Difis veiledningsmateriell, ISO og Normen
|
|
- Selma Endresen
- 8 år siden
- Visninger:
Transkript
1 Difis veiledningsmateriell, ISO og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet
2 Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering og ledelse Oslo 240 ansatte Leikanger Utreder og analyserer Utvikler og forvalter fellesløsninger Rådgiver, pådriver og samordner m.m
3 Difis rolle og mandat informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Være en pådriver på etater/staten når det gjelder å bedre informasjonssikkerheten Gi anbefalinger til stat og kommune (forvaltningsorgan) om internkontroll på informasjonssikkerhetsområdet (jf. eforvaltningsforskriften 15) personer i seksjon for infosikkerhet
4 Norm for informasjonssikkerhet i helse og omsorgssektoren Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i EU-direktiv 46/95 artikkel 27 POL 42, 6 Arbeidet startet opp i 2003, versjon 1 klar i 2006, versjon 4 i
5 Styringssystem for informasjonssikkerhet for all informasjonsbehandling i offentlig sektor - bakgrunn
6 Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser
7 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15
8 Internkontroll, styringssystem m.v. - begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!
9 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT
10 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
11 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
12 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
13 Tilpasset risiko = forholdsmessige sikringskrav Tilpasset risiko Jf. eforvaltningsforskriften 15 Omfang og innretning på internkontrollen skal være tilpasset risiko Gjelder både internkontrollsystemet og sikringstiltakene Forholdsmessige sikringskrav Jf. personopplysningsforskriften 2-1 der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre KIT skal tiltakene stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd
14 Norm for informasjonssikkerhet i helse- og omsorgssektoren Styringsgruppens mandat Nytt mandat vedtatt juni 2013 Styringsgruppens overordnede mål for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle.
15 Nasjonale innsatsområder for e-helse Én innbygger én journal Styring, koordinering og prioritering Innbyggertjenester Helsepersonelltjenester Styrings- og kunnskapsgrunnlag Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse IKT-infrastruktur og felleskomponenter
16 Sikkerhet, robusthet og personvern
17 Forventninger til offentlig sektor Resultatkrav Bedre måloppnåelse primære mål Digitalt førstevalg Effektivisering Ta ut gevinstpotensialet i ny teknologi Frigi ressurser til primære mål Investering Interkontroll informasjonssikkerhet Nye teknologiske løsninger Nye arbeidsmåter
18 Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko
19 eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet NB! Forskriften gjelder statlige virksomheter, fylkeskommuner, kommuner, helseforetak og andre forvaltningsorgan
20 eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..
21 Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak
22 Struktur og krav (overordnet) i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) forstå og tydeliggjøre kontekst, forstå interessentenes behov og forventninger, definere omfang av styringssystemet Lederskap utøve lederskap og engasjement, utforme policy, klargjøre roller og ansvar Planlegging klargjøre hvordan risiko og muligheter skal analyseres og håndteres, klargjøre informasjonssikkerhetsmål og hvordan disse skal nås Støtte/support sikre tilstrekkelig ressurser, kompetanse, bevissthet, kommunikasjon, dokumentasjon
23 Struktur og krav (overordnet) i ISO/IEC 27001:2013 Drift etablering og drift av nødvendige prosesser, vurdere og håndtere risikoer Vurdere ytelse overvåking, måling, analyse, evaluering, intern revisjon, ledelsens gjennomgang Forbedring avvikshåndtering, kontinuerlig forbedring
24 ISO og Normen Bygger på samme opprinnelse Har mange av de samme hovedelementene ISO har litt større vekt på enkelte ting som måling og evaluering Normen vektlegger det spesifikke for helse Tilgangsstyring Pasientens rettigheter mv. Normen dekker både offentlige og private virksomheter
25 Utfordringer ved å basere seg på ISO/IEC 27001:2013 alene Fremdeles krevende å etablere internkontroll/styringssystem infosikkerhet Hvilke prosesser/aktiviteter må/bør etableres? Hvordan kan/bør de implementeres og fungere? Relasjonen/sammenhengen til andre internkontroll-/styringssystem? Difis vurdering: Standarden må suppleres med praktisk rettet veiledningsmateriell
26
27
28 Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC Dekke all informasjonsbehandling (eforvaltningsforskriften)
