STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Størrelse: px
Begynne med side:

Download "STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018"

Transkript

1 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

2 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert, alvorlig og grenseoverskridende. Fremtidens politi skal møte disse utfordringene ved å være enda mer kunnskapsbasert og effektivt med evne til kontinuerlig forbedring. En grunnleggende forutsetning for at vi skal kunne lykkes, er at vi har profesjonell informasjonsforvaltning. Politidirektør Odd Reidar Humlegård Informasjon er en av våre viktigste verdier. Informasjon som vi kan stole på, som vi håndterer forsvarlig og profesjonelt, er nødvendig for å utføre våre samfunnsoppgaver, å ivareta sikkerheten til våre ansatte og opprettholde tilliten befolkningen har til norsk politi. Vi skal etablere en tydeligere styring innen informasjonssikkerhet. Strategien viser hvor fokuset skal være i strategiperioden. Vi skal ha et tilfredsstillende nivå av sikkerhet i politiet. Tilfredsstillende nivå innebærer at vi har oversikt og kon troll, samt at vi implementerer balanserte, kostnadseffektive og hensiktsmessige sikkerhetstiltak. For at vi skal vite om vi har tilfredsstillende nivå av sikkerhet, skal det etableres målekriterier. Måleresultatene og annen informasjon om sikkerhetstilstanden, skal danne kunnskaps grunnlaget for styringen av informasjonssikkerheten i politiet. For å kunne lykkes med vårt mål med strategien, er det nødvendig at hele politiet er med. Dette setter særlige krav til lederne i politiet - krav som vil inngå i den ordinære virksomhetsstyringen. Med en profesjonell, forsvarlig og entydig forvaltning av informasjon, vil vi være godt rustet til å møte politiets utfordringer.

3 4 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 5 INNHOLD 1 INNLEDNING FORORD 3 1 INNLEDNING 5 2 SIKKERHETSUTFORDRINGER OG KRAV FRA OMVERDEN 6 3 MÅLBILDE 7 4 POLITIDIREKTORATETS ROLLE OG ANSVAR FOR INFORMASJONSSIKKERHET 8 5 RELISERING AV MÅLBILDE Ledelse av informasjonssikkerhet Daglig utøvelse av informasjonssikkerhet Kontroll og kontinuerlig forbedring av informasjonssikkerhet 11 Sikkerhet handler om at viktige verdier beskyttes mot uønskede hendelser, både tilsiktede og utilsiktede, slik at verdiene ikke forringes. Når verdien som skal beskyttes er informasjon, så omtales det som informasjonssikkerhet. Dette kan innebære beskyttelse mot uautorisert innsyn (konfidensialitet), uautorisert endring (integritet) eller for å sikre nødvendig tilgjengelighet. For at politiet skal kunne løse sine oppgaver best mulig, forutsettes det at informasjonssikkerheten ivaretas. Politiets strategi for informasjonssikkerhet er et styringsdokument for arbeidet med informasjonssikkerhet. Strategien fastsetter de rammer som skal etableres samt identifiserer fire strategiske prioriteringsområder. Strategien skal operasjonaliseres gjennom årlige handlingsplaner fastsatt fra POD. Handlingsplanene skal identifisere aktiviteter som skal gjennomføres i løpet av strategiperioden, samt hvem som har ansvaret for at aktiviteten blir igangsatt og gjennomført. 6 STRATEGISKE PRIORITERINGSOMRÅDER Tilgangsstyring Styrt utveksling av informasjon IT-systemers livssyklus Avviks- og hendelseshåndtering 12 7 ANSVAR FOR GJENNOMFØRING OG OPPFØLGING AV STRATEGIEN 13 8 ORD OG UTTRYKK 14

