisk kommunikasjon og samhandling Offentlig elektroniske tjenester IKT- drift og forvaltning Regelverket Kartlegging Standardiseringsarbeidet Andre initiativer Erfaringer Avgrensning Evaluering av ISO/IEC Hva er formålet med standarden ( ) Prosessen rundt utvikling og forvaltning av standarden ( ) Standardens aksept og utbredelse i markedet ( ) Tilfredsstiller standarden offentlige virksomheter og deres brukeres behov? ( ) Hvilke konsekvenser vil en anbefaling av standarden gi? ( ) Evaluering av ISO/IEC Hva er formålet med standarden ( )

3 8.2 Prosessen rundt utvikling og forvaltning av standarden ( ) Standardens aksept og utbredelse i markedet ( ) Tilfredsstiller standarden offentlige virksomheter og deres brukeres behov? ( ) Hvilke konsekvenser vil en anbefaling av standarden gi? ( ) Konklusjoner og forslag Sammendrag Kriterier Sikker informasjonsbehandling Sikker elektronisk kommunikasjon og samhandling Sikker ekstern IKT-drift og forvaltning Sikker IKT-drift og forvaltning i offentlig sektor Informasjonssikkerhet i styringsdialogen Sikkerhetskrav og strukturering Oppsummering av ISO/IEC og Andre anbefalinger Vedlegg - standardene i ISO/IEC serien En oversikt Vedtatte standarder Sektorvise standarder Standarder - planlagte eller under utarbeidelse Andre relevante standarder De mest aktuelle standardene i ISO/IEC serien Referanser

4 1 Sammendrag Utredningen tar for seg standardene ISO/IEC krav til styringssystem for informasjonssikkerhet og ISO/IEC veiledning til generelt aksepterte sikringstiltak (best practices). Vi kan innledningsvis oppsummere med at standardene bør være godt kjent og aksepterte etter flere år som internasjonale og nasjonale standarder. Det er mange som etter hvert har opparbeidet nødvendig kunnskap og erfaring med standardene, også innenfor offentlig sektor. Etter en kort introduksjon til styringssystem for informasjonssikkerhet og sikringstiltak i kapittel 3, er behovene for bruk av omtalte standarder forsøkt gruppert i noen bruksbehov. Bruksområdene i kapittel 4 er grovt inndelt ut fra forventet risiko og behov for et utvidet sikkerhetsnivå. Ved å etablere et styringssystem etter kravene i ISO/IEC med bl.a. prosesser for planlegging, implementering og forbedring vil dette kunne bidra til å ivareta ledelsens ansvar for informasjonssikkerhet. Sammen med at virksomheten gjennomfører en verdivurdering av egne informasjons- eller IKTaktiva, og en vurdering av eget risikobilde, kan virksomheten så finne en egnet struktur på sikringstiltakene 1 i ISO/IEC 27002, samt forslag til anerkjente sikringstiltak (krav) 2. Til sammen kan dette ha avgjørende betydning om virksomheten er i stand til å ivareta nødvendig grad av informasjonssikkerhet, og om virksomheten etterlever relevant regelverk. Utredningen er gjennomført etter Standardiseringsrådets arbeidsmetodikk. Standardene ISO/IEC og er evaluert hver for seg. Evalueringen viser at begge standardene er egnet som forvaltningsstandarder iht. kriteriene i metodikken. I utredningen blir det gitt forslag til hvordan ISO/IEC og ISO/IEC kan anvendes. Standardene foreslås som: Anbefalt Obligatorisk Obligatorisk og styringssystemet sertifisert 3 Utredningen anbefaler noen sentrale og viktige anvendelsesområder som bør inngå i listen over anbefalte og obligatoriske forvaltningsstandarder i offentlig sektor: 1 Sikkerhetsmål, som kan strukturere hovedinstrukser eller policyer 2 Kontrollmålsetninger 3 For ISO/IEC 27001, dvs. det implementerte styringssystemet skal være sertifisert 3

5 Informasjonsbehandling - for sikring av informasjon med spesielt beskyttelsesbehov mht. konfidensialitet, integritet eller tilgengelighet, på bakgrunn av krav i regelverk eller av andre grunner. 4 Det avgrenses mot krav som følge av sikkerhetsloven [8] o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Elektronisk kommunikasjon og samhandling med og i offentlig sektor gjennom avtaler eller andre reguleringer o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatoriske for å følge struktur og vurdere anbefalte sikringstiltak Ekstern drift - samfunnskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS 5 sertifisert o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Ekstern drift virksomhetskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS sertifisert o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Ekstern drift ikke kritisk infrastruktur eller funksjoner (virksomhetsutsetting / outsourcing) o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Virksomhetsintern drift - i offentlig sektor av samfunnskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS sertifisert o ISO/IEC gjøres obligatoriske for å følge struktur og vurdere anbefalte sikringstiltak Virksomhetsintern drift - i offentlig sektor av virksomhetskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak 4 Dette må ikke forstås slik at å følge standardene tilfredsstiller alle krav i ulikt lovverk på området. 5 ISMS Information Security Management System Styringssystem for informasjonssikkerhet 4

6 Virksomhetsintern drift - i offentlige sektor av ikke kritisk infrastruktur eller -funksjoner o ISO/IEC gjøres anbefalt o ISO/IEC gjøres anbefalt for å følge struktur og vurdere anbefalte sikringstiltak Felles intern drift - i offentlig sektor for flere offentlige virksomheter av samfunnskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS sertifisert o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte siktingstiltak Felles intern drift - i offentlig sektor for flere offentlige virksomheter av virksomhetskritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk og ISMS sertifisert o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte siktingstiltak Felles intern drift - i offentlig sektor for flere offentlige virksomheter av ikke kritisk infrastruktur eller -funksjoner o ISO/IEC gjøres obligatorisk o ISO/IEC gjøres obligatorisk for å følge struktur og vurdere anbefalte siktingstiltak Styringsdialogen oppfølging av informasjonssikkerhet i intern og underliggende virksomhet (-er) o ISO/IEC gjøres anbefalt o ISO/IEC gjøres anbefalt for å følge struktur og vurdere anbefalte sikringstiltak Sikkerhetskrav strukturering av sikkerhetskrav og forslag til sikringstiltak o ISO/IEC gjøres anbefalt å følge ifm struktur 6 og vurdere egne behov for alle de foreslåtte sikringstiltakene Kapittel 9 gir begrunnelse til forslagene om bruk av standardene. Dette blir oppsummert i en tabell i kapittel 9.9. Av andre anbefalinger kan det kort nevnes at ISO/IEC risikostyring bør få en egen utredning senere. Grunnen er at det allerede finnes flere standarder, veiledninger og anbefalinger på området. Ofte har virksomheten valgt en annen metodikk og har høstet erfaring med dette. Tilslutt i rapporten er det tatt med et vedlegg som kort oppsummerer de andre standardene i serien. 6 Se sikkerhetsområdene i kapitlene 5 t.o.m 15 5

