Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Størrelse: px
Begynne med side:

Download "Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf."

Transkript

1 Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers Tlf

2 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk for informasjonssikkerhet

3 Informasjonssikkerhet og modenhet Karakteristikk Ad hoc Sårbarhetsbasert Fokus Hendelser Sårbarheter, implementere tiltak Avhengigheter Personell, lokale helter Personell, katalog over sårbarheter Tilnærming Risikobasert Identifisere kritiske aktiva, implementere kontroller Lokal risikoledelse, operasjonell kontekst, katalog med praksiser Virksomhetsbasert Kritiske aktiva og prosesser, og strategiske drivere, fokusere på organisatorisk robusthet Dyktighet og leveringsevne, andre indikatorer på organisasjonens evner system med interne kontroller, fremragende IT-tjenester og drift Kilde: Carnegie-Mellon University

4 Helhetlig risikostyring Hvilke faktorer er avgjørende for måloppnåelse? Hvordan kan nye og endrede risikoer identifiseres? Hvilke av disse risikoene er vurdert som vesentlige i forhold til måloppnåelse for virksomheten? Hvordan etablere hensiktsmessige styrings- og kontrollmekanismer som balanserer risiko, kontroll og kost/nytte ved ulike tiltak og kontrollaktiviteter? Hvordan få bekreftet at disse styrings- og kontrollmekanismene fungerer effektivt og som forutsatt?

5 Definisjon av Enterprise Risk Management a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Kilde: COSO Enterprise Risk Management Integrated Framework.

6 COSO ERM COSO: Committee of Sponsoring Organisations ERM: Enterprise Risk Management Utgitt 2004

7 Risikostyring i Staten Utgitt av Senter for Statlig Økonomistyring Bygger på COSO ERM Utgitt 2005

8 Helhetlig risikostyring som en prosess Informasjon og kommunikasjon Målsettinger og virksomhetens risikopolicy Spesifisering av Roller & Ansvar Identifisering av risikoer Vurdering & håndtering av risiko Etablering & Oppfølging av Kontrollaktiviteter Eksisterende strategi, forretningsplan og målsetninger Risikoappetitt Risikotoleranse Risikopolicy Styret Ledelsen Ansatte Samarbeidende aktører Påvirkningsfaktorer Teknikker Innbyrdes avhengighet Skille mellom risiko og muligheter Evaluere og velge alternativer for håndtering Integrering med risikohåndtering Valg av kontrollaktiviteter Retningslinjer og rutiner Internt miljø Kultur for risikostyring Organisasjon, personal og kompetanse Roller, ansvar og myndighet

9 Mulige roller og organisering av risikostyringen Styre- og konsernledelse Finansdirektør Operasjonell ledelse Rapportere oversikt Operasjonell ledelse Gjennomføring av hovedprosess: - Risikoidentifisering - Analyse - Tiltak Ansvar for resultater og utfall av risiko Rapportere risiko for enhet Rapportere sikringstiltak Leder for risikostyring Støtte og pådriver i hovedprosess: - Risikoidentifisering - Analyse - Tiltak Håndheve felles begrepsapparat Støtte i å lære opp og integrere risikostyring i enhetene Avstemme metodikk og verifisere gjennomføring Avdelingsledere/andre ansatte Utføring av prosesser: - Risikoidentifisering -Analyse - Håndtering og kontroll

10 Forholdet mellom risikostyring, strategi og internkontroll Strategi Strategisk retning/ porteføljestrategi Forretningsplan/ tiltak Budsjett Resultatmåling Risikoanalyse Internt miljø Målsettinger og virksomhetens risikopolicy Spesifisering av Roller & Ansvar Informasjon og kommunikasjon Identifisering av risikoer Vurdering & håndtering av risiko Etablering & Oppfølging av Kontrollaktiviteter Internkontroll Miljø for internkontroll Risikoanalyse Definere & Etablere kontroller Informasjon & Kommunikasjon Overvåking

11 Hvilke rammeverk skal man velge? Et som er anerkjent? Et som konsulenter anbefaler? Et som er er fritt tilgjengelig? Et som noen andre bruker? Et med sertifiseringsmulighet? Benytte flere rammeverk?