29 Difis nye veiledningsmateriell Nettbasert Flere iterasjoner og betaversjoner Kommentarfunksjon på de fleste sider En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører
30
31 Høyremeny «Nyttig»
32 Hovedaktivitetene i internkontrollen/styringssystemet
33 Normen «Virksomhetens ledelse skal etablere et styringssystem for informasjonssikkerhet som en del av virksomhetens internkontrollsystem.» (Normen) «Ledelsens gjennomgang må sees i sammenheng med økonomi- og virksomhetsplanleggingen da beslutningene kan få økonomiske konsekvenser» (Normen) Normen Styrende del Gjennomførende del Kontrollerende del
34 Normen og Difis veiledning Styrende Gjennomførende Kontrollerende
35 Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger
36 Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov
37 Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Policy for informasjonssikkerhet Retningslinje for roller, myndighet og ansvar Retningslinje for risikostyring (risikovurdering og risikohåndtering) Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov Ved etablering/stor endring/svakheter
38 Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov Ved etablering/stor endring/svakheter Årlig kjerneaktivitetene Ved behov
39 Hjernen i internkontrollen
40 Risikovurdering Godt å vite (foreløpig) Hva er risiko? Ulike metoder Kritikalitet og verdi Nivå (linje- og prosjektleder, systemeier, leverandør infrastruktur) Trusler, farer og sårbarheter Sannsynlighet Konsekvens
41 Risikovurdering Delaktiviteter (foreløpig) Risikovurdering på prosesser/oppgaver linje- og prosjektleder Risikovurdering på IT-system/digitale tjenester Systemeier Risikovurdering på infrastruktur/teknisk plattform Leverandør infrastruktur
42 Hjertet i internkontrollen
43 Risikohåndtering Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske) Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Andre tiltak Eksisterende tiltak
44 Risikohåndtering Delaktiviteter (foreløpig) Risikohåndteringsplan Fellestiltak Systemspesifikke tiltak Prosesspesifikke tiltak Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Godkjenne implementering Etterleve sikringstiltak
45 Hendene i internkontrollen
46 Kompetanse- og kulturutvikling Kunnskap Bevisstgjøring Ferdigheter og øving Kompetanseplaner Kulturutvikling
47 Læreren i internkontrollen
48 Overvåking og hendelseshåndtering Overvåking Hendelseshåndtering
49 Vakta i internkontrollen
50 Måling, evaluering og revisjon Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon
51 Kontrolløren i internkontrollen
52 Kommunikasjon Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer
53 Limet i internkontrollen
54 Internkontroll i praksis - informasjonssikkerhet
55 Internkontroll i praksis - informasjonssikkerhet
56 Fremdriftsplan Difis veiledningsmateriell Betaversjon 1.0 Grunnleggende informasjon på alle hovedaktiviteter Betaversjon 2.0 Utdypninger av «Ledelsens styring og oppfølging» + justeringer av betaversjon 1.0 for øvrig Betaversjon 2.1 Innføring av tre nivå på informasjonen i venstremeny Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer
57 Fremdriftsplan Difis veiledningsmateriell Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» + justeringer Godkjent versjon 1.0
58 Internkontroll i praksis - informasjonssikkerhet
59 eforvaltningsforskriften, Difis veiledningsmateriell og Normen eforvaltningsforskriften og Difis veiledningsmateriell Gjelder all informasjonsbehandling i virksomhetene «internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks.» Personopplysningsloven og forskriften Gjelder behandling av personopplysninger Normen En avtale som skal etterleves slik som lover og forskrifter (for de den gjelder) Stiller spesifikke krav til behandling av helseopplysninger og til andre personopplysninger helsepersonell får vite
60 Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv digitalisering og informasjonsbehandling Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten
61 Normen og Difis veiledning - basert på ISO/IEC Styrende Gjennomførende Kontrollerende
62 Kontakt Difi Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerDifis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no
Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»
DetaljerInternkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet
Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide
DetaljerSikkert nok - Informasjonssikkerhet som strategi
Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007
DetaljerStyringssystem for informasjonssikkerhet et topplederansvar
Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering
DetaljerSikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet
Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerAggregering av risiko - behov og utfordringer i risikostyringen
Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning
DetaljerStyringssystem for informasjonssikkerhet
Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser
DetaljerSeksjon for informasjonssikkerhet
Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerSemicolon Christine Bergland, Helsedirektoratet. 11.Desember 2014
Semicolon Christine Bergland, Helsedirektoratet 11.Desember 2014 IKT-infrastruktur Overordnede og felleskomponenter helsepolitiske mål Pasientsikkerhet Kvalitet Tilgjengelighet Brukerorientert Samhandling
DetaljerInformasjonssikkerhet. Øyvind Rekdal, 17. mars 2015
Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerStrategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten
Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten 2019-2021 Versjon 1.0 Side 1 Bakgrunn Om Normen Normen Faktaark og veiledere Utadrettet virksomhet Kurs Normen er
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune. Revidert
Digitaliseringsstrategi for Buskerud fylkeskommune Revidert 2018-2020 Buskerud fylkeskommune Stab og kvalitetsavdelingen oktober 2017 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerSpørreundersøkelse om informasjonssikkerhet
Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i
DetaljerFå oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling
Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerFrist for innspill: 1. november Mottaker etter liste
Mottaker etter liste Innspill til ny versjon av Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, versjon 6.0 Vedlagt er utkast til versjon 6.0 av Norm for informasjonssikkerhet
DetaljerNorm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN
Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i
DetaljerInformasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet
Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en
DetaljerGrunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet
DetaljerStrategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerDigital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland
Digital pasientsikkerhet, Normen og litt velferdsteknologi Stavanger 4. juni 2019 Aasta Margrethe Hetland Veien til toppen av agendaen «Dødelig personvern» digital pasientsikkerhet? Diskusjonen i media
DetaljerÉn innbygger én journal
Én innbygger én journal Seniorrådgiver Kirsten Petersen, avdeling e-helse. Desember 2013 Det overordnede utfordringsbildet er kjent Hovedutfordringer beskrevet i Meld. St. 9 Papir med strøm dagens løsning
DetaljerOm respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):
Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens
DetaljerInternkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi
Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.
Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerRaskere digitalisering med god sikkerhet. Evry
Raskere digitalisering med god sikkerhet Evry 18.03.2019 Zoya Shah Seniorrådgiver Avdeling for digital transformasjon Seksjon for informasjonssikkerhet Hvem er Difi Stortinget Regjeringen Kommunal- og
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerHøringssvar - Forslag til ny pasientjournallov og ny helseregisterlov
Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag
DetaljerNS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester
NS-EN 15224 Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester NS-EN 15224 LEDELSESSYSTEMER FOR KVALITET NS-EN ISO 9001 FOR HELSE- OG OMSORGSTJENESTER Krav til systematiske metoder
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerØyvind Grinde, seksjonssjef
Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef Brukerreise Helsekort for gravide Navnevalg Foreldrepenger Behandlingstid Digital Agenda Offentlig
DetaljerOrden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.
Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019 Orden i eget hus + styring og kontroll Hva er informasjonssikkerhet?
DetaljerGrunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Interkontroll i praksis - informasjonssikkerhet
DetaljerGuri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET
Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerHelse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen
Vedlegg 8A Hva er Felles grunnmur Formålet med Felles grunnmur for digitale tjenester er å legge til rette for enkel og sikker samhandling på tvers av virksomheter og forvaltningsnivå. Sammenfallende behov
DetaljerKort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen
Kort introduksjon til Normen Jan Henriksen Sekretariatet for Normen 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 2 Trusler mot personvernet
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerKommunikasjon med ledelsen hva kan Difi bidra med?
Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS 21.02.2018 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet»
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerDepartementenes oppfølging av informasjonssikkerheten i underliggende virksomheter
Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet,
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerBransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde
Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde UNINETT-konferansen 2017 24.10.17 Jan Gunnar Broch Direktoratet for e-helse, sekretariatet for Normen Side 1 Myndighet Sørge for
DetaljerJorunn Bødtker Norsk Arkivråds seminar 20. mars 2018
Nye arkivforskrifter arkivplan og internkontroll Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018 Norsk Arkivråd, 2018 Hva gjør vi med arkivplanen og internkontroll spesielt for stat De nye forskriftene
DetaljerRisikovurdering - sett fra ISO og informasjonssikkerhet
Risikovurdering - sett fra ISO og informasjonssikkerhet DFØs samarbeidsforum 21.06.2016 Jan Sørgård, Seniorrådgiver Difi BAKGRUNN Internkontroll og risikostyring «god praksis» Rammeverk og standarder:
DetaljerOversikt. Remi Longva
Oversikt Remi Longva 2018-09-12 as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know.
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerFra sikkerhetsledelse til handling ambisjoner og forventninger
Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4 Forventninger Statlige universiteter og høyskoler skal etterleve
DetaljerSikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013
Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerStatlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning
Statlig IKT-politikk en oversikt Endre Grøtnes Difi, avdeling for digital strategi og samordning 16.08.2018 Dagens tema Digital agenda Digitaliseringsrundskrivet Skate Difis tverrgående digitaliseringsstrategi
DetaljerFelles arkitekturprinsipper for helse- og velferdsområdet
Felles arkitekturprinsipper for helse- og velferdsområdet SSP Brukerforum Oslo 24.03.2011 www.kith.no Foredragsholder Hans-Olav Warholm Seniorrådgiver / fagansvarlig arkitektur og sikkerhet, KITH Hvorfor
DetaljerOPPDRAGSDOKUMENT 2014
OPPDRAGSDOKUMENT 2014 TIL NASJONAL IKT HF Foretaksmøte 24. februar 2014 INNHOLD 1. INNLEDNING... 3 2. OVERORDNEDE STYRINGSBUDSKAP... 3 3. STYRINGSBUDSKAP FRA DE REGIONALE HELSEFORETAKENE FOR 2014... 4
DetaljerOppfølging av informasjonssikkerheten i UH-sektoren
Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge
DetaljerStrategi for informasjonssikkerhet i helse- og omsorgssektoren
Strategi for informasjonssikkerhet i helse- og omsorgssektoren Sikkerhet og sårbarhet 7. mai 2013 Jan Gunnar Broch Helsedirektoratet Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013
DetaljerISO27001 som del av forvaltningen
ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor
DetaljerInformasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13
Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig
DetaljerFagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)
Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter) Innhold Dialog med ledelsen om informasjonssikkerhet: Hva og hvordan Ansvar Sentrale lederoppgaver Kontrollerende del
DetaljerDIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET
Visjon for digitalisering Overordnet prinsipper Satsningsområder Ansvar og roller Verktøy for gjennomføring DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET 2018-2020 1 Innledning Digital strategi 2018-2020
DetaljerByrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK
Byrådssak 1383 /15 Ny strategi for informasjonssikkerhet GOBR ESARK-1727-201525637-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en ny strategi for informasjonssikkerhet.
DetaljerSTRATEGI. for. Norm for informasjonssikkerhet
STRATEGI for Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren for perioden 2013-2020 Versjon 1.0 Godkjent av styringsgruppen for Normen 5.desember 2013. www.normen.no INNHOLD 1 INNLEDNING...