7 2 Innledning 2.1 Bakgrunn Utredningen har kommet i gang med utgangspunkt i forprosjektet for kartlegging av sikkerhetsstandarder [1], og etter behandling i standardiseringssekretariatet, med saksfremlegg til Standardiseringsrådet. Rådet ga tilslutning og en anbefaling om å utrede ISO/IEC og ISO/IEC Disse to standardene har vært tilgjengelige i mange år, men i ulike versjoner, og er godt kjent også innen offentlig sektor. Det kan vel også hevdes at standardene i noen tilfeller ble benyttet ved kravsetting eller referanser ved arbeid med nye lover, forskrifter og veiledninger. Kapittel 2 i personopplysningsforskriften, men veiledning, er et klart eksempel på dette. Informasjonssikkerhet er et ledelsesansvar, og det må forventes at virksomhetene arbeider metodisk og målrettet med utfordringene. I dette ligger det et særlig ansvar når det behandles sensitiv 7 eller gradert 8 informasjon, eller ved drift og forvaltning av kritisk IKT- infrastruktur. Virksomheter blir i lovog regelverket pålagt å ivareta informasjons- eller IKT-sikkerheten, uten derved alltid å få klare krav og føringer. Det er virksomhetens leder som er ansvarlig for å vurdere egen risikoeksponering og iverksette tilstrekkelig sikringstiltak. I nasjonale retningslinjer for å styrke informasjonssikkerheten [2] finnes det noen klare føringer bl.a. i kapittel 3.1 med overskrift at samfunnskritisk IKTinfrastruktur må beskyttes bedre, og i kapittel 3.7 som slår fast at alle departementer bør fremme bruk av standarder, sertifisering og egenregulering. Harmonisering og etablering av et grunnivå 9 for informasjonssikkerhet kan være en god strategi for offentlig sektor, eller for deler av denne. Det kan her vises til et sektorielt initiativ med felles normer og kjøreregler som i normen for informasjonssikkerhet [3] for helsesektoren, supplert med utvalgte og faktaark, som for eksempel faktaark nr. 2 - Styringssystem for informasjonssikkerhet [4]. Eksempelvis kan det også vises til hva som er gjort i Sverige gjennom Basnivå för informationssäkerhet (BITS) 10 hvor dette er harmonisert mot SS-ISO/IEC 27001, og kravsettet er fra SS-ISO/IEC Det finnes også i Danmark direkte pålegg om å oppfylle krav i standarder for styring av informasjonssikkerhet. Standarden har til når vært DS 484, som nå 7 Eks. sensitive personopplysninger 8 Sikkerhets- eller beskyttelsesgradert 9 Base line, eller basisnivå 10 6

8 gradvis skal erstattes av ISO/IEC 27001, og seneste overgang er når det foreligger en ny versjon av standarden. Andre mulige behov som kan dekkes ved å benytte standarder og veiledninger innenfor området informasjonssikkerhet, kan være ønske om eller behovet for nødvendig organisatoriske sikkerhetsmål, samt felles rammeverk for sikringstiltak (kontroller). Dette kan være med på å underbygge tillitsmodeller mellom publikum og det offentlige, samt mellom virksomheter innenfor offentlig forvaltning, og 3.parter (eksempel eksterne driftspartnere). Ved å etablere et styringssystem for informasjonssikkerhet etter ISO/IEC og bruke ISO/IEC til bl.a. å strukturere sikkerhetstiltakene (-kravene) og som veiledning til kravsetting, bør virksomhetene langt på vei være i stand til å ivareta lover og regelverk på området informasjonssikkerhet. Det er observert at Riksrevisjonen har avdekket mangler ved føringer og krav gitt fra eksempelvis departementer vedrørende krav til informasjonssikkerhet hos underliggende etater, og ved oppfølging av sikkerhetsarbeidet hos disse. Revisjons- og tilsynsarbeid kan underlettes og effektiviseres ved at det i virksomhetene benyttes anerkjente standarder og/eller veiledninger. Standardene kan da legges til grunn som måleparametre for om kravene til informasjonssikkerhet blir ivaretatt. I denne rapporten er begrepet informasjonssikkerhet i stor grad benyttet. Begrepet som benyttes i serien er information security. Ofte ser vi også at IT- eller IKT- sikkerhet, der K står for kommunikasjon blir benyttet. I noen miljøer er de distinkte på å benytte informasjonssikkerhet når målet er å sikre informasjonsaktiva (type sensitivitet), og I(K)T sikkerhet når de beskiver ressursene som maskin- og programvare, samt driftsmiljøene rundt dette. Rapporten tar ikke stilling til begrepsbruk, og bruker i hovedsak informasjonssikkerhet. 2.2 Formål Formålet med utredningen er å gi et konkret beslutningsgrunnlag til Standardiseringsrådet, om standardene skal være anbefalte eller obligatoriske i offentlig sektor. 2.3 Mandatet Mandatet for utredningen er gitt av Standardiseringsrådet. Sitat fra anbefaling etter møte 23, kap. 8.2 punkt 2 Høring av anbefalte standarder for styring av informasjonssikkerhet i møtereferat [5]; Informasjonssikkerhetsarbeidet er viktig i offentlig sektor. Skal man etablere kommunikasjon på tvers av organisasjoner er det viktig å vite at man kan stole på samarbeidspartneres behandling av overført informasjon. Et overordnet regime for styring av informasjonssikkerhet er derfor et viktig virkemiddel i arbeidet for en sikrere og bedre samhandling på tvers av offentlige virksomheter. 7

9 Det ble også i samme møte under kap. 8.2 punkt 5 Utredning av standarder for risikostyring og -vurdering i møtereferat [5], anbefalt en utredning med fokus på ISO/IEC og de andre standardene i serien. Slik det fremkommer senere i denne rapporten, dvs. kap.10, anbefales det en egen utredningsrapport om risikostyring - og vurdering, med risiko- og sårbarhetsanalyser (ROS). 2.4 Arbeidsmetodikk Arbeidet med denne utredningen følger Standardiseringsrådets overordnede arbeidsmetodikk, som finnes på Standardiseringsportalen. Stikkordene er å avdekke behov, avgrense utredningen, kartlegge standarder, evaluere mot kriterier i arbeidsmetodikken, vurdere alternativer, velge med begrunnelse, og etter at valg er gjort, konsekvensvurdere effektene. 2.5 Sammendrag av kapitlene Nedenfor er et kort sammendrag av alle kapitlene i utredningen. Kapittel 1, sammendrag gir en kort oppsummering av utredningen. Kapittel 2, innledning, gir det en kort gjennomgang av bakgrunn, mandatet, metodevalg for utredningen. Kapittel 3, styringssystem og sikringstiltak har til hensikt å gi en kort presentasjon av standardene ISO/IEC og ISO/IEC og hensikten med disse. I kapittel 4, behov, forsøker å kategorisere og oppsummere noen behov for standardene i offentlig sektor. Bruksområdene kan være informasjonsbehandling, elektronisk kommunikasjon og samhandling, offentlige elektroniske tjenenester, drift og forvaltning, samt lover- og regelverk. I kapittel 5, kartlegging, konkluderer med at det ikke er andre relevante standarder for etablering av et styringssystem for informasjonssikkerhet enn ISO/IEC 27001, og at god praksis på sikringstiltak kan dekkes av tilhørende veiledning i ISO/IEC Kapittel 6 gir noen avgresninger for denne utredningen. Det blir ikke vurdert andre standarder enn ISO/IEC og ISO/IEC 27002, men utredningen omtaler andre standarder i serien. Utredningen gir ingen utdypende kravanalyse eller behov gitt i medhold av regelverket. I kapittel 7 utredes ISO/IEC mot spørsmålslisten som følger Standardiseringsrådets overordnede arbeidsmetodikk (utreningsmetodikk). I kapittel 8 utrederes ISO/IEC mot spørsmålslisten som følger Standardiseringsrådets overordnede arbeidsmetodikk (utredningsmetodikk). 8