12 4 mulige rammeverk ITIL ISO serien CobiT NIST 800-serien

13 ITIL IT Infrastructure Library Utgitt av Office of Government Commerce (OGC) i Storbritannia ISO 20000: Information Technology Service Management ITIL Security Management (1999), sikkerhetsledelse ITIL Service Delivery (2001), leveranse av IT-tjenester ITIL Service Support (2001), håndtering av henvendelser, feilsituasjoner, endringer og patching ITIL Application Management (2002), støtte for utviklingsprosessen for applikasjoner ITIL ICT Infrastructure Management (2002), håndtering av inrfrastruktur ITIL Business Perspective: The IS View on Delivering Services to the Business (2004), beskrivelse av hvordan forretningskrav kan motes av ITtjenestene

14 ISO serien Utgitt av International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC) ISO/IEC Fundamentals and vocabulary ISO/IEC 27001:2005 ISMS 1 - Requirements (revidert BS 7799 Part 2) ISO/IEC Code of practice for information security management, lanseres nåværende ISO/IEC 17799:2005 ISO/IEC ISMS implementation guidance (under utvikling) ISO/IEC Information security management measurement (under utvikling) ISO/IEC Information security risk management (basert på og erstatter ISO/IEC TR MICTS Part 2, under utvikling) ISO/IEC Requirements for bodies providing audit and certification of ISMS (publisert 2007) 1. ISMS Information Security Management System

15 CobiT Control Objectives for IT Publisert av IT Governance Institute (ITGI) Promotert av Information Systems Audit and Control Association (ISACA) Henvender seg spesielt til toppledelse, forretningsledere, ITledelse og revisorer Opprinnelig utviklet med fokus på IT-revisjon Videreutviklet til IT-kontrollsystem 4 områder Planlegging og organisering Anskaffelse og implementering Leveranse og support Overvåke og evaluere 34 prosesser med kobling mot ITIL 5 IT-Governance fokusområder Strategisk tilpasning Verdien av bidrag Styring av ressurser Styring av risiko Måling av utførelse Fokus på hva som skal oppnåes, ikke hvordan

16 NIST 800-serien Utgitt av National Institute of Standards and Technology (NIST) i USA 800-serien dedikert sikkerhet Utvalgte publikasjoner beskriver metodikk for risikoanalyse og rammeverk for styring og kontroll

17 Målsettinger og virksomhetens risikopolicy ITIL Fokus på SLA og leveranse av IT-tjenester til forretningsvirksomheten. Ingen detaljert beskrivelse av sammenheng mellom forretningsmål og informasjonssikkerhet. ISO serien Krever at det skal være en kobling mellom forretningskrav og informasjonssikkerhet, men sier ikke hvordan. CobiT Detaljerte eksempler på kobling mellom forretningsmål og KPI'er og KGI'er for informasjonssikkerhet. NIST 800-serien Detaljert beskrivelse av risikoappetitt og krav til sikring for ulike typer systemer. Tydelig fokus på kobling mot virksomhetskrav - men eksempler rettet mot offentlig virksomhet i USA.

18 Spesifisering av Roller & Ansvar ITIL Detaljert beskrivelse av relevante roller og organisering, men for informasjonssikkerhet vises det til ISO Flere av rollene i ITIL er imidlertid svært relevante for informasjonssikkerhet. ISO serien Primært beskrive at en organisasjon skal være på plass, ikke beskrive ulike roller. CobiT Beskrivelse av roller og organisering, men fokus på generelle funksjoner og ikke sikkerhetsfokusert NIST 800-serien Detaljert beskrivelse av roller og organisering relatert til informasjonssikkerhet

19 Identifisering av risikoer ITIL I liten grad nevnt, og ingen god metodikkbeskrivelse. ISO serien ISO TR beskriver ulike typer metodikk, men gir lite informasjon om selve gjennomføringen, overlater til leseren å finne en egnet metodikk. Krav om at risikovurderinger skal gjennomføres i ISO CobiT Kontroll at risikovurderinger er på plass, men ingen beskrivelse av gjennomføring av risikoanalyser. NIST 800-serien Detaljert beskrivelse av gjennomføring, inkludert forslag til ulike nivåer for risiko, sannsynlighet og konsekvens. (Anbefaling: benytt trusselmodellering/dread sammen med denne)

20 Vurdering & håndtering av risiko ITIL Detaljert beskrivelse av flere relevante prosesser. Viser til ISO serien for konkrete sikringstiltak. ISO serien God beskrivelse av mulige sikringstiltak. CobiT Beskrivelse av kontroller, ikke sikringstiltak. NIST 800-serien Krav til sikring avhengig av klassifisering av informasjon. God og svært detaljert beskrivelse av mange sikringstiltak, mer omfattende enn ISO 17799, men noe vanskeligere tilgjengelig.