4 6 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 7 2 SIKKERHETSUTFORDRINGER OG KRAV FRA OMVERDENEN 3 MÅLBILDE Politiets utfordringer med informasjonssikkerhet samsvarer i stor grad med det som er beskrevet i Nasjonal strategi for informasjonssikkerhet og trusselvurderinger fra Nasjonal sikkerhetsmyndighet (NSM) og Politiets sikkerhetstjeneste (PST). Under nevnes noen av de mest sentrale sikkerhetsutfordringene politiet står overfor: Spionasje, sabotasje og infiltrasjon er en økende trussel for samfunnskritiske informasjonsverdier. Justissektoren, herunder politiet, er et spesielt utpekt mål. Kriminalitet blir stadig mer internasjonal og krever tett politisamarbeid på tvers av grensene. Informasjonen må derfor flyte uavhengig av grenser, og dette stiller særlige krav til informasjonens konfidensialitet, integritet og tilgjengelighet. Politiet behandler store mengder informasjon for å forebygge og bekjempe kriminalitet, samt skape trygghet for befolkningen. Tilgjengelighet til informasjon må balanseres mot behovet for å ivareta den enkeltes rett til personvern og beskyttelse av politiets operasjoner. IKT-løsningene blir stadig mer omfattende og komplekse, og vi samhandler stadig mer på tvers av virksomheter. Dette gjør det krevende å holde oversikt over avhengigheter og sårbarheter, samt å stille klare og presise krav til informasjonssikkerhet. Dagens IKTportefølje i politiet er til dels utdatert og tar ikke inn over seg utfordringene knyttet til informasjonssikkerhet i tilstrekkelig grad. Det stilles store krav til holdning og kompetanse hos de ansatte for å behandle informasjon tilfredsstillende. Informasjonsbehandlingen i politiet reguleres av en rekke regelverk, fra sikkerhetsloven til offentleglova. Regelverkene er tildels fragmenterte og vektlegger konfidensialitet, integritet og tilgjengelighet forskjellig. Det gjør det utfordrende å ha oversikt over alle kravene og sikre at behandlingen av informasjonen til enhver tid er i samsvar med disse. Omverdenen stiller dessuten en rekke krav til politiet og politiets virksomhet. Politiet har en samfunnskritisk rolle med særlige fullmakter, og er derfor en sentral aktør for tilsynsmyndigheter som NSM, Datatilsynet og Riksrevisjonen. For å møte politiets utfordringer og krav fra omverdenen, er det nødvendig at politiet etablerer helhetlig informasjons sikkerhetsstyring og -ledelse. Politiets oppdrag er å forebygge og bekjempe kriminalitet og skape trygghet i befolkningen. Samling om kjerneoppgaver, trygghet og tillit i befolkningen og effektiv ressursbruk er prioriterte områder i politiets strategi Oppdraget og de prioriterte områder beskrevet i strategien er alle avhengig av informasjon informasjon i form av lagret kunnskap og informasjon i form av den enkelte ansattes kompetanse. Drivkraften for politiets informasjonsbehandling, og politiarbeid for øvrig, er å fremme rettsikkerheten, tryggheten og velferden i samfunnet. Hva slags informasjon som behandles, og hvordan denne behandles, er avgjørende for hvordan politiet løser sin samfunnsoppgave. For å løse denne samfunnsoppgaven, skal politiet behandle informasjon på en forsvarlig måte. Dette innebærer å ha et riktig nivå av informasjonssikkerhet i henhold til regelverk, egne krav og føringer for å imøtekomme myndigheters og samfunnets forventninger. Informasjonen skal også behandles effektivt, gjennom rett informasjon til rett tid, for å løse politiets oppdrag. I tillegg skal det eksistere hensiktsmessige felles rammebetingelser, slik at informasjons behandlingen gjøres på en enhetlig måte. Med bakgrunn i politiets virksomhetsstrategi 1, Nasjonal strategi for informasjonssikkerhet 2 og gjeldende føringer for fagfeltet, har Politidirektoratet (POD) følgende overordnet målbilde for informasjonssikkerhetsarbeidet i politiet: 1 Politiets strategi Nasjonal strategi for informasjonssikkerhet, Regjeringen 2012 Politiet behandler informasjon på en forsvarlig, effektiv og enhetlig måte.