10 Kapittel 9, konklusjoner og forslag gir konkrete anbefalinger om hvilke anvendelsesområder i offentlig sektor ISO/IEC og må være respektive anbefalte eller obligatoriske, og eventuelt krav om et sertifisert styringssystem for informasjonssikkerhet 11 etter ISO/IEC Kapittel 10 gir andre anbefalinger som for eksempel at det bør gjennomføre en egen utrening for ISO/IEC Risikostyring, da det også finnes andre aktuelle standarder og veiledninger på området. Kapittel 11 i dette vedlegget er de mest aktuelle standardene i serien presentert. Først en oversikt over alle standarder i serien p.t., deretter en nærmere gjennomgang av, i tillegg til ISO/ 27001:2005 og 27002:2005, også ISO/IEC 27000:2009, ISO/IEC 27005:2008, samt ISO/IEC 27006: Styringssystem og sikringstiltak 3.1 Kort historikk Standardene har sin opprinnelse i en britisk standard, BS7799 Code of Practice og første versjon ble utgitt februar 1995, og ny hovedversjon kom mai I desember 2000 ble ISO/IEC første gang ISO standard, etter et fast track prosess. Fra juli 2007 byttet ISO/IEC 17799:2005 navn til ISO/IEC 27002, men innholdet er det samme. Den andre delen BS7799 ble først publisert i 1999, og da som BS7799 part 2 (BS7799-2) med tittel Information Security Management Systems - Specification with guidance for use. Fokuset allerede da var at standarden skulle stille krav til implementering av et styringssystem for informasjonssikkerhet. BS , i norsk oversettelse NS 7799:2003, var blant den mest aktuelle og ble valgt som sertifiseringsstandard for den nyetablerte sertifiseringsordningen sertifisering av sikkerhet i organisasjoner, se kap Arbeidet med å gjøre BS til en ISO-standard 12 møtte noe motstand i starten for det var en tid arbeidet med en annen standard, ISO/IEC TR Guidelines for the management of IT Security (GMITS). Denne er nå ISO/IEC ISMS 12 ISO - International Organization for Standardization 9

11 3.2 Styringssystem for informasjonssikkerhet ISO/IEC 27001:2005 Information technology -- Security techniques -- Information Security Management Systems - requirements (ISMS). ISO/IEC 27001:2005 spesifiserer ulike krav til etablering, implementering, drift, overvåkning, revisjon, vedlikehold og forbedring av et dokumentert styringssystem for informasjonssikkerhet (ISMS). Utgangspunkt skal være i organisasjonens totale virksomhetsrisikoer. Standarden spesifiserer også krav til implementering av sikkerhetsmål og kontroller 13, tilpasset organisasjonens individuelle krav, eller deler av disse. Standarden er i seg selv ikke et styringssystem, men gir hjelp til å utvikle et, tilpasset egen virksomhet. Standarden kan benyttes i alle virksomheter, uavhengig typer og størrelse, og er derved fleksibel og skalerbar som metode for utvikling av et styringssystem for informasjonssikkerhet. ISO/IEC 27003:2010 gir en veiledning til implementering av et styringssystem for informasjonssikkerhet etter kravene i ISO/IEC ISO/IEC 27004:2009 gir veiledning ved utvikling og bruk av sikringstiltak, samt målemetoder med hensikt å vurdere effekten av et implementert styringssystem for informasjonssikkerhet (ISMS) og sikringstiltak, i grupper av tiltak som spesifisert i ISO/IEC Hovedprosessene i ISO/IEC er PDCA, dvs. Plan-Do-Check-Act. Standarden er også en sertifiseringsstandard, noe mange land etter hvert har tatt bruk, også Norge, jfr. kapittel Sikringstiltak kontroller ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management.standarden gir veiledninger til retningslinjer og generelle prinsipper for initiering, implementering, vedlikehold, samt forbedring av organisasjons styring av informasjonssikkerhet. Skisserte sikkerhetsmålsetninger har til hensikt å gi en generell veiledning om allment aksepterte mål for styring av informasjonssikkerheten. Standarden inneholder beste praksis til kontroller og krav innen følgende områder innen informasjonssikkerhet: 13 Sikkerhetskrav- eller tiltak 10

12 sikkerhetspolicy, sikkerhetsorganisering, håndtering av aktiva, personellsikkerhet, fysisk sikkerhet, kommunikasjons- og driftsstyring, tilgangskontroll, anskaffelse, utvikling og vedlikehold av informasjonssystemer, håndtering av sikkerhetshendelser, beredskaps- og kontinuitetsstyring samt etterleve regelverk. Hensikten med kontrollene og kravene i ISO/IEC 27002:2005 er å implementere nødvendige sikringstiltak, identifisert i risiko- og sårbarhetsvurderinger (ROS) slik at rest risikoen blir redusert til et akseptabelt nivå. Standarden har til hensikt å gi felles basis for og et praktisk verktøy ved utvikling av virksomhetens sikkerhetssystem 14, være et effektivt ledelsessystem, samt underbygge tillit i forbindelse med samhandling med andre virksomheter. Mange har erfart at standarden fungerer utmerket som en sjekkliste for administrative og organisatoriske sikringstiltak. Standarden blir da også ofte benyttet ved revisjoner, og da som en benchmark. Når det gjelder det siste kontrollpunktet, om å etterleve regelverk, har den internasjonale standarden selvsagt ikke så mange innspill til de enkelte, nasjonale regelverkene. Kontrollpunktet fungerer som en påminnelse om at den enkelte virksomhet selv må identifisere, vurdere og etterleve de kravene som måtte finnes i lover, forskrifter, instrukser, rammeverk, nasjonale retningslinjer, kontrakter mv. Dette er en selvstendig jobb, som for så vidt må gjennomføres uavhengig av standardene. Regelverk er overordnet standardene. Det er likevel fornuftig å etablere et styringssystem som også sikrer etterlevelsen av de ulike rettslige kravene. 3.4 Risikovurdering ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management. Standarden gir veiledninger for risikostyring, hvor det også inngår risiko- og sårbarhetsanalyse av informasjonssikkerheten. Standarden støtter konseptene spesifisert i ISO/IEC 27001, og er utviklet for å underbygge implementering av informasjonssikkerhet, med utgangspunkt i en risikobasert tilnærming. 14 På området IKT- eller informasjonssikkerhet 11

13 Kunnskap om konsepter, modeller, prosesser og terminologi dokumentert i ISO/IEC og er viktig for å forstå hensikten med ISO/IEC 27005:2008. Standarden kan benyttes og gjelder for alle typer av organisasjoner / virksomheter som ønsker å administrere egen risikostyring. I tillegg til krav om å gjennomføre en risikovurdering, er det essensielt å fokusere på viktigheten av å utføre en verdivurdering av informasjonsaktiva i virksomheten, ref. [15] 15, samt veiledning fra NSM Sertifisering I Norge er det Norsk akkreditering som er akkrediteringsorganet, dvs. de som godkjenner sertifiseringsvirksomheter, slik at de i sin tur igjen kan utstede sertifikater etter sertifiseringsstandarder, som ISO/IEC og ISO Virksomheten som søker akkreditering skal følge ISO/IEC , og under prosessen med å godkjenne en sertifiseringsvirksomhet for ISO/IEC benytter Norsk Akkreditering i tillegg ISO/IEC Følgende 3 norske firmaer er akkreditert, dvs. godkjent av Norsk Akkreditering som sertifikatutsteder etter ISO/IEC 27001; Teknologisk Institutt (TI) Det Norske Veritas (DNV) - nssikkerhet/iso27001/ Nemko information-security-management-system For mange virksomheter foregår sertifisering etter ISO/IEC ISMS samtidig som etter ISO 9001 kvalitetsstyring. For å opprettholde akkrediteringer eller sertifiseringer må styringssystemene fornyes periodisk. Dette foregår ved revisjoner og bedømming. 15 Eksempelvis; KIS hovedrapport KOBI Klassifisering og beskyttelse av informasjon v NSM Nasjonal Sikkerhetsmyndighet Veiledning i verdivurdering 17 Standard for akkreditering av sertifiseringsorgan som sertifiserer styringssystemer 12