21 Etablering & Oppfølging av Kontrollaktiviteter ITIL Ikke fokus på selve oppfølgingen kontrollene. Prosesser for håndtering av hendelser og årsaker til feil ofte systemorienterte. ISO serien Krever at effektiviteten til sikringstiltakene skal evalueres, men sier ikke hvordan. CobiT Primærfokus på oppfølging av kontroller, men mindre del direkte fokus på informasjonssikkerhet. NIST 800-serien Detaljert beskrivelse av hvordan kontroller kan følges opp med egenevalueringer og rammeverk for vurdering av sikringstiltakene (policy, prosess, implementert, testet, integrert).

22 Informasjon og kommunikasjon ITIL Fokus og beskrivelser av informasjonsflyt og håndtering av problemer og hendelser, systemorientert. ISO serien Krav om at dette må implementeres, men lite fokus på hvordan. CobiT Fokus på kommunikasjon mellom kjernevirksomhet og IT. Periodiske gjennomganger gir informasjon om internkontrollen fungerer. NIST 800-serien Rammeverk for å kommunisere status for sikringstiltak og styringssystem. Detaljert beskrivelse av opplæringsprogrammer. Beskrivelse av sertifiserings- og akkrediteringsprosesser.

23 Knut Håkon T. Mørch PricewaterhouseCoopers Tlf Spørsmål?

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

Styring og ledelse av informasjonssikkerhet

Styring og ledelse av informasjonssikkerhet Styring og ledelse av informasjonssikkerhet SUHS-konferansen 30. oktober 2013 Øivind Høiem, CISA CRISC Seniorrådgiver UNINETT AS Mål for styring informasjonssikkerhet Målene for styring av informasjonssikkerhet

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens

Detaljer

Helhetlig risikotilnærming safety og security i en sammenheng

Helhetlig risikotilnærming safety og security i en sammenheng Helhetlig risikotilnærming safety og security i en sammenheng Jens Thomas Sagør Proactima PREPARED. Hva skal jeg snakke om? Erfaring med security arbeid i praksis Helhetlig risikostyring Verktøykassen

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Standarder for informasjonssikkerhet Rune Ask

Standarder for informasjonssikkerhet Rune Ask Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC 27000 Oversikt

Detaljer

Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk Innhold Innledning... IT Governance... Kjennetegn ved et godt rammeverk for IT Governance... Forretningsorientert... Prosessorientert...

Detaljer

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) Ragnvald Sannes (ragnvald.sannes@bi.no) Institutt for ledelse og organisasjon, Handelshøyskolen BI Hva er IT Governance

Detaljer

Internrevisjon i en digital verden

Internrevisjon i en digital verden Internrevisjon i en digital verden IIA Norge årskonferanse, Fornebu 29. 30. mai 2017 Services 1 Industry 4.0 Big Data 3D Printing Internet of Things Digitisation 2 Exponential organizations Disruption

Detaljer

Internkontroll i Gjerdrum kommune

Internkontroll i Gjerdrum kommune Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet

Detaljer

Sikkert nok - Informasjonssikkerhet som strategi

Sikkert nok - Informasjonssikkerhet som strategi Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Standarder med relevans til skytjenester

Standarder med relevans til skytjenester Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate

Detaljer

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering?

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Difi 18 desember 2013 Ingar Brauti, P3M Registered Consultant Med tilpasning og praktisering av

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda www.pwc.no Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1 Erfaring med implementering av

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

Styringssystem basert på ISO 27001

Styringssystem basert på ISO 27001 Styringssystem basert på ISO 27001 Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere

Detaljer

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Strategisk kobling og IT Styring

Strategisk kobling og IT Styring ISACA Årsmøte 2012 Strategisk kobling og IT Styring Øystein Ullnæs Senior rådgiver og Daglig leder Knut Adolphson Senior rådgiver og Fagleder ASP Norge AS / Ambitiongroup ASP Norge AS (1999): et uavhengig

Detaljer

Effektiv risikostyring og intern kontroll

Effektiv risikostyring og intern kontroll Effektiv risikostyring og intern kontroll Bankenes sikringsfonds Høstkonferanse 2009 v/banksjef Torleif Lilløy Introduksjon av Totens Sparebank Virksomhet Visjon, forretningsidé og målsetning Selvstendig,