5 8 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 9 4 POLITIDIREKTORATETS ROLLE OG ANSVAR FOR INFORMASJONSSIKKERHET 5 REALISERING AV MÅLBILDE Politidirektøren er etatsleder i politiet og den øverste ansvarlige for informasjonssikkerheten i politiet. POD skal i strategiperioden etablere følgende rammer for sikkerhetsledelse: Politiet skal nærme seg det overordnede målbildet gjennom å gjøre forbedringer innen tre områder: Innenfor hvert av de tre områdene er det definert delområder som er beskrevet nærmere i påfølgende underkapittel. Politidirektøren med sin ledergruppe i POD skal utøve etatsstyring, herunder sikkerhetsstyring på etatsnivå. Ledelsen i politidistriktene og særorganene skal utøve sikkerhetsledelse. Sikkerhetsstyring innebærer å definere handlings rommet for sikkerhetsledelse, mens sikkerhetsledelse inne bærer å lede arbeidet med informasjonssikkerhet innenfor handlingsrommet. POD skal i sin styring sørge for at det defineres et tydelig og hensiktsmessig handlingsrom for utøvelse av sikkerhets ledelse i hele politiet. Dette betyr at POD setter rammene for risiko og verdivurderingen av politiets informasjon, samt at det skal etableres en felles struktur for dokumentasjon. Sikkerhetsledelse innebærer å sørge for at informasjonssikkerheten er tilfredsstillende ved hjelp av forebyggende, oppdagende og reagerende tiltak slik at man er innenfor akseptabel risiko. Risiko Risikostyring i politiet skal baseres på et felles rammeverk fastsatt av POD. POD skal på etatsnivå definere og fastsette politiets risikotoleranse, herunder hvilke nivåer av risiko som ikke er akseptable. Verdivurdering og klassifisering POD skal utarbeide en felles metode for verdivurdering og klassifisering av informasjon i hele politiet, og det skal defineres felles behandlingsregler. Hensikten er å sikre at informasjonsbehandlingen i politiet samsvarer med gjeldende regelverk, samt eksterne og interne føringer. Dokumentstruktur POD er ansvarlig for å etablere felles dokumentstruktur i politiet. Dokumentasjonen innenfor styringssystemet for informasjonssikkerhet skal være i samsvar med denne. Ledelse av informasjonssikkerhet Daglig utøvelse av informasjonssikkerhet Kontroll og kontinuerlig forbedring av informasjonssikkerhet Områdene er likeverdige og danner rammene for et styringssystem for informasjonssikkerhet (SSIS). Disse må virke sammen for å oppnå den ønskede tilstanden. Videre har POD, gjennom en kartlegging i etaten, utpekt fire strategiske prioriteringsområder som skal bidra til å nå det overordnede målebildet. Disse er beskrevet nærmere i kapittel 6. Et fungerende SSIS er en forutsetning for å kunne arbeide med de strategiske prioriteringsområdene. Figur 1 illustrerer rammene for et SSIS, samt de strategiske prioriteringsområdene som skal inngå i styringssystemet i strategiperioden. PODs sikkerhetsstyring innebærer i tillegg å evaluere at virksomhetenes sikkerhetsledelse fungerer etter sin hensikt og at målene i strategien for informasjonssikkerhet operasjonaliseres. Totalen over områder som skal inn i en kontinuerlig forbedring Styrt utveksling av informasjon Tilgangsstyring A B C D IT-systemers livssyklus Avviks- og hendelseshåndtering Utøvelse Utøvende dokumentasjon (hvordan realisere krav) Kompetanse og holdninger Kontinuerlig forbedring av informasjonssikkerhet Ledelse Sikkerhetsorganisasjon Styrende dokumentasjon (krav og føringer) Informasjonsverdier Risikostyring Kontroll og forbedring Kontroll og etterlevelse Læring og forbedring Figur 1: Rammer for et SSIS og de strategiske prioriteringsområdene i perioden KOMMENDE STRATEGIOMRÅDER STRATEGIPERIODE