14 3.6 Kompetanse og opplæring ISO-standardene er godt etablerte standarder, og det må forventes utbredt kunnskap om og kompetanse rundt bruk av standardene også vårt nasjonale sikkerhetsmiljø. Det er flere firmaer som holder kurs og opplæring. Det kan her nevnes kurs i revisjon etter ISO/IEC og kurs i implementering av slikt styringssystem. 3.7 Utvikling og harmonisering Det foregår flere interessante utviklings- og harmoniseringsaktiviteter også utenfor ISO organisasjonen, som i en eller annen form berører standardene ISO/IEC og ISO/IEC 27002, og kanskje spesielt den siste. Dette kan i seg selv være tema for en interessant kartlegging. Kort kan vi her nevne noen få aktiviteter rundt andre standarder berører ISOstandardene : ITIL v.3 Service Management (ITSM) og ISO/IEC (-1 og -2) CobiT 18 fra ISACA 19 Det kan også nevnes at ISO/IEC til en viss grad er harmonisert med ISO 9001:2000, Quality management system - requirements og ISO/IEC 20000:2005, Information technology service management (ITSM). 4 Behov Relevante standarder som støtter og underbygger informasjonssikkerhet, bør tas i bruk fordi de bl.a. bygger på mange fagpersoners kollektive erfaring, samt felles utvikling av fagområdet over tid, nasjonalt og internasjonalt. På denne måten kan sikkerhetskultur- og nivå bedres og unødvendige feil og risikoer kan unngås. Standardisering forenkler opplæring og motivasjon, slik at kunnskap og erfaring kan utvikles på området. Standarder og bruk av disse bidrar også til samordning av sikkerhetsnivået mellom virksomheter. Standarder bidrar også til å underlette kravsetting til IKT- systemer, løsninger og virksomheter, samt være målestokk når etterlevelsen og sikkerhetsnivået i disse skal etterprøves eller revideres. Lov- og regelverk er ikke alltid like klare i formulering av sikkerhetskrav. Det er ofte generelle formuleringer mot god praksis og tematiske områder, uten å gi klare formulerte krav. Det skal for eksempel oppnås tilfredsstillende informasjonssikkerhet, men hvordan er opp til virksomheten. I de neste kapitlene er det forsøkt å identifisere og gruppere ulike bruksområder innenfor offentlig sektor spesielt. Det forutsettes særskilte forventninger, behov eller krav knyttet til disse bruksområdene. 18 Control Objectives for Information and related Technology 19 Information Systems Audit and Control Association, jfr. kapittel

15 4.1 Informasjonsbehandling Behovet for sikringstiltak er lov- og forskriftspålagt i flere tilfeller, både ved intern og ekstern informasjonsbehandling i offentlig forvaltning, som bruk av personopplysninger etter pol/pof [6], eller elektronisk kommunikasjon iht. eforvaltningsforskriften [7]. Men det er tilfeller hvor slik behandling faller utenfor et regelverk. Beskyttelsesverdig og sensitiv informasjon må ha behandlingsregler og være underlagt et tilfredsstillende regime for informasjonssikkerhet. Det bør i virksomheten være foretatt en grenseoppgang mellom personopplysninger, taushetsplikt og unntatt offentlighet, eksempelvis etter en verdivurdering av informasjonsaktiva, samt risikovurdering. Styringssystem og sikringstiltak etter standardiserte krav og veiledninger kan gi et basis sikkerhetsnivå, utvidet med skjerpede retningslinjer, krav og sikringstiltak for informasjonskategorier og systemer som krever særlig beskyttelse. I denne utredningen diskuterer vi ikke sikkerhets- og beskyttelsesgradert informasjon etter sikkerhetsloven [8] eller beskyttelsesinstruksen [9], da slik gradert informasjon har egne behandlingsregler og sikringskrav. 4.2 Elektronisk kommunikasjon og samhandling Kommunikasjon, samhandling og samarbeide bygger på grader av tillit eller tiltro mellom partene. Dette allmenne postulatet gjelder også innenfor ITverdenen. Informasjonssikkerhet har også til hensikt å bidra til å underbygge og verifisere at kommunikasjons- og samarbeidspartneren ivaretar sitt ansvar på en dokumentert og sikker måte. Informasjonssikkerhet i forbindelse med samhandling må derfor bygge på tillit/tiltro, og må underbygges med et avtaleverk (sikkerhetsmodeller). Vi må være sikre på at samhandlingspartneren eller en 3. part ivaretar nødvendig sikkerhet på avsender/oppdragsgivers vegne. En av flere utfordringer ved samhandling er å verifisere sikkerhetsnivået hos samarbeidspartnere. Spørsmålet er ofte om nivået er det samme eller bedre. Her vil et styringssystem for informasjonssikkerhet (ISMS), etter en felles standard, samt standardiserte og lett verifiserbare sikringstiltak, underlette denne utfordringen på en effektiv måte. 4.3 Offentlig elektroniske tjenester Dette gjelder offentlig tilbud av elektroniske tjenester rettet mot publikum og næringsliv. Det er politiske og forvaltningsmessige motiver for å utvikle og sette i produksjon flere og bedre offentlig elektroniske tjenester til det beste for 14

16 publikum og næringslivet. Hensikten og målet er flere, og innbefatter bl.a. en mer effektiv og brukervennlig forvaltning. Men dette forutsetter og er avhengig av tillit hos innbyggerne, publikum eller brukerne av offentlige tjenester. Brukerne av tjenestene må derfor kunne forvente styring og forvaltning av tjenesteproduksjonen, ved styringsprosesser (styringsmodeller) og standardisert eller beste praksis på sikringstiltak. Standardene ISO/IEC og ISO/IEC kan også her bidra til etablere et basisnivå på informasjonssikkerhet gjennomgående for offentlig forvaltning. 4.4 IKT- drift og forvaltning Når det gjelder IKT- drift og forvaltning er det behov og utfordringer knyttet til kravsetting, kontraktsinngåelse og oppfølging med 3.part driftspartnere (outsourcing). Mørketallsundersøkelsen 2010 [10] tar også opp denne utfordringen, og foreslår samtidig konkrete tiltak. Fra undersøkelsen fremgår det i en av hovedanbefalingene at det offentlige må etablere en sertifiseringsordning for sikkerhet hos IT-driftsleverandørene. Det kanskje aller viktigste er drift av samfunnskritiske IT-systemer, samfunnskritisk IKT-infrastruktur eller (virksomhets-) kritiske IKT-systemer og samfunnsfunksjoner. Nå er disse ikke noen eksakte og vel definerte begreper, hvor det innen offentlig sektor klart fremgår hvilke systemer, funksjoner eller løsninger dette gjelder. Utredningene Når sikkerheten er viktigst - Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner [11] og BAS5 [12] diskuterer disse begrepene. I tillegg har sikkerhetsloven [8] fått en ny forskrift om objektsikkerhet. I nasjonale retningslinjer for informasjonssikkerhet [2] er det i kapittel 3.1 gitt føringer for samfunnskritisk IKT-infrastruktur. Dette og flere begreper er forklart i avnittet ord og uttrykk. Vi kan også her trekke frem drift av fellestjenester - eller komponenter (ITsystemer), i regi av en offentlig virksomhet, og tilbydere av offentlige elektroniske tjenester til publikum og næringsliv. Dette bruksområdet kan også gjelde felles drift for det offentlige fellesskapet, jfr DSS Regelverket Et viktig spørsmål er om sentrale lover og forskrifter gir konkrete krav til ISMS og omfang eller struktur på sikringstiltak. Det er også utfordringer på andre plan, bl.a. hvordan i praksis etterleve ett eller ofte flere regelverk på et ledelsesog styringsnivå. 20 Departementenes Service Senter 15