Detaljer

IT-forum våren 2004. ITIL et rammeverk for god IT-drift

IT-forum våren 2004. ITIL et rammeverk for god IT-drift IT-forum våren 2004 ITIL et rammeverk for god IT-drift Jon Iden, dr. polit Institutt for prosessutvikling og arbeidsflyt AS Institutt for informasjons- og medievitenskap, UiB Institutt for Prosessutvikling

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

NS-EN ISO/IEC 17021-1

NS-EN ISO/IEC 17021-1 Guri Kjørven, 2015-12-02 NS-EN ISO/IEC 17021-1 SAMSVARSVURDERING - KRAV TIL ORGANER SOM TILBYR REVISJON OG SERTIFISERING AV LEDELSESSYSTEMER - DEL 1: KRAV Historikk ISO/IEC 17021:2006 Erstattet Guides

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Aggregering av risiko - behov og utfordringer i risikostyringen

Aggregering av risiko - behov og utfordringer i risikostyringen Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning

Detaljer

Direktør Marianne Andreassen

Direktør Marianne Andreassen Risikostyring i staten hvordan håndtere risikostyring i mål- og resultatstyringen PWC 6. juni 2007 Direktør Marianne Andreassen Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring

Detaljer

IT I PRAKSIS OG GEVINSTREALISERING

IT I PRAKSIS OG GEVINSTREALISERING IT TRENDER 2012 IT I PRAKSIS OG GEVINSTREALISERING IT I PRAKSIS IT i praksis kartlegger utviklingen innenfor digital virksomhetsutvikling og innovasjon, og beskriver fremtidige tendenser i arbeidet med

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Rammeverk for risikostyring i Helse Midt-Norge

Rammeverk for risikostyring i Helse Midt-Norge Rammeverk for risikostyring i Helse Midt-Norge Versjon 1.0 Godkjent i ledergruppen Helse Midt-Norge 29.03.16 Innhold Rammeverk for risikostyring i Helse Midt-Norge... 3 Innledning... 3 DEL 1 RAMMEVERK

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

ISO 55000-serien Asset management

ISO 55000-serien Asset management Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -

Detaljer

Veileder for risikostyringsfunksjonen. 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu

Veileder for risikostyringsfunksjonen. 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu Veileder for risikostyringsfunksjonen 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu Målet med veilederen Veilederen skal beskrive gjeldende beste praksis for risikostyringsfunksjoner

Detaljer

Styret i Sykehusinnkjøp HF 08.februar 2017

Styret i Sykehusinnkjøp HF 08.februar 2017 Saksfremlegg Saksgang Styre Møtedato Styret i Sykehusinnkjøp HF 08.februar 2017 SAK NR 011-2017 Ledelse og styring Forslag til vedtak: 1. Styret tar saken Ledelse og styring i Sykehusinnkjøp HF til orientering

Detaljer

Risikostyring i staten En metode for håndtering av risiko i mål- og resultatstyringen

Risikostyring i staten En metode for håndtering av risiko i mål- og resultatstyringen En metode for håndtering av risiko i mål- og resultatstyringen Seniorrådgiver Bente Nyrud Gobel Forvaltnings- og analyseavdelingen Tirsdag 07.03.2006 kl. 10.50 11.40 En gjennomgang av hovedpunktene i SSØs

Detaljer

Mål- og resultatstyring og risikostyring i staten (det offentlige)

Mål- og resultatstyring og risikostyring i staten (det offentlige) Mål- og resultatstyring og risikostyring i staten (det offentlige) Sjøfartsdirektoratet Haugesund 26. mars 2007 Marianne Andreassen Direktør i Senter for statlig økonomistyring Senter for statlig økonomistyring

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

Helseforetakenes senter for pasientreiser ANS 1/2016

Helseforetakenes senter for pasientreiser ANS 1/2016 Helseforetakenes senter for pasientreiser ANS 1/2016 RAPPORT Oppfølging av revisjoner som ble gjennomført i 2013-14 Revisjonsrapport 1/2016 Internrevisjon Side 1 av 13 Tidsrom for revisjonen Mai-juni 2016

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Egenevaluering av internkontrollen

Egenevaluering av internkontrollen Egenevaluering av internkontrollen Veiledning - egenevalueringsverktøy internkontroll Bakgrunn God praksis for internkontroll er beskrevet i flere rammeverk. COSO (Committee of Sponsoring Organizations

Detaljer

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016 Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern

Detaljer

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010 www.pwc.no Oppfølging av Internkontroll Innhold - oppfølging av internkontroll 1. Internkontroll hva er det? 2. Fremgangsmåte for oppfølging av internkontroll Teori Utvalgte regulatoriske krav Roller 3.