6 10 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / Ledelse av informasjonssikkerhet MÅL + Politiet styrer og ivaretar tilfredsstillende informasjonssikkerhet som en integrert del av den helhetlige virksomhetsstyringen. + Krav til informasjonssikkerhet settes ut fra risiko bildet politiet står overfor. + En kompetent og tydelig sikkerhetsorganisasjon som er tilstrekkelig dimensjonert for oppgavene, leder og bistår i dette arbeidet. For å lykkes med sikkerhetsledelse, er det avgjørende at virksomhetslederne er bevisst eget sikkerhetsansvar og videre formidler viktigheten av god informasjonssikkerhet. Det er viktig at de aktivt bidrar til å lede sikkerhetsarbeidet i egen virksomhet, innenfor rammebetingelsene satt av POD. Innenfor Ledelse av informasjonssikkerhet, skal politiet fokusere på følgende delområder: Sikkerhetsorganisering En av forutsetningene for å kunne ivareta informasjonssikkerhet på en helhetlig og systematisk måte er en tydelig, kompetent og tilstrekkelig dimensjonert sikkerhetsorganisasjon. En slik organisasjon må være i stand til å håndtere de oppgaver som tilligger informasjonssikkerhetsområdet. I strategiperioden er målet at politiets virksomheter etablerer en kompetent og tilstrekkelig dimensjonert sikkerhetsorganisasjon, med klare roller og beslutningsstrukturer, som gir tydelig definert myndighet og ansvar for informasjonssikkerhetsoppgavene. Styrende dokumentasjon Strategi for informasjonssikkerhet for politiet er et av de styrende dokumentene som setter de strategiske rammene som skal sikre en enhetlig retning for informasjonssikkerhet i politiet. For å sikre dette, må de strategiske rammene operasjonaliseres. I et styringssystem utgjør slike krav et sett med styrende dokumenter, eksempelvis policyer og retningslinjer. I strategiperioden er målet at Politidirektoratet skal ut arbeide og forankre tydelige krav og føringer for hvordan politiet skal utøve informasjonssikkerhet. Informasjonsverdier Verdivurdering betyr å identifisere verdien av informasjon som kan medføre negative konsekvenser for politiet dersom den blir utilgjengelig, uautorisert endret eller kommer på avveie. I strategiperioden er målet å ha en oversikt over politiets informasjonsverdier og eierskapet til disse. Det er også et mål at politiets medarbeidere har tilgang til entydige behandlingsregler (klassifisering) som sikrer at informasjonen behandles i samsvar med verdien når det gjelder konfidensialitet, integritet og tilgjengelighet. Risikostyring Risikostyring er sentralt i arbeidet med informasjonssikkerhet, og krav til informasjonssikkerhet skal settes ut fra risikobildet politiet står overfor. Risikostyring, herunder risikoanalyser, skal bidra til at politiet identifiserer balanserte, hensiktsmessige og kosteffektive sikkerhetstiltak. I politiets risikobilde vil det fremkomme risikoer som det ikke er mulig å eliminere. Det vil også fremkomme risikoer som ut fra en avveining av ulike hensyn, skal tolereres. Det skal treffes tydelige beslutninger om slike risikoer. Målet i strategiperioden er at den enkelte virksomhetsleder definerer hva som kan tolereres av risiko i egen virksomhet, basert på etatens risikotoleranse. Risikovurderinger innenfor de strategiske prioriteringsområdene skal gjennomføres. 5.2 Daglig utøvelse av informasjonssikkerhet MÅL + Politiet ivaretar informasjonssikkerhet i sin daglige virksomhet med sikkerhetsbevissthet og støtte i tilgjengelig dokumentasjon. Ledere og medarbeidere har nødvendig kompetanse og kunnskap for å ivareta informasjonssikkerhet i det daglige arbeidet. Daglig utøvelse av informasjonssikkerhet handler om å oppnå og opprettholde tilfredsstillende sikkerhetstilstand for informasjonen politiet forvalter. Dette gjelder i enhver informasjonsbehandling uavhengig av medium eller form. Sikkerhetshendelser inntreffer daglig. Målinger viser blant annet at det er høy spionasjevirksomhet mot politiet, men også at verdifull informasjon kompromitteres av politiets egne medarbeidere, bevisst og ubevisst. Det må derfor settes sterkere fokus på opplæring, kompetanseheving og bevisstgjøring. Daglig utøvelse av informasjonssikkerhet forutsetter at utførende dokumentasjon utarbeides og benyttes, at det er kompetanse og en sikkerhetskultur for etterlevelse. Utførende dokumentasjon For å oppnå en tilfredsstillende informasjonssikkerhet må medarbeiderne vite hvilke regler som gjelder for behandling av politiets informasjon og hvor reglene finnes. Det skal være raskt og enkelt å finne frem til slik dokumentasjon. Det skal heller ikke være tvil om hvilke dokumenter som gjelder. I strategiperioden skal det utarbeides utførende dokumentasjon innenfor de fire strategiske prioriteringsområdene. Kompetanse og holdninger Politiets medarbeidere er informasjonsforvalterne i politietaten. For å lykkes i det daglige sikkerhetsarbeidet er det en forutsetning at disse har nødvendig kunnskap, kompetansen og holdninger knyttet til ivaretakelse av politiets informasjonsverdier. I strategiperioden er målet at politiets medarbeidere skal ha tilstrekkelig kompetanse i informasjonssikkerhet. Dette betyr at kompetansen skal tilpasses den enkeltes rolle slik at politiet sikrer balanse mellom oppgaver, ressurser og kompetanse. Kompetansen skal bidra til at den enkelte som behandler politiets informasjon er bevisst hva som er tilfredsstillende informasjonsforvaltning med hensyn til integritet, konfidensialitet og tilgjengelighet. Ledere og medarbeidere med utpekte roller knyttet til informasjons sikkerhet skal ha nødvendig kompetanse og holdninger for å kunne forstå sitt ansvar, fatte beslutninger innen sitt myndighetsområde og utøve sin tildelte rolle. 5.3 Kontroll og kontinuerlig forbedring av informasjonssikkerhet MÅL + For å unngå brudd på regelverk, overholde kontrakts messige forpliktelser og egne krav til sikkerhet, kontrollerer politiet jevnlig sin etterlevelse gjennom interne gjennomganger (intern kontroll) og revisjoner. Resultatet benyttes slik at kontinuerlig forbedring og læring ivaretas. Politiet skal gjennom jevnlig kontroll og revisjon av styringssystemet for informasjonssikkerhet, måle etterlevelse av de føringer som er gitt. Hensikten er å legge et fundament for kontinuerlig forbedring av informasjonssikkerheten i politiet. Resultatet av dette er en del av informasjonsgrunnlaget for ledelsens gjennomgang av styringssystemet, både for politidistriktene, særorgan og Politidirektoratet. Ledelsens gjennomgang er gjennomgang av virksomhetens etablerte prosesser for styring av informasjonssikkerhet. Gjennomgang og revisjon av etterlevelse I strategiperioden er målet at virksomhetene skal etablere prosesser for kontroll av etterlevelse. Måling av etterlevelse skal skje gjennom kontroll og revisjon. For de strategiske prioriterte områdene skal dette skje årlig. Resultatene skal gjennomgås i ledelsen. Resultatene fra ledelsens gjennomgang danner grunnlag for gjennomgang på etatsnivå i politiet. Kontinuerlig forbedring gjennom læring og effektivisering Ledelsens gjennomgang skal bidra til at politiet er i stand til kontinuerlig å forbedre og effektivisere prosesser for sikkerhetsledelse. I strategiperioden er målet at forbedring av informasjonssikkerhetsnivået sikres gjennom kontinuerlig evaluering og læring. Det skal gjennomføres kontroll med etterlevelse og læring og forbedring i form av implementerte tiltak for de strategiske prioriterte områdene.