17 I rapporten fra Statskonsult til SARI 21 Rettslig plikt til å ha system for informasjonssikkerhet? (2007)[12] ble et utvalg regelverk gjennomgått. Formålet var å se om de krevde styringssystem for informasjonssikkerhet. Konklusjonen var at de fleste regelverkene indirekte krevde det, mens noen få, kanskje bare ett, har en ordlyd som relativt direkte kan sies å kreve et styringssystem, basert på anerkjente prinsipper 22, jf forskrift for elektronisk kommunikasjon med og i forvaltningen, fra 2004 [17]. Forskriften er hjemlet i forvaltningsloven, og har samme virkeområde. De vanligste regelverkskravene på dette området er i følge rapporten formulert slik: man skal ha planlagte og systematiske tiltak som dokumenteres, og er helhetlig, videre må en ha internkontroll, kvalitetssystem, lage sikkerhetsmål, sikkerhetsstrategi, prosesser, prosedyrer, rutiner, sikkerhetsadministrasjon, anerkjente prinsipper for informasjonssystemers sikkerhet osv, - alt sammen for å ivareta tilfredsstillende informasjonssikkerhet, tilpasset/skalert iht. egen virksomhet og størrelse. Den nevnte eforvaltningsforskriften gir heller ikke noen føring på hvilken eller hvilke standard(er) som skal legges til grunn, dette er valgfritt. Men det er en plikt å velge en (eller flere), og å følge den/de, som grunnlag for å ivareta informasjonssikkerheten i virksomheten. Alle valg av sikkerhetstiltak skal være basert på dette grunnlaget. Også beslutninger om ikke å bruke sikkerhetstiltak, eller å bruke svake sikkerhetstiltak, skal være forankret i det samme. Forskriften forutsetter at virksomheten lager sin egen sikkerhetsstrategi og sitt eget styringssystem for informasjonssikkerhet, basert på internasjonalt anerkjente prinsipper, i klartekst en eller flere internasjonalt anerkjente standarder. Også personopplysningsloven og -forskriften gir pålegg om å lage sikkerhetsstrategi. De krever planlagte og systematiske tiltak, som dokumenteres. Dette forutsetter at et styringssystem legges til grunn. Personopplysningsforskriftens kapittel 2 har til og med tatt utgangspunkt i og bygget sine krav på den daværende mest anerkjente standarden, som er en forløper for dagens ISO/IEC standard. Datatilsynet går også langt i å 21 Samarbeidsgruppe for regelverk for informasjonssikkerhet (SARI) under Koordineringsutvalget for informasjonssikkerhet (KIS). SARI vites ikke om denne lengre er i funksjon. 22 eforvaltningsforskriften (FOR ) 13. Sikkerhetsmål og sikkerhetsstrategi (1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. (2) Sikkerhetsstrategien skal være utarbeidet i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet. 16

18 peke på at hvis en følger denne standarden, har en langt på vei dekket de viktigste kravene i loven og forskriften. Men de fremhever naturlig nok også at etterlevelse av reglene krever selvstendig vurdering. Dette vil det være naturlig å gjøre som et ledd i å ta i bruk standarden for styring av informasjonssikkerhet i egen virksomhet. Personvernreglene gjelder både i privat og offentlig sektor, så disse reglene har et omfattende, generelt nedslagsfelt. Videre finner vi i norm for informasjonssikkerhet i helsesektoren [3] og i kap. 4.1 krav til styringssystem for informasjonssikkerhet. En del av de anbefalte sikringstiltak etter ISO/IEC (tidligere kjent som ISO/IEC 17799:2005) kjenner vi godt igjen i lov og regelverk, men ikke gruppert og i det omfanget og med den systematikken som standarden beskriver. Lov- og forskriftsverket gir ofte visse føringer innenfor enkelte tematiske områder innenfor informasjonssikkerhet. Dette kan som eksempel være nevnte krav om sikkerhetsmål og sikkerhetsstrategi i pol/pof 23 [5] fra Datatilsynet, samt i eforvaltningsforskriften [7]. På begge områder finnes det veiledninger. Konklusjonen er at det finnes en rekke krav i ulike lover og forskrifter til å ivareta informasjonssikkerheten. Dette skal gjøres planlagt, systematisk og dokumentert, og ut fra egen sikkerhetsstrategi/policy og risikovurderinger. Ved å etablere og forvalte et styringssystem for informasjonssikkerhet, også tilpasset virksomhetens andre styringssystemer, kan dette gjøre det lettere å etterleve krav fra regelverk, samt virksomhetens eventuelle øvrige behov for informasjonssikkerhet. 5 Kartlegging Det er gjort en kartlegging av standarder som inneholder krav eller veiledninger for utvikling, etablering og forvaltning av et styringssystem for informasjonssikkerhet. Det styrende prinsippet bak et styringssystem må være at virksomheten skal, med utgangspunkt i standard eller veiledning, kunne være i stand til å utvikle, implementere og vedlikeholde et konsistent sett med policyer, prosesser og systemer. Dette for å kunne styre alle risikoer mot informasjons- og IKT - ressursene på en slik måte at restrisikoen for informasjonssikkerhet kan aksepteres av ledelsen. 23 Personopplysningsloven og personopplysningsforskriften 17

19 5.1 Standardiseringsarbeidet Standardiseringsarbeidet innen ISO og på området informasjonssikkerhet har pågått i mange år, og i flere komiteer og arbeidsgrupper. For vår utredning er komiteen SC27 og arbeidsgruppene WG 1, 2 og 3, de mest aktuelle å følge jfr. kap Norge deltar til tider aktivt med norsk representasjon og med arbeid i norsk referansegruppe under Standard Norge, med deltakelse fra næringsliv og offentlig sektor. Det må kunne hevdes at den internasjonalt best kjente og aksepterte standarden som etter krav til et ISMS må være ISO/IEC For ISO/IEC ISMS er det først og fremt ISO/IEC som er samhandlende, samt ISO/IEC med introduksjonen og begrepsapparat. Det er vanskelig å se etablering av et styringssystem for informasjonssikkerhet uten å benytte disse tre ISO-standardene, og eventuelt med støtte i ISO/IEC veiledning ved implementering 24. Når det gjelder tilstøtende 25 standarder til ISO/IEC blir disse ikke kartlagt. Det blir gitt en kort presentasjon av de andre mest aktuelle i serien i kap Andre initiativer Den internasjonale foreningen Information Security Forum ISF 26 har i flere år oppsummert erfaringer, praksis og forslag fra sine medlemsorganisasjoner og utgitt en Standard of Good Practice (SOGP) for informasjonssikkerhet. ISF vedlikeholder veiledningen, med tilbakemeldinger fra medlemmene og utgir nye versjoner periodisk. Denne er derfor i form en veiledning og beste praksis og ingen formell vedtatt standard, men kan oppfattes som en vel anerkjent industristandard. Så vidt det er brakt i erfaring kreves det medlemskap i ISF for å få tilgang til veiledningen Standard of Good Practice og det må betales en avgift for å kunne bruke denne i en medlemsorganisasjon. Se for øvrig; https://www.securityforum.org/ En annet og mye omtalt rammeverk er CobiT 27. Denne er utviklet av og blir forvaltet av ISACA 28, jfr. eller se også den norske avdelingen 24 Av ISO/IEC Dvs. sektor- eller løsningsorienterte tokninger og veiledinger til ISO/IEC Må ikke forveksles med foreningen Norsk Informasjonssikkerhetsforum (ISF) The Control Objectives for Information and related Technology, se 28 Information Systems Audit and Control Association 18