Detaljer

Virksomhetsstyring i Bane NOR SF

Virksomhetsstyring i Bane NOR SF Virksomhetsstyring i Bane NOR SF DFØ 20 oktober 2016 Agenda Agenda 1 Målbilde: Modenhet Virksomhetsstyring i Bane Nor SF 2 Status: Modenhet Virksomhetsstyring i Jernbaneverket 3 Veien videre: Ambisjon

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER Neste generasjon ISO standarder ISO 9001 og ISO 14001 Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir

Detaljer

UAVHENG1G ATTESTASJONSUTTALELSE OM OVERHOLDELSE AV RETNINGSLINJER I FOLKETRYGDFONDET

UAVHENG1G ATTESTASJONSUTTALELSE OM OVERHOLDELSE AV RETNINGSLINJER I FOLKETRYGDFONDET Til Finansdepartementet JIERNST&YOUNG Statsautoriserte revisorer Ernst & Young AS Christian Frederiks pl. 6, NO-0154 Oslo Oslo Atrium, P.O.Box 20, NO-0051 Oslo Foretaksregisteret: NO 976 389 387 MVA www.ey.no

Detaljer

Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en

Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en gjennomgang av utforming og implementering av organisasjonsstruktur

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Profesjonalisering av prosjektledelse

Profesjonalisering av prosjektledelse Profesjonalisering av prosjektledelse Ingar Brauti, RC Fornebu Consulting AS Software2013, IT-ledelse i fremtiden Onsdag 13. februar 2013 ingar.brauti@fornebuconsulting.com Registrerte varemerker tilhørende

Detaljer

Cyberspace og implikasjoner for sikkerhet

Cyberspace og implikasjoner for sikkerhet Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker

Detaljer

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Nasjonal fagkonferanse i offentlig revisjon Gardermoen 29. oktober 2014 Innledning Innhold Hva er beholdt fra 92-rammeverket,

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Hvordan beste praksis rammeverk praktiseres aller best

Hvordan beste praksis rammeverk praktiseres aller best Hvordan beste praksis rammeverk praktiseres aller best Felles introduksjon til kurs 1A, 1B og 1C Ingar Brauti, RC Fornebu Consulting AS NOKIOS kurs tirsdag 29. oktober 2013 ingar.brauti@fornebuconsulting.com

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016 Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016 Client name - Event - Presentation title Page 1 AGENDA 1 2 Rammeverk for helhetlig risikostyring

Detaljer

1. Introduksjon til prosjektledelse. Innledning. Læringsmål. Teori. "We are what we Prosjekter har eksistert helt siden de første

1. Introduksjon til prosjektledelse. Innledning. Læringsmål. Teori. We are what we Prosjekter har eksistert helt siden de første 1. Introduksjon til prosjektledelse Innledning "We are what we Prosjekter har eksistert helt siden de første repeatedly do. menneskene på jorden ønsket å gjøre en endring Excellence, then, i livene sine,

Detaljer

Endringer i ISO-standarder

Endringer i ISO-standarder Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra

Detaljer

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens

Detaljer

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Historie ISO 45001 2000 2007 2016 1. utgave OHSAS 18001:1999 Ny BS standard Oversatt til norsk Helse er tatt med Mer forenlig

Detaljer

Hva er risikostyring?

Hva er risikostyring? Hva er risikostyring? EBL workshop - DNV innlegg Tore Magler Wiggen, Senior Consultant / Lawyer, Cleaner Energy, DNV Energy. 22.10.2008 Agenda Risiko definisjon og begreper Risikovurdering risikoanalyse

Detaljer

Veien til ISO 20000 sertifisering

Veien til ISO 20000 sertifisering Mål: 41 40 39 38 37 36 Veien til ISO 20000 sertifisering Forretningsidé Forbedringer 29 Definere kunder/pros. i verktøy 30 30 31 Mister ansatte Branding 32 Satsningsområde 33 Syneligjøre KPI er 34 ITIL

Detaljer

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor

Detaljer

Common Safety Methods

Common Safety Methods Common Safety Methods Johan L. Aase Sikkerhets- og Kvalitetssjef Utbyggingsdivisjonen Jernbaneverket ESRA - 11.11.09 Foto: RuneFossum,Jernbanefoto.no CSM Common Safety methods Common Safety Method on Risk

Detaljer