STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Størrelse: px
Begynne med side:

Download "STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018"

Transkript

1 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

2 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert, alvorlig og grenseoverskridende. Fremtidens politi skal møte disse utfordringene ved å være enda mer kunnskapsbasert og effektivt med evne til kontinuerlig forbedring. En grunnleggende forutsetning for at vi skal kunne lykkes, er at vi har profesjonell informasjonsforvaltning. Politidirektør Odd Reidar Humlegård Informasjon er en av våre viktigste verdier. Informasjon som vi kan stole på, som vi håndterer forsvarlig og profesjonelt, er nødvendig for å utføre våre samfunnsoppgaver, å ivareta sikkerheten til våre ansatte og opprettholde tilliten befolkningen har til norsk politi. Vi skal etablere en tydeligere styring innen informasjonssikkerhet. Strategien viser hvor fokuset skal være i strategiperioden. Vi skal ha et tilfredsstillende nivå av sikkerhet i politiet. Tilfredsstillende nivå innebærer at vi har oversikt og kon troll, samt at vi implementerer balanserte, kostnadseffektive og hensiktsmessige sikkerhetstiltak. For at vi skal vite om vi har tilfredsstillende nivå av sikkerhet, skal det etableres målekriterier. Måleresultatene og annen informasjon om sikkerhetstilstanden, skal danne kunnskaps grunnlaget for styringen av informasjonssikkerheten i politiet. For å kunne lykkes med vårt mål med strategien, er det nødvendig at hele politiet er med. Dette setter særlige krav til lederne i politiet - krav som vil inngå i den ordinære virksomhetsstyringen. Med en profesjonell, forsvarlig og entydig forvaltning av informasjon, vil vi være godt rustet til å møte politiets utfordringer.

3 4 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 5 INNHOLD 1 INNLEDNING FORORD 3 1 INNLEDNING 5 2 SIKKERHETSUTFORDRINGER OG KRAV FRA OMVERDEN 6 3 MÅLBILDE 7 4 POLITIDIREKTORATETS ROLLE OG ANSVAR FOR INFORMASJONSSIKKERHET 8 5 RELISERING AV MÅLBILDE Ledelse av informasjonssikkerhet Daglig utøvelse av informasjonssikkerhet Kontroll og kontinuerlig forbedring av informasjonssikkerhet 11 Sikkerhet handler om at viktige verdier beskyttes mot uønskede hendelser, både tilsiktede og utilsiktede, slik at verdiene ikke forringes. Når verdien som skal beskyttes er informasjon, så omtales det som informasjonssikkerhet. Dette kan innebære beskyttelse mot uautorisert innsyn (konfidensialitet), uautorisert endring (integritet) eller for å sikre nødvendig tilgjengelighet. For at politiet skal kunne løse sine oppgaver best mulig, forutsettes det at informasjonssikkerheten ivaretas. Politiets strategi for informasjonssikkerhet er et styringsdokument for arbeidet med informasjonssikkerhet. Strategien fastsetter de rammer som skal etableres samt identifiserer fire strategiske prioriteringsområder. Strategien skal operasjonaliseres gjennom årlige handlingsplaner fastsatt fra POD. Handlingsplanene skal identifisere aktiviteter som skal gjennomføres i løpet av strategiperioden, samt hvem som har ansvaret for at aktiviteten blir igangsatt og gjennomført. 6 STRATEGISKE PRIORITERINGSOMRÅDER Tilgangsstyring Styrt utveksling av informasjon IT-systemers livssyklus Avviks- og hendelseshåndtering 12 7 ANSVAR FOR GJENNOMFØRING OG OPPFØLGING AV STRATEGIEN 13 8 ORD OG UTTRYKK 14