20 Dette er også et sett med beste praksis, og som bygger på mange andre standarder og veiledninger. Hensikten med rammeverket er i første rekke å gi virksomhetene en veiledning til styring, kontroll og forvaltning av ITvirksomheten. CobiT gir brukergrupper som ledere, revisorer, IT-personell anerkjente målsetninger (krav), måleparametre (KPI), prosesser, samt beste praksis. Ved å benytte CobiT kan brukeren få veiledning og støtte til å forbedre effektene ved bruk av IKT. I tillegg kan det gjennom bruk av rammeverket oppnås hensiktmessig ledelse og kontroll med IKT- virksomheten. For IKT-virksomheter generelt bør vi også ta med ITIL 29. Dette er en beste praksis med prosesser og strukturer for etablering av Information Technology Service Management (ITSEM) for IKT-utvikling og -drift. ITIL gir et bibliotek med viktige IT-prosesser. Disse er detaljert beskrevet med omfattende sjekkliser, oppgaver og prosedyrer, noe som enhver virksomhet kan benytte og skreddersy for sitt behov. ITIL v3 har under området Service Design dokumentert en god del prosesser innenfor først og fremst sikring av IKT- miljøet, men også informasjonssikkerhet. Både CobiT og ITIL dekker andre behov og virkeområder enn standardene i serien. Det er allerede utført interessant arbeid, noe som fortsatt pågår med henblikk på å finne praktisk bruk av standardene og veiledningen i en sammenheng og slik at de utfyller og støtter hverandre. Det er i forprosjektet kartlegging av sikkerhetsstandarder [1] og i dette utredningsarbeidet ikke funnet frem til andre standarder, veiledninger eller andre som kan erstatte ISO/IEC på tilsvarende måte. En av styrkene til ISO-standarden ligger i at den følges opp av ISO/IEC med anbefalte krav til sikringstiltak, samt andre standarder i serien. 5.3 Erfaringer Sverige På forespørsel er det fra Myndigheten för samhällsskydd och beredskap MSB Enheten för samhällets informationssäkerhet i Sverige medelt følgende erfaringer. Bruk av standardene 30 har opprinnelig vært hjemlet i forskrift fra i da gjeldende versjoner og er nå besluttet i ny forskrift 31 fra Behovet for å styrke informasjonssikkerheten var tidligere definert og motivet for valg av standardene var med utgangspunkt at de var internasjonalt etablerte og utbredte, samt at Sverige deltok aktiv i standardiseringsarbeidet i ISO. I 29 ITIL betyr Information Technology Infrastructure Library 30 SS-ISO/IEC 27001: 2006 og SS-ISO/IEC 27002: Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet 19

21 tillegg hadde EU pekt på disse standardene som grunnlag for informasjonssikkerhetsarbeidet innenfor unionen. De poengterer videre at standardene stemmer godt med ansvaret i statsforvaltningen, ved at selvstedig myndighet har et eget ansvar. I praksis gir standardene en modell for å beslutte sikringstiltak med hensyn til hver enkelt myndighets behov. Dette tar utgangspunkt i vurdering /klassifisering informasjonsverdier og ved risikoanalyser. De synes at det er gått for kort tid til å vurdere effektene. Reaksjonene over forskriften har i alt vært overveiende positive. Noen myndigheter har hatt innvendinger mot forventede økte kostnader. I en konsekvensanalyse er det påvist at det ikke er standardenes omfang som styrer kostnadene, men heller kompleksiteten til spørsmålene rundt informasjonssikkerhet. De hevder videre at om myndighetene får økte kostnader med arbeide rundt informasjonssikkerhet og da med krav i forskriften, er det ofte begrunnet at de tidligere ikke har gjort det man burde. Ved å benytte standardene i sikkerhetsarbeidet bidrar dette til å gjøre rette valg på godt grunnlag, noe som i seg selv er med å redusere kostnadene. Det er ikke gitt krav om sertifisering av ISMS, noe som er overlatt til hver myndighet å bestemme. En myndighet er sertifisert, og noen har planer om dette. Formålet har vært å skape goodwill fra omverdenen, innbyggere og samarbeidspartnere. Generelt oppsummerer de med at arbeidet med informasjonssikkerhet hos statelige myndigheter har utviklet seg positivt etter at forskriften ble vedtatt. Dette underbygges av undersøkelser gjennomført om utviklingen i statsforvaltningen. Forskriften har videre bidratt til økt legalitet for området, bedre engasjement hos virksomhetens ledelse og bedre koordinering og samsyn på informasjonssikkerhet i hele den offentlige sektoren. I tillegg gir det støtte til de ansvarlige for arbeidet med utfordringer på området informasjonssikkerhet i egen virksomhet. Standardene er også naturlig å bruke ved kravsetting ved anskaffelse av IKT-produkter, IKT-tjenester og outsourcing Danmark Fra IT- og Telestyrelsen i Danmark har det kommet følgende erfaringer. DS 484 er de facto en oversetting av ISO/IEC (i realiteten dens forgjenger) med visse danske tillegg. Den viktigste som ble gjort var å gjøre standarden (DS 484) normativ. Standarden ble obligatorisk 1. januar En rekke av standardens sikringstiltak (Controls) ble valgt ut og gjort obligatoriske. Dette medførte en stram fortolkning av hvordan standarden skulle implementeres. Dette medførte videre at det ble størst fokus på å overholde kravene (compliance), enn å etablere et passende sikkerhetsnivå. Standarden ble en sjekkliste i sikkerhetsarbeidet, noe som viste seg nødvendig, grunnet den lave modenheten som den gang var rundt sikkerhetsarbeidet. 20

22 DS 484 har medført i å skape et felles språk vedrørende informasjonssikkerhet. Størrelsen på virksomhetene har hatt betydning for ressursbruk ved implementering, og noen mindre virksomheter har erfart unødvendig ressursbruk ved å fokusere på compliance til standarden. Det blir også nevnt at det har vært omkostninger ved arbeidstid og konsulentbruk ved implementeringen. Det er gjennomført en kvalitativ undersøkelse 32 om erfaringer fra sikkerhetsstandarden. Danmark vil nå gå over til ISO/IEC og Dette av grunner som enklere samarbeid med utlandet, at ISO/IEC (og resten av familien) er resultat av et internasjonalt arbeid fra eksperter. De hevder videre at ISO/IEC legger opp til en større forankring hos ledelsen og har forretningsfokus. ISO/IEC er mer fleksibel i forhold til sikringstiltak, og fordi ISO/IEC er en veiledning og ikke en normativ standard, samt at ISO/IEC legger opp til at det etableres et passende ledelsessystem for sikkerhet, mer enn fokus på compliance. Danmark har igjen krav til sertifisering for statelige virksomheter, og det er heller ikke det nødvendig å innføre et slikt krav. Årsakene er flere. 6 Avgrensning Denne utredningen ser på behovet, mulige valg og forslag vedrørende krav til styringssystem og anbefalte sikringstiltak innenfor informasjonssikkerhet i offentlig forvaltning. Forslagene går ut på om standardene skal være anbefalte eller obligatoriske for de ulike anvendelsesområdene som foreslås. Utredningen vurderer standardene ISO/IEC og ISO/IEC Det er ikke kartlagt andre standarder eller veiledninger som kan erstatte eller delvis supplere disse to når det gjelder styringssystem for informasjonssikkerhet eller veiledninger til krav og sikringstiltak for å ivareta nødvendig og lovpålagt informasjonssikkerhet. Utredningen fokuserer på anvendelse med og i offentlig sektor. Se ellers mandatet i kap Utredningen vurderer ikke standardene opp mot konkrete sikrings- eller beskyttelseskrav fra sikkerhetsloven med forskrifter [8], beskyttelsesinstruksen [9] eller fra personopplysningsloven med forskrift [6], eller annet regelverk, utover det som er gjengitt i kapittel 4.5. Det understrekes likevel at interessene bak de rettslige kravene til sikring av konfidensialitet, integritet og tilgjengelighet generelt er sammenfallende med de interesser og bruks- og anvendelsesområder som utredningen diskuterer. 32 Erfaringer fra implementeringen af DS 484 Standard for informasjonssikkerhed i statslige organisasjoner 21