7 12 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 13 6 STRATEGISKE PRIORITERINGSOMRÅDER 7 ANSVAR FOR GJENNOMFØRING OG OPPFØLGING AV STRATEGIEN I strategiperioden skal virksomhetene ha etablert lokal sikkerhets ledelse. Virksomhetene skal også ha utarbeidet og implementert utførende dokumentasjon, samt ha gjennomført kontroll innen de strategiske prioriteringsområdene: Tilgangsstyring Styrt utveksling av informasjon IT-systemers livssyklus Avviks- og hendelseshåndtering 6.1 Tilgangsstyring Tilgangsstyring er prosessen med å kontrollere hvem som har tilgang til hvilken informasjon. Et sentralt prinsipp er at tilganger skal være basert på krav i regelverk og tjenstlig behov. Med dette menes at ansatte kun skal ha tilgang til den informasjonen de trenger for å utføre sine arbeidsoppgaver. Tilganger til politiets informasjon ved hjelp av informasjonssystemer skal kontrolleres og administreres ut fra dette prinsippet. Informasjon er en av politiets viktigste verdier og dette området er derfor sentralt i politiets kontinuerlige sikkerhetsarbeid. Tilgangsstyring omfatter politiets administrasjon av brukere, herunder personell og systemer, og deres tilgang til informasjon. 6.2 Styrt utveksling av informasjon Politiet skal ha kontroll med hvilke eksterne aktører man utveksler informasjon med, hva slags informasjon som utveksles, og på hvilken måte dette skjer. Utveksling av informasjon skal skje i samsvar med regelverk og politiets egne krav. Styrt utveksling av informasjon innebærer at politiet skal ha formelle avtaler med eksterne aktører om utvekslingen av informasjon. I strategiperioden innebærer dette at politiet skal utarbeide en oversikt over de aktører man utveksler informasjon med. Deretter skal det utarbeides avtaler med de viktigste aktørene, hvor regelmessig og hyppig utveksling av informasjon skjer. 6.3 IT-systemers livssyklus Politiet er i høy grad avhengig av informasjonsteknologi som understøtter behandling og utveksling av informasjon. Sikkerhet skal ivaretas gjennom hele IT-systemets livssyklus, fra utvikling/anskaffelse, gjennom drift og forvaltning, til avhending. Dette skal blant annet realiseres gjennom en enhetlig sikkerhetsarkitektur for IT-systemer i hele politiet. 6.4 Avviks- og hendelseshåndtering Hendelser som kan true informasjonssikkerheten skjer kontinuerlig, og politiet må derfor ha tydelige prosesser og rapporteringslinjer for å håndtere hendelser. Informasjonssikkerhetshendelser skal identifiseres, håndteres og løses raskt og effektivt slik at konsekvenser for vanlig drift minimaliseres. Hendelseshåndteringen skal søke å identifisere den grunnleggende årsaken til hendelsen. Politiet skal nyttiggjøre seg erfaringene fra hendelser i sin kontinuerlige forbedring, herunder iverksette tiltak som reduserer risikoen for tilsvarende hendelser. Politidirektøren Informasjonssikkerhetsleder for politiet Virksomhetsledere for underlagte virksomheter Lokale informasjonssikkerhetsledere Eier av denne strategien. Utøvende premissgiver for informasjonssikkerheten på vegne av politidirektøren. Ansvar for oppdatering, vedlikehold og oppfølging av strategien. Iverksette arbeid for å følge opp strategien Planlegge og iverksette lokale tiltak for å bygge opp lokalt styringssystem. Følge opp og kontinuerlig forbedre informasjonssikkerheten