4 6 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 7 2 SIKKERHETSUTFORDRINGER OG KRAV FRA OMVERDENEN 3 MÅLBILDE Politiets utfordringer med informasjonssikkerhet samsvarer i stor grad med det som er beskrevet i Nasjonal strategi for informasjonssikkerhet og trusselvurderinger fra Nasjonal sikkerhetsmyndighet (NSM) og Politiets sikkerhetstjeneste (PST). Under nevnes noen av de mest sentrale sikkerhetsutfordringene politiet står overfor: Spionasje, sabotasje og infiltrasjon er en økende trussel for samfunnskritiske informasjonsverdier. Justissektoren, herunder politiet, er et spesielt utpekt mål. Kriminalitet blir stadig mer internasjonal og krever tett politisamarbeid på tvers av grensene. Informasjonen må derfor flyte uavhengig av grenser, og dette stiller særlige krav til informasjonens konfidensialitet, integritet og tilgjengelighet. Politiet behandler store mengder informasjon for å forebygge og bekjempe kriminalitet, samt skape trygghet for befolkningen. Tilgjengelighet til informasjon må balanseres mot behovet for å ivareta den enkeltes rett til personvern og beskyttelse av politiets operasjoner. IKT-løsningene blir stadig mer omfattende og komplekse, og vi samhandler stadig mer på tvers av virksomheter. Dette gjør det krevende å holde oversikt over avhengigheter og sårbarheter, samt å stille klare og presise krav til informasjonssikkerhet. Dagens IKTportefølje i politiet er til dels utdatert og tar ikke inn over seg utfordringene knyttet til informasjonssikkerhet i tilstrekkelig grad. Det stilles store krav til holdning og kompetanse hos de ansatte for å behandle informasjon tilfredsstillende. Informasjonsbehandlingen i politiet reguleres av en rekke regelverk, fra sikkerhetsloven til offentleglova. Regelverkene er tildels fragmenterte og vektlegger konfidensialitet, integritet og tilgjengelighet forskjellig. Det gjør det utfordrende å ha oversikt over alle kravene og sikre at behandlingen av informasjonen til enhver tid er i samsvar med disse. Omverdenen stiller dessuten en rekke krav til politiet og politiets virksomhet. Politiet har en samfunnskritisk rolle med særlige fullmakter, og er derfor en sentral aktør for tilsynsmyndigheter som NSM, Datatilsynet og Riksrevisjonen. For å møte politiets utfordringer og krav fra omverdenen, er det nødvendig at politiet etablerer helhetlig informasjons sikkerhetsstyring og -ledelse. Politiets oppdrag er å forebygge og bekjempe kriminalitet og skape trygghet i befolkningen. Samling om kjerneoppgaver, trygghet og tillit i befolkningen og effektiv ressursbruk er prioriterte områder i politiets strategi Oppdraget og de prioriterte områder beskrevet i strategien er alle avhengig av informasjon informasjon i form av lagret kunnskap og informasjon i form av den enkelte ansattes kompetanse. Drivkraften for politiets informasjonsbehandling, og politiarbeid for øvrig, er å fremme rettsikkerheten, tryggheten og velferden i samfunnet. Hva slags informasjon som behandles, og hvordan denne behandles, er avgjørende for hvordan politiet løser sin samfunnsoppgave. For å løse denne samfunnsoppgaven, skal politiet behandle informasjon på en forsvarlig måte. Dette innebærer å ha et riktig nivå av informasjonssikkerhet i henhold til regelverk, egne krav og føringer for å imøtekomme myndigheters og samfunnets forventninger. Informasjonen skal også behandles effektivt, gjennom rett informasjon til rett tid, for å løse politiets oppdrag. I tillegg skal det eksistere hensiktsmessige felles rammebetingelser, slik at informasjons behandlingen gjøres på en enhetlig måte. Med bakgrunn i politiets virksomhetsstrategi 1, Nasjonal strategi for informasjonssikkerhet 2 og gjeldende føringer for fagfeltet, har Politidirektoratet (POD) følgende overordnet målbilde for informasjonssikkerhetsarbeidet i politiet: 1 Politiets strategi Nasjonal strategi for informasjonssikkerhet, Regjeringen 2012 Politiet behandler informasjon på en forsvarlig, effektiv og enhetlig måte.

5 8 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 9 4 POLITIDIREKTORATETS ROLLE OG ANSVAR FOR INFORMASJONSSIKKERHET 5 REALISERING AV MÅLBILDE Politidirektøren er etatsleder i politiet og den øverste ansvarlige for informasjonssikkerheten i politiet. POD skal i strategiperioden etablere følgende rammer for sikkerhetsledelse: Politiet skal nærme seg det overordnede målbildet gjennom å gjøre forbedringer innen tre områder: Innenfor hvert av de tre områdene er det definert delområder som er beskrevet nærmere i påfølgende underkapittel. Politidirektøren med sin ledergruppe i POD skal utøve etatsstyring, herunder sikkerhetsstyring på etatsnivå. Ledelsen i politidistriktene og særorganene skal utøve sikkerhetsledelse. Sikkerhetsstyring innebærer å definere handlings rommet for sikkerhetsledelse, mens sikkerhetsledelse inne bærer å lede arbeidet med informasjonssikkerhet innenfor handlingsrommet. POD skal i sin styring sørge for at det defineres et tydelig og hensiktsmessig handlingsrom for utøvelse av sikkerhets ledelse i hele politiet. Dette betyr at POD setter rammene for risiko og verdivurderingen av politiets informasjon, samt at det skal etableres en felles struktur for dokumentasjon. Sikkerhetsledelse innebærer å sørge for at informasjonssikkerheten er tilfredsstillende ved hjelp av forebyggende, oppdagende og reagerende tiltak slik at man er innenfor akseptabel risiko. Risiko Risikostyring i politiet skal baseres på et felles rammeverk fastsatt av POD. POD skal på etatsnivå definere og fastsette politiets risikotoleranse, herunder hvilke nivåer av risiko som ikke er akseptable. Verdivurdering og klassifisering POD skal utarbeide en felles metode for verdivurdering og klassifisering av informasjon i hele politiet, og det skal defineres felles behandlingsregler. Hensikten er å sikre at informasjonsbehandlingen i politiet samsvarer med gjeldende regelverk, samt eksterne og interne føringer. Dokumentstruktur POD er ansvarlig for å etablere felles dokumentstruktur i politiet. Dokumentasjonen innenfor styringssystemet for informasjonssikkerhet skal være i samsvar med denne. Ledelse av informasjonssikkerhet Daglig utøvelse av informasjonssikkerhet Kontroll og kontinuerlig forbedring av informasjonssikkerhet Områdene er likeverdige og danner rammene for et styringssystem for informasjonssikkerhet (SSIS). Disse må virke sammen for å oppnå den ønskede tilstanden. Videre har POD, gjennom en kartlegging i etaten, utpekt fire strategiske prioriteringsområder som skal bidra til å nå det overordnede målebildet. Disse er beskrevet nærmere i kapittel 6. Et fungerende SSIS er en forutsetning for å kunne arbeide med de strategiske prioriteringsområdene. Figur 1 illustrerer rammene for et SSIS, samt de strategiske prioriteringsområdene som skal inngå i styringssystemet i strategiperioden. PODs sikkerhetsstyring innebærer i tillegg å evaluere at virksomhetenes sikkerhetsledelse fungerer etter sin hensikt og at målene i strategien for informasjonssikkerhet operasjonaliseres. Totalen over områder som skal inn i en kontinuerlig forbedring Styrt utveksling av informasjon Tilgangsstyring A B C D IT-systemers livssyklus Avviks- og hendelseshåndtering Utøvelse Utøvende dokumentasjon (hvordan realisere krav) Kompetanse og holdninger Kontinuerlig forbedring av informasjonssikkerhet Ledelse Sikkerhetsorganisasjon Styrende dokumentasjon (krav og føringer) Informasjonsverdier Risikostyring Kontroll og forbedring Kontroll og etterlevelse Læring og forbedring Figur 1: Rammer for et SSIS og de strategiske prioriteringsområdene i perioden KOMMENDE STRATEGIOMRÅDER STRATEGIPERIODE

6 10 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / Ledelse av informasjonssikkerhet MÅL + Politiet styrer og ivaretar tilfredsstillende informasjonssikkerhet som en integrert del av den helhetlige virksomhetsstyringen. + Krav til informasjonssikkerhet settes ut fra risiko bildet politiet står overfor. + En kompetent og tydelig sikkerhetsorganisasjon som er tilstrekkelig dimensjonert for oppgavene, leder og bistår i dette arbeidet. For å lykkes med sikkerhetsledelse, er det avgjørende at virksomhetslederne er bevisst eget sikkerhetsansvar og videre formidler viktigheten av god informasjonssikkerhet. Det er viktig at de aktivt bidrar til å lede sikkerhetsarbeidet i egen virksomhet, innenfor rammebetingelsene satt av POD. Innenfor Ledelse av informasjonssikkerhet, skal politiet fokusere på følgende delområder: Sikkerhetsorganisering En av forutsetningene for å kunne ivareta informasjonssikkerhet på en helhetlig og systematisk måte er en tydelig, kompetent og tilstrekkelig dimensjonert sikkerhetsorganisasjon. En slik organisasjon må være i stand til å håndtere de oppgaver som tilligger informasjonssikkerhetsområdet. I strategiperioden er målet at politiets virksomheter etablerer en kompetent og tilstrekkelig dimensjonert sikkerhetsorganisasjon, med klare roller og beslutningsstrukturer, som gir tydelig definert myndighet og ansvar for informasjonssikkerhetsoppgavene. Styrende dokumentasjon Strategi for informasjonssikkerhet for politiet er et av de styrende dokumentene som setter de strategiske rammene som skal sikre en enhetlig retning for informasjonssikkerhet i politiet. For å sikre dette, må de strategiske rammene operasjonaliseres. I et styringssystem utgjør slike krav et sett med styrende dokumenter, eksempelvis policyer og retningslinjer. I strategiperioden er målet at Politidirektoratet skal ut arbeide og forankre tydelige krav og føringer for hvordan politiet skal utøve informasjonssikkerhet. Informasjonsverdier Verdivurdering betyr å identifisere verdien av informasjon som kan medføre negative konsekvenser for politiet dersom den blir utilgjengelig, uautorisert endret eller kommer på avveie. I strategiperioden er målet å ha en oversikt over politiets informasjonsverdier og eierskapet til disse. Det er også et mål at politiets medarbeidere har tilgang til entydige behandlingsregler (klassifisering) som sikrer at informasjonen behandles i samsvar med verdien når det gjelder konfidensialitet, integritet og tilgjengelighet. Risikostyring Risikostyring er sentralt i arbeidet med informasjonssikkerhet, og krav til informasjonssikkerhet skal settes ut fra risikobildet politiet står overfor. Risikostyring, herunder risikoanalyser, skal bidra til at politiet identifiserer balanserte, hensiktsmessige og kosteffektive sikkerhetstiltak. I politiets risikobilde vil det fremkomme risikoer som det ikke er mulig å eliminere. Det vil også fremkomme risikoer som ut fra en avveining av ulike hensyn, skal tolereres. Det skal treffes tydelige beslutninger om slike risikoer. Målet i strategiperioden er at den enkelte virksomhetsleder definerer hva som kan tolereres av risiko i egen virksomhet, basert på etatens risikotoleranse. Risikovurderinger innenfor de strategiske prioriteringsområdene skal gjennomføres. 5.2 Daglig utøvelse av informasjonssikkerhet MÅL + Politiet ivaretar informasjonssikkerhet i sin daglige virksomhet med sikkerhetsbevissthet og støtte i tilgjengelig dokumentasjon. Ledere og medarbeidere har nødvendig kompetanse og kunnskap for å ivareta informasjonssikkerhet i det daglige arbeidet. Daglig utøvelse av informasjonssikkerhet handler om å oppnå og opprettholde tilfredsstillende sikkerhetstilstand for informasjonen politiet forvalter. Dette gjelder i enhver informasjonsbehandling uavhengig av medium eller form. Sikkerhetshendelser inntreffer daglig. Målinger viser blant annet at det er høy spionasjevirksomhet mot politiet, men også at verdifull informasjon kompromitteres av politiets egne medarbeidere, bevisst og ubevisst. Det må derfor settes sterkere fokus på opplæring, kompetanseheving og bevisstgjøring. Daglig utøvelse av informasjonssikkerhet forutsetter at utførende dokumentasjon utarbeides og benyttes, at det er kompetanse og en sikkerhetskultur for etterlevelse. Utførende dokumentasjon For å oppnå en tilfredsstillende informasjonssikkerhet må medarbeiderne vite hvilke regler som gjelder for behandling av politiets informasjon og hvor reglene finnes. Det skal være raskt og enkelt å finne frem til slik dokumentasjon. Det skal heller ikke være tvil om hvilke dokumenter som gjelder. I strategiperioden skal det utarbeides utførende dokumentasjon innenfor de fire strategiske prioriteringsområdene. Kompetanse og holdninger Politiets medarbeidere er informasjonsforvalterne i politietaten. For å lykkes i det daglige sikkerhetsarbeidet er det en forutsetning at disse har nødvendig kunnskap, kompetansen og holdninger knyttet til ivaretakelse av politiets informasjonsverdier. I strategiperioden er målet at politiets medarbeidere skal ha tilstrekkelig kompetanse i informasjonssikkerhet. Dette betyr at kompetansen skal tilpasses den enkeltes rolle slik at politiet sikrer balanse mellom oppgaver, ressurser og kompetanse. Kompetansen skal bidra til at den enkelte som behandler politiets informasjon er bevisst hva som er tilfredsstillende informasjonsforvaltning med hensyn til integritet, konfidensialitet og tilgjengelighet. Ledere og medarbeidere med utpekte roller knyttet til informasjons sikkerhet skal ha nødvendig kompetanse og holdninger for å kunne forstå sitt ansvar, fatte beslutninger innen sitt myndighetsområde og utøve sin tildelte rolle. 5.3 Kontroll og kontinuerlig forbedring av informasjonssikkerhet MÅL + For å unngå brudd på regelverk, overholde kontrakts messige forpliktelser og egne krav til sikkerhet, kontrollerer politiet jevnlig sin etterlevelse gjennom interne gjennomganger (intern kontroll) og revisjoner. Resultatet benyttes slik at kontinuerlig forbedring og læring ivaretas. Politiet skal gjennom jevnlig kontroll og revisjon av styringssystemet for informasjonssikkerhet, måle etterlevelse av de føringer som er gitt. Hensikten er å legge et fundament for kontinuerlig forbedring av informasjonssikkerheten i politiet. Resultatet av dette er en del av informasjonsgrunnlaget for ledelsens gjennomgang av styringssystemet, både for politidistriktene, særorgan og Politidirektoratet. Ledelsens gjennomgang er gjennomgang av virksomhetens etablerte prosesser for styring av informasjonssikkerhet. Gjennomgang og revisjon av etterlevelse I strategiperioden er målet at virksomhetene skal etablere prosesser for kontroll av etterlevelse. Måling av etterlevelse skal skje gjennom kontroll og revisjon. For de strategiske prioriterte områdene skal dette skje årlig. Resultatene skal gjennomgås i ledelsen. Resultatene fra ledelsens gjennomgang danner grunnlag for gjennomgang på etatsnivå i politiet. Kontinuerlig forbedring gjennom læring og effektivisering Ledelsens gjennomgang skal bidra til at politiet er i stand til kontinuerlig å forbedre og effektivisere prosesser for sikkerhetsledelse. I strategiperioden er målet at forbedring av informasjonssikkerhetsnivået sikres gjennom kontinuerlig evaluering og læring. Det skal gjennomføres kontroll med etterlevelse og læring og forbedring i form av implementerte tiltak for de strategiske prioriterte områdene.