23 Utredningen tar ikke stilling til styrker eller eventuelle svakheter i de to aktuelle standardene, men observerer at begge er under en viktig revisjon, som er forventet å ta noe tid. 7 Evaluering av ISO/IEC Vurdering av kriteriene i Standardiseringsrådets arbeidsmetodikk. 7.1 Hva er formålet med standarden ( ) Hva er hensikten ved å ta standarden i bruk? ( ) ISO/IEC spesifiserer ulike krav til etablering, implementering, drift, overvåkning, gransking (revisjon), vedlikehold og (ikke minst) forbedring av et dokumentert styringssystem for informasjonssikkerhet (ISMS) med utgangspunkt i organisasjonens totale forretnings- eller virksomhetsrisikoer. Standarden spesifiserer krav til implementering av sikringstiltak, tilpasset organisasjonens individuelle krav, eller deler av disse. ISO/IEC 27001:2005 kan benyttes i alle typer av organisasjoner. Hensikten er å etablere gode og formålstjenlige prosesser, rutiner og instrukser, på en standardisert måte, og som sikrer at virksomheten iverksetter og vedlikeholder nødvendig nivå på informasjonssikkerhet. Standarden er med andre ord et kravdokument for etablering og forvaltning at et styringssystem for informasjonssikkerhet (ISMS). Standarden kan underbygge og skape tillit gjennom samhandling og virksomhetsutsetting (outsourcing av IT-drift) Hvilket nedslagsfelt, bruksområde har standarden? ( ) ISO/IEC 27001:2005 er utviklet og revidert over flere år med hensikt å kunne benyttes i alle typer av organisasjoner. 7.2 Prosessen rundt utvikling og forvaltning av standarden ( ) Har utviklingen av standarden vært en åpen prosess der alle interessenter har kunnet delta på en ikke diskriminerende måte? ( ) Utvikling og forvaltning (revisjon) følger en omfattende prosess, slik alle internasjonale standarder gjennomgår i International Organization for Standardization (ISO). Norge ved Standard Norge har i mange år hatt en nasjonal referansegruppe som deltar og kommer med innspill og kommentarer i ulike faser av standardiseringsarbeidet. ISO/IEC har en hatt en 22

24 forholdsvis lang utvikling og modning i tid. Standarden er nå også under en viktig revisjon Standarden er anerkjent og vil bli vedlikeholdt av en ikkekommersiell organisasjon. Det løpende utviklingsarbeidet foregår på basis av en beslutningsprosess som er åpen for alle interesserte parter på en ikke-diskriminerende måte (kan være konsensus drevet, basert på flertallsavgjørelser osv). ( ) ISO/IEC var opprinnelig en bristisk standard BS 7799-part 2, men har nå i flere år vært underlagt regimet til ISO ved JTC1/SC 27, dvs. Joint Technical Committee 1- Information technology and Subcommittee 27 - IT Security techniques and Working Group 1 - Information security management systems. SC27 har for øvrig flere arbeidsgrupper. Standarden bør nå være godt kjent både nasjonalt og internasjonalt. Dette ikke minst grunnet at de kan vise til historikk tilbake til slutten av 1990-tallet Har beslutningsprosesser i standardiseringsorganisasjonen vært slik at alle parter har hatt likeverdig og nødvendig innflytelse? ( ) Det er mange nasjoner som deltar i standardiseringsarbeidet, også i SC 27 / WG 1. Prosessen med draft, høringer og godkjenning bidrar til å sikre resultatene. Ulempen er at dette, både er ressurs- og tidskrevende. Se lenke under for oversikt over de ulike kodene som benyttes; s_description/stages_table.htm Er standardiseringsorganisasjonen en ikke kommersiell organisasjon? ( ) Ja, både International Organization for Standardization (ISO) og International Electrotechnical Commission (IEC) er ikke kommersielle organisasjoner Har beslutningsprosessen vært åpen og transparent slik at alle har fått ta del i prosessen og kan se hvilket beslutningsgrunnlag som ligger bak standarden? ( ) Alle representanter fra nasjonale standardiseringsorgan og arbeidsgrupper (referansegrupper) som deltar har selvsagt full innsyn i prosessen. I tillegg er det mulig for andre å få innsyn, og de viktige resultatene blir publisert både på hjemmesidene til ISO, og de ulike Subcommittees (SC). Dette fordrer selvsagt interesse og aktive handlinger for å skaffe informasjon Er standarden publisert og dokumentasjon er tilgjengelig enten gratis eller til en ubetydelig avgift? Er det tillatt for alle å kopiere, distribuere og bruke standarden gratis eller for en ubetydelig avgift? ( ) Standarden kan bl.a. kjøpes via Standard Norge. Om prisen er ubetydelig kan selvsagt diskuteres, men prisen for nedlasting er p.t. 980,00 kr eks. mva. Ved abonnent er det rabatt og mengderabatt. 23

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet Versjonshåndtering Versjonsnr. Endret Beskrivelse av endring: Endret av: dato: 0.7 08.02.2011 Godkjenning av alle endringer KrB 1 Innhold 1

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Sikkert nok - Informasjonssikkerhet som strategi

Sikkert nok - Informasjonssikkerhet som strategi Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Olje- og energidepartementet

Olje- og energidepartementet Olje- og energidepartementet 1 Olje- og energidepartementets forvaltning og gjennomføring av budsjettet for 2009 1.1 Generelt om resultatet av revisjonen Tabell 1.1 (tall i mill. kroner)* Utgifter Inntekter

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

STANDARDISERINGSRÅDETS ARBEID

STANDARDISERINGSRÅDETS ARBEID S ARBEID OLAF ØSTENSEN STATENS KARTVERK ANDRE BAKGRUNNSDOKUMENTER Arkitektur for elektronisk samhandling i offentlig sektor Bruk av åpne IT-standarder og åpen kildekode i offentlig sektor FAD OPPRETTER

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Metodikk for arbeidet i Standardiseringsrådet

Metodikk for arbeidet i Standardiseringsrådet Metodikk for arbeidet i Standardiseringsrådet 1. Bakgrunn Dette er et notat som beskriver Standardiseringsrådets arbeidsmetodikk, og som klargjør rollen Standardiseringsrådet har i forhold til Fornyings-,

Detaljer

ISO27001 som del av forvaltningen

ISO27001 som del av forvaltningen ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Standardiseringsarbeidet

Standardiseringsarbeidet Standardiseringsarbeidet Kristian Bergem 10.02.2010 Standardiseringsportalen Dato Totaloversikt standard.difi.no http://standard.difi.no/forvaltningsstandarder Dato 1. Ver av referansekatalogen Kom i desember

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Aggregering av risiko - behov og utfordringer i risikostyringen

Aggregering av risiko - behov og utfordringer i risikostyringen Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og