8 14 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 15 8 ORD OG UTTRYKK IKT-løsning IKT-løsningers livssyklus IKT-portefølje Informasjon Informasjonssikkerhet Informasjonsverdi Integritet Kompromittering Konfidensialitet Sabotasje Spionasje Styringssystem for informasjonssikkerhet (SSIS) Tilgangsstyring Tilgjengelighet Ethvert system, enhver tjeneste eller infrastruktur for elektronisk informasjonsbehandling. Alle fasene i IKT-løsnings levetid, fra tidlig faser som konseptutvikling, kravspesifikasjoner osv. helt til systemet avhendes/fases ut. En helhetlig oversikt over IKT-løsninger. Enhver form for opplysninger i materiell eller immateriell form (sikkerhetsloven). I strategien omfatter også begrepet informasjon underlagt sikkerhetsloven. Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjonen som behandles og oppbevares. (NORSIS) Også benevnt som informasjonsaktiva. All informasjon som har verdi for virksomheten (ISO/IEC Guide :2004). Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. En av tre egenskaper for informasjonssikkerhet sammen med konfidensialitet og tilgjengelighet (NORSIS) Tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for informasjon, herunder uønsket avhending, modifisering eller ødeleggelse. Sikkerhet for at kun autoriserte personer får tilgang til sensitiv eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autentisering av personen. En av tre egenskaper for informasjonssikkerhet sammen med integritet og tilgjengelighet. (NORSIS) Tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering. (sikkerhetsloven) Innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt. (sikkerhetsloven) Den delen av det samlede styringssystemet i en virksomhet som, basert på en forretningsmessig risikotilnærming, etablerer, implementerer, drifter, overvåker, evaluerer, vedlikeholder og forbedrer informasjonssikkerhet. Tilgangsstyring er prosessen med å tildele en person, en datamaskin eller et program tillatelse til å bruke bestemte ressurser. Eksempler på en ressurs kan være filer, nettverksstasjoner, lokaler, arkivskap og prosesser. Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov. En av tre egenskaper for informasjonssikkerhet sammen med konfidensialitet og integritet. (NORSIS)

9 Politidirektoratet 02/2014 Trykk: 3000 Layout: Fete typer Illustrasjon: Fete typer Opplag: 1. opplag POD-publikasjon nr. 2014/01 ISBN

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet Erfaringer fra tilsyn Helge Rager Furuseth Nasjonal sikkerhetsmyndighet 1 Mål for NSMs tilsyn Pådriver for bedret sikkerhetstilstand Kontrollere overholdelse av plikter Bidra til å finne forbedringspunkter

Detaljer

strategi for PDMT 2011-2015

strategi for PDMT 2011-2015 strategi for PDMT 2011-2015 Politiets data- og materielltjeneste Postboks 8031 Dep NO-0030 OSLO Besøksadresse Oslo: Sørkedalsveien 27b, 0369 OSLO Besøksadresse Jaren: Rognebakken 8, 2770 JAREN Telefon:

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Kommunikasjonspolitikk for politi- og lensmannsetaten

Kommunikasjonspolitikk for politi- og lensmannsetaten Kommunikasjonspolitikk for politi- og lensmannsetaten Prinsipper for politiets kommunikasjon Tydelig: Det skal være tydelig for innbyggerne hva politiet mener og hvem i politiet det er som kommuniserer.

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn VEIEN MOT 2017 Innledning Kursen for de neste årene er satt. Strategien er et verktøy for å kommunisere retning og prioriteringer internt og eksternt. Strategien er et viktig styringsdokument, og skal

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Strategi 2011 2015. IKT-strategi for justissektoren

Strategi 2011 2015. IKT-strategi for justissektoren Strategi 2011 2015 IKT-strategi for justissektoren Forord Jeg er opptatt av økt samhandling innad i justissektoren og med andre i forvaltningen for å oppnå målsettingen om en mer effektiv justissektor.

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Rapportering av sikkerhetstruende hendelser til NSM

Rapportering av sikkerhetstruende hendelser til NSM (NSM) Rundskriv 1/11 Rapportering av sikkerhetstruende hendelser til NSM 1 Bakgrunn og hensikt Dette rundskrivet omhandler sikkerhetstruende hendelser som virksomheter underlagt sikkerhetsloven plikter

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Lederavtale for 2014

Lederavtale for 2014 Lederavtale for 2014 mellom divisjonsdirektør og avd. sjef 1 Sykehuset Innlandet - Visjon og verdigrunnlag Visjon Sykehuset Innlandet skal gi gode og likeverdige helsetjenester til alle som trenger det,

Detaljer

Leverandøren en god venn i sikkerhetsnøden?

Leverandøren en god venn i sikkerhetsnøden? Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver

Detaljer

Kan du holde på en hemmelighet?

Kan du holde på en hemmelighet? Kan du holde på en hemmelighet? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Hvis vi ser på Norge som en eiendom passer NSM på gjerdene, E-tjenesten følger med på dem som er utenfor gjerdet, og PST

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst

Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Godkjent av styret i Helse Sør-Øst RHF 13.03.2014 Distribusjon Revisjonsplanen distribueres til styret og styrets revisjonsutvalg, administrerende

Detaljer

Lederavtale for 2012

Lederavtale for 2012 Lederavtale for 2012 mellom divisjonsdirektør/stabsdirektør XX og administrerende direktør Morten Lang-Ree 1 Sykehuset Innlandet - Visjon og verdigrunnlag Visjon Sykehuset Innlandet skal gi gode og likeverdige