7 12 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 13 6 STRATEGISKE PRIORITERINGSOMRÅDER 7 ANSVAR FOR GJENNOMFØRING OG OPPFØLGING AV STRATEGIEN I strategiperioden skal virksomhetene ha etablert lokal sikkerhets ledelse. Virksomhetene skal også ha utarbeidet og implementert utførende dokumentasjon, samt ha gjennomført kontroll innen de strategiske prioriteringsområdene: Tilgangsstyring Styrt utveksling av informasjon IT-systemers livssyklus Avviks- og hendelseshåndtering 6.1 Tilgangsstyring Tilgangsstyring er prosessen med å kontrollere hvem som har tilgang til hvilken informasjon. Et sentralt prinsipp er at tilganger skal være basert på krav i regelverk og tjenstlig behov. Med dette menes at ansatte kun skal ha tilgang til den informasjonen de trenger for å utføre sine arbeidsoppgaver. Tilganger til politiets informasjon ved hjelp av informasjonssystemer skal kontrolleres og administreres ut fra dette prinsippet. Informasjon er en av politiets viktigste verdier og dette området er derfor sentralt i politiets kontinuerlige sikkerhetsarbeid. Tilgangsstyring omfatter politiets administrasjon av brukere, herunder personell og systemer, og deres tilgang til informasjon. 6.2 Styrt utveksling av informasjon Politiet skal ha kontroll med hvilke eksterne aktører man utveksler informasjon med, hva slags informasjon som utveksles, og på hvilken måte dette skjer. Utveksling av informasjon skal skje i samsvar med regelverk og politiets egne krav. Styrt utveksling av informasjon innebærer at politiet skal ha formelle avtaler med eksterne aktører om utvekslingen av informasjon. I strategiperioden innebærer dette at politiet skal utarbeide en oversikt over de aktører man utveksler informasjon med. Deretter skal det utarbeides avtaler med de viktigste aktørene, hvor regelmessig og hyppig utveksling av informasjon skjer. 6.3 IT-systemers livssyklus Politiet er i høy grad avhengig av informasjonsteknologi som understøtter behandling og utveksling av informasjon. Sikkerhet skal ivaretas gjennom hele IT-systemets livssyklus, fra utvikling/anskaffelse, gjennom drift og forvaltning, til avhending. Dette skal blant annet realiseres gjennom en enhetlig sikkerhetsarkitektur for IT-systemer i hele politiet. 6.4 Avviks- og hendelseshåndtering Hendelser som kan true informasjonssikkerheten skjer kontinuerlig, og politiet må derfor ha tydelige prosesser og rapporteringslinjer for å håndtere hendelser. Informasjonssikkerhetshendelser skal identifiseres, håndteres og løses raskt og effektivt slik at konsekvenser for vanlig drift minimaliseres. Hendelseshåndteringen skal søke å identifisere den grunnleggende årsaken til hendelsen. Politiet skal nyttiggjøre seg erfaringene fra hendelser i sin kontinuerlige forbedring, herunder iverksette tiltak som reduserer risikoen for tilsvarende hendelser. Politidirektøren Informasjonssikkerhetsleder for politiet Virksomhetsledere for underlagte virksomheter Lokale informasjonssikkerhetsledere Eier av denne strategien. Utøvende premissgiver for informasjonssikkerheten på vegne av politidirektøren. Ansvar for oppdatering, vedlikehold og oppfølging av strategien. Iverksette arbeid for å følge opp strategien Planlegge og iverksette lokale tiltak for å bygge opp lokalt styringssystem. Følge opp og kontinuerlig forbedre informasjonssikkerheten

8 14 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 15 8 ORD OG UTTRYKK IKT-løsning IKT-løsningers livssyklus IKT-portefølje Informasjon Informasjonssikkerhet Informasjonsverdi Integritet Kompromittering Konfidensialitet Sabotasje Spionasje Styringssystem for informasjonssikkerhet (SSIS) Tilgangsstyring Tilgjengelighet Ethvert system, enhver tjeneste eller infrastruktur for elektronisk informasjonsbehandling. Alle fasene i IKT-løsnings levetid, fra tidlig faser som konseptutvikling, kravspesifikasjoner osv. helt til systemet avhendes/fases ut. En helhetlig oversikt over IKT-løsninger. Enhver form for opplysninger i materiell eller immateriell form (sikkerhetsloven). I strategien omfatter også begrepet informasjon underlagt sikkerhetsloven. Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjonen som behandles og oppbevares. (NORSIS) Også benevnt som informasjonsaktiva. All informasjon som har verdi for virksomheten (ISO/IEC Guide :2004). Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. En av tre egenskaper for informasjonssikkerhet sammen med konfidensialitet og tilgjengelighet (NORSIS) Tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for informasjon, herunder uønsket avhending, modifisering eller ødeleggelse. Sikkerhet for at kun autoriserte personer får tilgang til sensitiv eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autentisering av personen. En av tre egenskaper for informasjonssikkerhet sammen med integritet og tilgjengelighet. (NORSIS) Tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering. (sikkerhetsloven) Innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt. (sikkerhetsloven) Den delen av det samlede styringssystemet i en virksomhet som, basert på en forretningsmessig risikotilnærming, etablerer, implementerer, drifter, overvåker, evaluerer, vedlikeholder og forbedrer informasjonssikkerhet. Tilgangsstyring er prosessen med å tildele en person, en datamaskin eller et program tillatelse til å bruke bestemte ressurser. Eksempler på en ressurs kan være filer, nettverksstasjoner, lokaler, arkivskap og prosesser. Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov. En av tre egenskaper for informasjonssikkerhet sammen med konfidensialitet og integritet. (NORSIS)

9 Politidirektoratet 02/2014 Trykk: 3000 Layout: Fete typer Illustrasjon: Fete typer Opplag: 1. opplag POD-publikasjon nr. 2014/01 ISBN

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

Direktiv Krav til sikkerhetsstyring i Forsvaret

Direktiv Krav til sikkerhetsstyring i Forsvaret Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og

Detaljer

strategi for PDMT 2011-2015

strategi for PDMT 2011-2015 strategi for PDMT 2011-2015 Politiets data- og materielltjeneste Postboks 8031 Dep NO-0030 OSLO Besøksadresse Oslo: Sørkedalsveien 27b, 0369 OSLO Besøksadresse Jaren: Rognebakken 8, 2770 JAREN Telefon:

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet Erfaringer fra tilsyn Helge Rager Furuseth Nasjonal sikkerhetsmyndighet 1 Mål for NSMs tilsyn Pådriver for bedret sikkerhetstilstand Kontrollere overholdelse av plikter Bidra til å finne forbedringspunkter

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør Felles journal Fra et samfunnssikkerhets- og beredskapsperspektiv Elisabeth Longva, avdelingsdirektør 4. mai 2017 DSB (Direktoratet for samfunnssikkerhet og beredskap) Samordningsansvar på nasjonalt nivå

Detaljer

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn VEIEN MOT 2017 Innledning Kursen for de neste årene er satt. Strategien er et verktøy for å kommunisere retning og prioriteringer internt og eksternt. Strategien er et viktig styringsdokument, og skal

Detaljer

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for Velkommen til Difis høstkonferanse om informasjonssikkerhet! Det er veldig hyggelig å se så mange. Informasjonssikkerhet har hatt et spesielt fokus nå i oktober ifbm sikkerhetsmåneden Men informasjonssikkerhet

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Strategi 2011 2015. IKT-strategi for justissektoren

Strategi 2011 2015. IKT-strategi for justissektoren Strategi 2011 2015 IKT-strategi for justissektoren Forord Jeg er opptatt av økt samhandling innad i justissektoren og med andre i forvaltningen for å oppnå målsettingen om en mer effektiv justissektor.

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner

Detaljer

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Styringsdokument for personvern, informasjonssikkerhet og beredskap Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Bilag 1 Kravspesifikasjon

Bilag 1 Kravspesifikasjon Bilag 1 Kravspesifikasjon Kundens krav til Bistanden beskrives her Om Politiets IKT-tjenester I 2014 ble Politiets IKT-tjenester (PIT) etablert som en egen organisatorisk enhet underlagt Politidirektoratet.

Detaljer

Rapportering av sikkerhetstruende hendelser til NSM

Rapportering av sikkerhetstruende hendelser til NSM (NSM) Rundskriv 1/11 Rapportering av sikkerhetstruende hendelser til NSM 1 Bakgrunn og hensikt Dette rundskrivet omhandler sikkerhetstruende hendelser som virksomheter underlagt sikkerhetsloven plikter

Detaljer

Egenevaluering av internkontrollen

Egenevaluering av internkontrollen Egenevaluering av internkontrollen Veiledning - egenevalueringsverktøy internkontroll Bakgrunn God praksis for internkontroll er beskrevet i flere rammeverk. COSO (Committee of Sponsoring Organizations

Detaljer

Barne- og likestillingsdepartementet

Barne- og likestillingsdepartementet Barne- og likestillingsdepartementet 1 Barne- og likestillingsdepartementets budsjett og regnskap for 2015 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2015 (nysaldert budsjett) Samlet bevilgning

Detaljer

Kommunikasjonspolitikk for politi- og lensmannsetaten

Kommunikasjonspolitikk for politi- og lensmannsetaten Kommunikasjonspolitikk for politi- og lensmannsetaten Prinsipper for politiets kommunikasjon Tydelig: Det skal være tydelig for innbyggerne hva politiet mener og hvem i politiet det er som kommuniserer.

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Strategier 2010-2015. StrategieR 2010 2015 1

Strategier 2010-2015. StrategieR 2010 2015 1 Strategier 2010-2015 StrategieR 2010 2015 1 En spennende reise... Med Skatteetatens nye strategier har vi lagt ut på en spennende reise. Vi har store ambisjoner om at Skatteetaten i løpet av strategiperioden

Detaljer

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

HR-STRATEGI FOR FORSVARSSEKTOREN

HR-STRATEGI FOR FORSVARSSEKTOREN HR-STRATEGI FOR FORSVARSSEKTOREN Vårt samfunnsoppdrag Eksempler Forsvarssektoren har ansvar for å skape sikkerhet for staten, befolkningen og samfunnet. Endringer i våre sikkerhetspolitiske omgivelser

Detaljer

Retningslinje for Sikkerhetsstyring og leverandørstyring innen Sikkerhetsstyring

Retningslinje for Sikkerhetsstyring og leverandørstyring innen Sikkerhetsstyring Retningslinje for Sikkerhetsstyring og 1. Hensikt Som infrastrukturforvalter har Bane NOR ansvaret for sikker utforming og sikker drift av infrastrukturen, herunder etablering og implementering av sikkerhetsstyringssystem

Detaljer

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen. Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for

Detaljer

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Samfunnssikkerhetskonferansen 6. januar 2016 Ruth Østgaard

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Kan du holde på en hemmelighet?

Kan du holde på en hemmelighet? Kan du holde på en hemmelighet? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Hvis vi ser på Norge som en eiendom passer NSM på gjerdene, E-tjenesten følger med på dem som er utenfor gjerdet, og PST

Detaljer

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014 Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk.