Detaljer

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

ISOs styringssystemstandarder et verktøy for forenkling

ISOs styringssystemstandarder et verktøy for forenkling 2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

4. Departementene inkluderes ikke i kravet om å vurdere bruk av internrevisjon, jf. pkt. 6.3.

4. Departementene inkluderes ikke i kravet om å vurdere bruk av internrevisjon, jf. pkt. 6.3. Finansdepartementet Postboks 8008 Dep 0030 OSLO Deres ref Vår ref Dato 14/2276 16.10.2014 HØRINGSSVAR FRA KLIMA- OG MILJØDEPARTEMENTET PÅ BRUK AV INTERNREVISJON I STATEN Det vises til Finansdepartementets

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

«Standard for begrepsbeskrivelser»

«Standard for begrepsbeskrivelser» «Standard for begrepsbeskrivelser» Standardiseringsrådet, 13. mars 2012 Steinar Skagemo Tema Bakgrunn Behovet for standarder innenfor området metadata/semantikk/begrepsarbeid Spesielt om behovet for standard

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Velkommen til Tegnsett seminar

Velkommen til Tegnsett seminar Velkommen til Tegnsett seminar Kristian Bergem, Difi Avdeling for IT-styring og samordning, ITS Faggruppe for standardisering og interoperabilitet, STI 6. desember 2011 Dagens agenda Difi Standardiseringsarbeidet

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Styresak. Styresak 031/04 B Styremøte

Styresak. Styresak 031/04 B Styremøte Styresak Går til: Styremedlemmer Selskap: Helse Vest RHF Dato skrevet: 17.03.2004 Saksbehandler: Vedrørende: Åsmund Norheim Nasjonal Styresak 031/04 B Styremøte 26.03.2004 Administrerende direktørs anbefalinger/konklusjon

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

SIKRING i et helhetsperspektiv

SIKRING i et helhetsperspektiv SIKRING i et helhetsperspektiv Semac er eid av Nokas Group. Nokas er Nordens ledende sikkerhetskonsern med virksomhet i Norge, Sverige og Danmark. Konsernet leverer sikkerhetsløsninger til over 150.000

Detaljer

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av Regulering av tilgang til informasjon på tvers av helseforetak Herbjørn Andresen herbjorn.andresen@arkivverket.no Min bakgrunn for dette emnet Tverrfaglig ph.d-avhandling, fra 2010: Tilgang til og videreformidling

Detaljer

SIKRING i et helhetsperspektiv

SIKRING i et helhetsperspektiv SIKRING i et helhetsperspektiv Semac er eid av Nokas Group. Nokas er Nordens ledende sikkerhetskonsern med virksomhet i Norge, Sverige og Danmark. Konsernet leverer sikkerhetsløsninger til over 150.000

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge?

Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge? Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge? Martin Bould Ciber Norge AS i samarbeid med Norsk arkivråd, 17.6.2014 6/24/2014 1 2014 Ciber Eller - Hvor skal jeg begynne? En liten omvei

Detaljer

Hva sier NS-EN 1717 om krav til tilbakeslagssikring?

Hva sier NS-EN 1717 om krav til tilbakeslagssikring? 31. august 2015 Hva sier NS-EN 1717 om krav til tilbakeslagssikring? OG LITT OM STANDARDER OG STANDARD NORGE Litt om standarder og Standard Norge 01 Standarder bidrar til.. Bærekraft Innovasjon Forenkling

Detaljer

VEIEN TIL ET LEDELSESSYSTEM MED NS-EN ISO 9001:2015 VERITECH AS V/ MAGNUS ROBBESTAD

VEIEN TIL ET LEDELSESSYSTEM MED NS-EN ISO 9001:2015 VERITECH AS V/ MAGNUS ROBBESTAD VEIEN TIL ET LEDELSESSYSTEM MED NS-EN ISO 9001:2015 VERITECH AS V/ MAGNUS ROBBESTAD HISTORIEN TIL ISO 9001 ISO 9001 : Fra kvalitetskontroll til en ledelsesstandard 1988 1994 2000 2008 2015 1988 Dokumenterte

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Samordningsrådet Kran, Truck og Masseforflytningsmaskiner

Samordningsrådet Kran, Truck og Masseforflytningsmaskiner Samordningsrådet Kran, Truck og Masseforflytningsmaskiner Essendropsgt.3 Postboks 5485 Majorstua 0305 OSLO Telefon: 23 08 75 31 / 23 08 75 33 Telefaks: 23 08 75 30 E-post: samordningsradet@ebanett.no UTDYPENDE

Detaljer

Digitaliseringsstrategi

Digitaliseringsstrategi Digitaliseringsstrategi 2014 2029 Innsatsområder Ansvar og roller Mål Brukerbehov Utfordringer Verdigrunnlag Digitaliseringsstrategien Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt

Detaljer

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter Prosjektplan/engagement letter September 2013 Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier...

Detaljer

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13 Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 Forslag til vedtak: Styret tar IKT-strategi for perioden 2013 2016 til orientering. Vedlegg: Saksfremlegg

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate

Detaljer

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner

Detaljer

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583 Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 Rapport 2012:15 ISSN 1890-6583 Forord Digitalisering er et viktig virkemiddel for å få en effektiv

Detaljer

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde UNINETT-konferansen 2017 24.10.17 Jan Gunnar Broch Direktoratet for e-helse, sekretariatet for Normen Side 1 Myndighet Sørge for

Detaljer

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor IKT-konferansen Høgskolen i Buskerud 4. november 2010 Kristin Kopland (Difi) (kristin.kopland@difi.no) Agenda Hvilke oppgaver

Detaljer

Digitaliseringsstrategi 2014-2029

Digitaliseringsstrategi 2014-2029 Digitaliseringsstrategi 2014-2029 Stavanger kommune Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet.

Detaljer

«Bruk av internrevisjon i staten» - høringssvar

«Bruk av internrevisjon i staten» - høringssvar Norges Interne Revisorers Forening Postboks 1417 Vika 0115 OSLO Oslo, 14. oktober 2014 Til: Det Kongelige Finansdepartement Ref: 14/3305 «Bruk av internrevisjon i staten» - høringssvar Norges Interne Revisorers

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Offentlig sertifisering av IT-sikkerhet. Seminar om sikkerhet og tillit, 22. september 2005. Lars Borgos, SERTIT

Offentlig sertifisering av IT-sikkerhet. Seminar om sikkerhet og tillit, 22. september 2005. Lars Borgos, SERTIT Offentlig sertifisering av IT-sikkerhet Seminar om sikkerhet og tillit, 22. september 2005 Lars Borgos, SERTIT Tema Om ordningen Sertifisering ift forebyggende sikkerhet Nytteverdi SERTIT i NSM Direktør

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

Felles kvalitetssystem for universitetsmuseenes samlingsforvaltning

Felles kvalitetssystem for universitetsmuseenes samlingsforvaltning Felles kvalitetssystem for universitetsmuseenes samlingsforvaltning Bakgrunn Universitetsmuseene har gjennom MUSIT-samarbeidet gjennomført en virksomhetsanalyse av museenes arbeidsprosesser, i hovedsak

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK Byrådssak 1383 /15 Ny strategi for informasjonssikkerhet GOBR ESARK-1727-201525637-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en ny strategi for informasjonssikkerhet.

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Ny ISO 9001:2015. Disclaimer:

Ny ISO 9001:2015. Disclaimer: Ny ISO 9001:2015 Disclaimer: Presentasjon basert på draft versjon Subjektiv vurdering av endringer Subjektiv vurdering av hva som oppfattes som viktig Representerer ikke et sertifiseringsorgan Ny ISO 9001:2015

Detaljer

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer