Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Transkript

1 Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013

2 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig at vi i fellesskap former dette forumet til beste for UH sektoren En arena for kompetanseutvikling og nettverksbygging Vi har ikke alle svarene, men vi kan stille med en god porsjon kompetanse og tid til å utføre oppgaver som kommer sektoren til gode Mye av jobben og kulturskapingen vil fremdeles skje i institusjonene 2

3 Hva skjedde i Risiko og sårbarhetsvurderinger 2 Sikkerhetsrevisjoner 1 stk. policyworkshop Sikkerhetsforum 2013 Spor på SUHS konferansen Nasjonal sikkerhetsmåned Utdanning sertifisering innenfor ISO27001, CRISC og CISA Securing the human UFS 136, Informasjonsklassifisering Oppstart «styringssystem» Oppstart «kontinuitet» 3

4 Prosjekt «styringssystem for informasjonssikkerhet tilpasset UH Norge * Dato * Navn / beskrivelse av milepæl Prosjektplan ferdig laget Prosjektet skal levere en oversikt over hvilke regulatoriske krav som foreligger og hvordan disse best kan ivaretas av den enkelte institusjon i sektoren. Etablere et rammeverk for styringssystem og internkontroll som er tilpasset UH sektoren Foreslå hvilke virkemidler som kan bidra til å styrke informasjonssikkerheten i sektoren. Utvikle et standard rapporteringsverktøy som institusjonene skal anvende for å sikre en felles metode for rapportering til Kunnskapsdepartementet Samarbeidende institusjoner i UH sektoren er avklart Kartlegging av rettslige krav for UH foreligger Plan for kartleggings- og intervjurunder av status og utfordringer foreligger Rapport: Status og utfordringer i UH sektoren foreligger Forslag til metodikk og rammeverk for UH sektoren foreligger i 1. utkast Internkontrollsystem for informasjonssikkerhet etablert i minst 2 av de samarbeidende institusjoner Metode og skjematikk for rapportering til Kunnskapsdepartementet foreligger Endelig metodikk og rammeverk for innføring av et styringssystem i UH sektoren foreligger Håndbok/veilleder i internkontrol for informasjonssikkerhet, manuskript ferdig til korrektur og språkvask Håndbok/veileder definert av KD som gjeldende styringssystem for informasjonssikkerhet i UH sektoren.

5 Prosjekt IKT kontinuitet og kritikalitet Kjøres i samarbeide med HiOA Forsøker å lage gode prosesser for å få plukket ut de systemene som er såpass kritiske at man planlegger tiltak i forhold til uventet lang nedetid/bortfall Kartlegging og prioritering Finne sammenhenger og avhengigheter Mye jobb å få på plass gjenopprettingsprosedyrer 5

6 Fokus i 2014 er styringssystemer for informasjonssikkerhet eforvaltningsforskriftens 15 Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet Personopplysingslovens 13 og 14 Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet 6

7 Andre drivere for styringssystem Tildelingsbrevet til institusjonene Departementet understreker at det skal rapporteres konkret på gjennomføringen av hvert av de følgende punktene i årsrapporten for budsjettåret 2014: - Hvorvidt risiko- og sårbarhetsanalyse (ROS-analyse) er gjennomført/revidert i 2014, evt. når dette ble sist gjort, og hvordan ROSanalysen følges opp - Hvorvidt kriseøvelse er avholdt i 2014, hvilken type øvelse som evt. er avholdt, og hvordan øvelsen evalueres og følges opp - Hvorvidt nasjonal strategi for informasjonssikkerhet følges opp, og hvilke av handlingsplanens tiltak som evt. gjennomføres, herunder om styringssystem for informasjonssikkerhet (SSIS) er innført - Hvorvidt anbefalingene i 22. juli-kommisjonens rapport følges opp, og hvilke tiltak som evt. gjennomføres som oppfølging av anbefalingene Digitaliseringsrundskrivet 2013 Pkt 1.7 Informasjonssikkerhet Virksomheten skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet Referansekatalogen til DIFI baserer seg på ISO/IEC 27001:2013 7

8 8 ENJOY! Rolf Sture Normann