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Sikkerhetsmessig verdivurdering

Sikkerhetsmessig verdivurdering For DECRIS 12 juni 2008 Sikkerhetsmessig verdivurdering Stein Henriksen Stab Navn Navnesen stein.henriksen@nsm.stat.no Avdeling www.nsm.stat.no navn.navnesen@nsm.stat.no www.nsm.stat.no 1 Nasjonal sikkerhetsmyndighet

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

HR-STRATEGI FOR FORSVARSSEKTOREN

HR-STRATEGI FOR FORSVARSSEKTOREN HR-STRATEGI FOR FORSVARSSEKTOREN Vårt samfunnsoppdrag Eksempler Forsvarssektoren har ansvar for å skape sikkerhet for staten, befolkningen og samfunnet. Endringer i våre sikkerhetspolitiske omgivelser

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014 Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk.

Detaljer

Barrierestyring. Hermann Steen Wiencke PREPARED.

Barrierestyring. Hermann Steen Wiencke PREPARED. Barrierestyring Hermann Steen Wiencke PREPARED. Bakgrunn - Ptil Det overordnede fokuset er at barrierer skal ivaretas på en helhetlig og konsistent måte slik at risiko for storulykker reduseres så langt

Detaljer

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april

Detaljer

Strategier 2010-2015. StrategieR 2010 2015 1

Strategier 2010-2015. StrategieR 2010 2015 1 Strategier 2010-2015 StrategieR 2010 2015 1 En spennende reise... Med Skatteetatens nye strategier har vi lagt ut på en spennende reise. Vi har store ambisjoner om at Skatteetaten i løpet av strategiperioden

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Sykehuset Innlandet HF Styremøte 05.05.14 SAK NR 037 2014 HELHETLIG PLAN FOR VIRKSOMHETSSTYRING 2014. Forslag til VEDTAK:

Sykehuset Innlandet HF Styremøte 05.05.14 SAK NR 037 2014 HELHETLIG PLAN FOR VIRKSOMHETSSTYRING 2014. Forslag til VEDTAK: Sykehuset Innlandet HF Styremøte 05.05.14 SAK NR 037 2014 HELHETLIG PLAN FOR VIRKSOMHETSSTYRING 2014 Forslag til VEDTAK: 1. Styret tar redegjørelsen om arbeidet med å videreutvikle virksomhetsstyringen

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Kjell Arne Knutsen Direktør DSS NSM sikkerhetskonferanse mars 2015 Formål Formidle noen nyttige erfaringer fra DSS 1. Innledning Kort om

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

Økonomidirektør og sjefssamling 2015

Økonomidirektør og sjefssamling 2015 Økonomidirektør og sjefssamling 2015 Avd. dir. Arne Lunde, Bergen 23.04.15 Hva er intern kontroll 14 Intern kontroll Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Prosjekt: Utvikling av egenkontrollen i kommunene

Prosjekt: Utvikling av egenkontrollen i kommunene Prosjekt: Utvikling av egenkontrollen i kommunene Hovedprosjekt: Utvikling av egenkontrollen i kommunene, herunder økt bruk av egenkontroll i de statlige tilsynene. Målet for prosjektet: Få til et godt

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

HR-strategi 2015 2017

HR-strategi 2015 2017 Planer og meldinger 2015/1 Statistisk sentralbyrå HR-strategi 2015 2017 1 Statistisk sentralbyrå (SSB) har hovedansvaret for å utarbeide og spre offisiell statistikk om det norske samfunnet, og kjerneoppgavene

Detaljer

Etiske retningslinjer for folkevalgte og ansatte

Etiske retningslinjer for folkevalgte og ansatte Etiske retningslinjer for folkevalgte og ansatte Retningslinjene er et supplement til lover, forskrifter og reglement som gjelder for kommunens virksomhet. Vedtatt av kommunestyret i sak 9/13-28.02. 2013

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Denne veilederen tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram, og gir råd til hvordan man kan utvikle sikkerhetskulturen.

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Strategisk plan 2012 2016. kunnskap for et tryggere samfunn

Strategisk plan 2012 2016. kunnskap for et tryggere samfunn Strategisk plan 2012 2016 kunnskap for et tryggere samfunn FOTO: Scanpix FORORD side 3 Forord Strategisk plan 2012-2016 er Politihøgskolens overordnede, styrende dokument som gir retning og angir ambisjonsnivået

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Personalpolitiske retningslinjer

Personalpolitiske retningslinjer Personalpolitiske retningslinjer Vedtatt av fylkestinget juni 2004 Personalpolitiske retningslinjer. Nord-Trøndelag fylkeskommunes verdigrunnlag: Nord-Trøndelag fylkeskommune er styrt av en folkevalgt

Detaljer

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett.