Detaljer

Kompetansestrategi for NAV

Kompetansestrategi for NAV Kompetansestrategi for NAV Ingar Heum Strategiseksjonen Arbeids- og velferdsdirektoratet Kompetansestrategien understøtter virksomhetsstrategien og skal bidra til at virksomhetsstrategiens målbilde realiseres.

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Leverandøren en god venn i sikkerhetsnøden?

Leverandøren en god venn i sikkerhetsnøden? Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Sykehuset Innlandet HF Styremøte 05.05.14 SAK NR 037 2014 HELHETLIG PLAN FOR VIRKSOMHETSSTYRING 2014. Forslag til VEDTAK:

Sykehuset Innlandet HF Styremøte 05.05.14 SAK NR 037 2014 HELHETLIG PLAN FOR VIRKSOMHETSSTYRING 2014. Forslag til VEDTAK: Sykehuset Innlandet HF Styremøte 05.05.14 SAK NR 037 2014 HELHETLIG PLAN FOR VIRKSOMHETSSTYRING 2014 Forslag til VEDTAK: 1. Styret tar redegjørelsen om arbeidet med å videreutvikle virksomhetsstyringen

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst

Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Godkjent av styret i Helse Sør-Øst RHF 13.03.2014 Distribusjon Revisjonsplanen distribueres til styret og styrets revisjonsutvalg, administrerende

Detaljer

Slik kan du styrke sikkerhetskulturen med kommunikasjon

Slik kan du styrke sikkerhetskulturen med kommunikasjon Slik kan du styrke sikkerhetskulturen med kommunikasjon Onar Aanestad, kommunikasjonsdirektør 19. oktober 2016 Difis høstkonferanse om informasjonssikkerhet i offentlig sektor 22. juli-kommisjonen Kommisjonens

Detaljer

Aggregering av risiko - behov og utfordringer i risikostyringen

Aggregering av risiko - behov og utfordringer i risikostyringen Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Etiske retningslinjer for folkevalgte og ansatte

Etiske retningslinjer for folkevalgte og ansatte Etiske retningslinjer for folkevalgte og ansatte Retningslinjene er et supplement til lover, forskrifter og reglement som gjelder for kommunens virksomhet. Vedtatt av kommunestyret i sak 9/13-28.02. 2013

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Personalpolitiske retningslinjer

Personalpolitiske retningslinjer Personalpolitiske retningslinjer Vedtatt av fylkestinget juni 2004 Personalpolitiske retningslinjer. Nord-Trøndelag fylkeskommunes verdigrunnlag: Nord-Trøndelag fylkeskommune er styrt av en folkevalgt

Detaljer

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Kjell Arne Knutsen Direktør DSS NSM sikkerhetskonferanse mars 2015 Formål Formidle noen nyttige erfaringer fra DSS 1. Innledning Kort om

Detaljer

Lederavtale for 2012

Lederavtale for 2012 Lederavtale for 2012 mellom divisjonsdirektør/stabsdirektør XX og administrerende direktør Morten Lang-Ree 1 Sykehuset Innlandet - Visjon og verdigrunnlag Visjon Sykehuset Innlandet skal gi gode og likeverdige

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Instruks for internrevisjon i Garanti-Instituttet for Eksportkreditt 2005 Side 1 av 5 Internrevisjonsinstruksen setter rammer

Detaljer

Strategisk plan 2012 2016. kunnskap for et tryggere samfunn

Strategisk plan 2012 2016. kunnskap for et tryggere samfunn Strategisk plan 2012 2016 kunnskap for et tryggere samfunn FOTO: Scanpix FORORD side 3 Forord Strategisk plan 2012-2016 er Politihøgskolens overordnede, styrende dokument som gir retning og angir ambisjonsnivået

Detaljer

Lederavtale for 2014

Lederavtale for 2014 Lederavtale for 2014 mellom divisjonsdirektør og avd. sjef 1 Sykehuset Innlandet - Visjon og verdigrunnlag Visjon Sykehuset Innlandet skal gi gode og likeverdige helsetjenester til alle som trenger det,

Detaljer

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK Byrådssak 1383 /15 Ny strategi for informasjonssikkerhet GOBR ESARK-1727-201525637-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en ny strategi for informasjonssikkerhet.

Detaljer

Prosjekt: Utvikling av egenkontrollen i kommunene

Prosjekt: Utvikling av egenkontrollen i kommunene Prosjekt: Utvikling av egenkontrollen i kommunene Hovedprosjekt: Utvikling av egenkontrollen i kommunene, herunder økt bruk av egenkontroll i de statlige tilsynene. Målet for prosjektet: Få til et godt

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april

Detaljer