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerEPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018
EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE Informasjonssikkerhet Jan Gunnar Broch PMU 2018 Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten Nytteeffekter
DetaljerDIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING
DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING Fagutvalg for informasjonssikkerhet Møte 5 2019-05-15 Agenda SAK 1 HANDLINGSPLAN FOR DIGITALISERING: VEIEN VIDERE Handlingsplan
DetaljerE-helse muligheter og forutsetninger i det nasjonale perspektivet
E-helse muligheter og forutsetninger i det nasjonale perspektivet NSFs e-helsekonferanse 17. februar 2017 Roar Olsen, divisjonsdirektør Strategi Direktoratet for e-helse sine to roller Myndighet Sørge
DetaljerFylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen
Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -
DetaljerNorm for Informasjonssikkerhet - www.normen.no. Tor Ottersen
Norm for Informasjonssikkerhet - www.normen.no Tor Ottersen Disposisjon Hva er egentlig Normen Hvorfor ble den laget Forvaltning Hvordan bruke den 03.11.2009 Normen Tor ottersen 2 Hva er Normen Et omforent
DetaljerMedisinsk avstandsoppfølging
Nasjonalt velferdsteknologiprogram Medisinsk avstandsoppfølging Temadag på St. Olavs Hospital HF, Trondheim Siw H. Myhrer, seniorrådgiver, Helsedirektoratet Forventninger satt i Prop. 1 S for budsjettåret
DetaljerRevisjon av IT-sikkerhetshåndboka
Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte
DetaljerStyresak 69-2015 Orienteringssak - Informasjonssikkerhet
Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerOslo kommune Byrådsavdeling for finans Seksjon for virksomhetsutvikling. Hallstein Bjercke hallstein.bjercke@oslo.kommune.no
Oslo kommune Byrådsavdeling for finans Seksjon for virksomhetsutvikling Hallstein Bjercke hallstein.bjercke@oslo.kommune.no Bakgrunn I 2008 ble det foretatt en ekstern gjennomgang av IKTområdet. Det ble
DetaljerNorm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen
Norm for Informasjonssikkerhet i Helsesektoren Tor Ottersen Dilemma Konfidensialitet Ivareta pasientens integritet ved å beskytte alle opplysninger. Tilgjengelighet Pasienten skal sikres forsvarlig (best
DetaljerTransportkonferansen Ledelsessystemer, ISO-sertifisering
Transportkonferansen 2017 Ledelsessystemer, ISO-sertifisering Innhold - Kort info om Kiwa TI-Sertifisering - ISO 9000-familien, intensjon og oppbygging - Prosess- og risikobasert ledelsessystem, praktisk
DetaljerNytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen
Nytt i Normen Normkonferansen 2016 Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen 2 Bransjenorm for informasjonssikkerhet i helse og omsorgssektoren gjennom 10 år har det vært rett medisin?
DetaljerRevisjon av ISO 14001
Miljø- og klimaforum, 4. juni 2014 Revisjon av ISO 14001 V/KNUT JONASSEN, STANDARD NORGE Hovedpunkter Styringssystemer: ISO 9001 og ISO 14001 Bakgrunnen for revisjonen Spesielle utfordringer Felles struktur
DetaljerMyk eller sterk IT-styring? I dag og fremover!
Myk eller sterk IT-styring? I dag og fremover! Lars-Henrik Myrmel-Johansen Ekspedisjonssjef, Avdeling for IKT og fornying Digitaliseringskonferansen, 31. mai 2012 Digitaliseringsprogrammet er en omfattende
DetaljerRisikobasert etterlevelse av pvf
Risikobasert etterlevelse av pvf NIFS-møte 6.11.2018 Jon Holden, Difi Tema Jobbe effektivt og risikobasert med infosikkerhet, pvf og annen regelverksetterlevelse Dvs. effektivt håndtere risiko som er for
DetaljerReferansearkitektur sikkerhet
NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?
DetaljerStyringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583
Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 Rapport 2012:15 ISSN 1890-6583 Forord Digitalisering er et viktig virkemiddel for å få en effektiv
DetaljerStrategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode
Dokumentasjon fra Skate Veikartarbeidet for nasjonale felleskomponenter og -løsninger i offentlig sektor periode 2016-2018 Versjon 1.0 17.11.15 for nasjonale felleskomponenter og løsninger i offentlig
Detaljer