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett. FORSLAG TIL SIKRINGSBESTEMMELSER I FORM AV ENDRINGER I SIKKERHETSSTYRINGSFORSKRIFTEN (sif) Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv

Detaljer

Risikovurderinger i PU

Risikovurderinger i PU Risikovurderinger i PU -tilnærming til utarbeidelse og bruk av risikovurderinger Foredrag for DFØ 9 sept 2015 Teori og praksis 23.09.2015 Side 2 Kort om PU Oppdrag: Registrere asylsøkere Avklare ID på

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og Pasientreiser ANS Rapport 3/2013 - Oversikt over revisjonsfunn (oppsummert nasjonalt) og anbefalinger Nr Revisjonsfunn

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

INNKJØPSINSTRUKS FOR POLITI- OG LENSMANNSETATEN

INNKJØPSINSTRUKS FOR POLITI- OG LENSMANNSETATEN UTRYKNINGSPOLITIET POLITIETS DATA- OG MATERIELLTJENESTE ØKOKRIM INNKJØPSINSTRUKS FOR POLITI- OG LENSMANNSETATEN Dokument Versjon 1.0 2 Innhold 1 Overordnede krav 3 2 Regelverk 3 2.1 Grunnleggende krav

Detaljer

STRATEGISK PLAN 2014 2018

STRATEGISK PLAN 2014 2018 014 2018 STRATEGISK PLAN 2014 2018 1 FORORD Riksrevisjonen er tildelt en viktig samfunnsrolle som uavhengig revisjons- og kontrollorgan. Stortinget har gitt Riksrevisjonen oppdraget med å kontrollere at

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

NSMs Risikovurdering 2006

NSMs Risikovurdering 2006 NSMs Risikovurdering 2006 NSMs risikovurderinger er viktig for å gi overordnede myndigheter et bilde av utfordringer NSM, og virksomheter underlagt sikkerhetsloven, står overfor med tanke på den defensive

Detaljer

HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE

HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE Signe Astrup Arnesen Sikkerhetsdirektør Avinor Sikkerhetsseminar Statens jernbanetilsyn 7. november 2012 Avinor 46 lufthavner 3 kontrollsentraler

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2010-07-01 Sikkerhetsadministrasjon Veiledning til bestemmelser om sikkerhetsstyring i sikkerhetsloven med forskrifter. Dette dokumentet veileder

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Mislighetsrevisjon Sykehuset Innlandet HF

Mislighetsrevisjon Sykehuset Innlandet HF www.pwc.no Mislighetsrevisjon Sykehuset Innlandet HF 3. juni 2014 Innholdsfortegnelse 1. Mandat og oppdrag... 3 Forbehold... 3 2. Evaluering av rammeverk for å redusere mislighetsrisiko... 4 Formålet...

Detaljer

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...

Detaljer

Koordinatorskolen. Risiko og risikoforståelse

Koordinatorskolen. Risiko og risikoforståelse Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Sikkerhetslov og kommuner

Sikkerhetslov og kommuner Sikkerhetslov og kommuner Krav, problem og mulige løsninger Odd Morten Taagvold 12. Juni 2013 Innhold 1. Trusselbilde sett fra nasjonale myndigheter 2. Hva er «Lov om forebyggende sikkerhet» (sikkerhetsloven)?

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) UTFORDRINGER INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) Stavanger april 2012 Olav Molven Virksomheten mangler en felles fremgangsmåte for å vurdere risiko og tilhørende (intern)kontroll. Virksomheten

Detaljer

Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018

Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Innhold Hovedmål 1 Vellykket teknisk innføring av nødnett-brukerutstyr... 6 Hovedmål 2:

Detaljer

Virksomhetsstrategi 2014-2018

Virksomhetsstrategi 2014-2018 Virksomhetsstrategi 2014-2018 Én kriminalomsorg Kriminalomsorgen består av omlag fem tusen tilsatte. Fem tusen individer med forskjellig utdanningsbakgrunn, fagfelt og arbeidssted. Felles for oss alle

Detaljer

Strategi og virksomhetsstyring. Jan Ove Akerjordet Thomas Sellevoll Skattedirektoratet/Strategiteamet

Strategi og virksomhetsstyring. Jan Ove Akerjordet Thomas Sellevoll Skattedirektoratet/Strategiteamet Strategi og virksomhetsstyring i Skatteetaten Jan Ove Akerjordet Thomas Sellevoll Skattedirektoratet/Strategiteamet Skatteetatens samfunnsoppdrag Skatteetatens oppdrag er å sikre inntekter for å finansiere

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Risikostyring og intern kontroll i statlige virksomheter

Risikostyring og intern kontroll i statlige virksomheter Risikostyring og intern kontroll i statlige virksomheter Marianne Andreassen Direktør HIBO 26. oktober 2009 26.10.2009 Senter for statlig økonomistyring Side 1 Hvem er SSØ? Virksomhetsidé Som statens ekspertorgan

Detaljer