Internkontroll i praksis (styringssystem/isms)

Transkript

1 Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi

2 Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser

3 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15

4 Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse

5 Begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!

6 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT

7 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

8 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

9 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

10 Det handler om intern styring og kontroll (internkontroll) Er et topplederansvar Er et mellomlederansvar Alle ansatte har et delansvar

11 eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet

12 eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..

13 Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak

14 Struktur på krav i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) Lederskap Planlegging Støtte/support Drift Vurdere ytelse Forbedring

15

16

17 Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC Dekke all informasjonsbehandling - utgangspunkt i eforvaltningsforskriften - vektlegge inkludering av relevante krav i annet regelverk

18

19 Høyremeny «Nyttig»

20 Hovedaktivitetene i internkontrollen/styringssystemet

21 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Delaktiviteter i den rekkefølge de er naturlige ved innføring av internkontroll / styringssystem

22 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap

23 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov

24 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Policy for infosikkerhet Retningslinje roller, ansvar, myndighet Retningslinje risikostyring Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter

25 Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig

26 Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig Ved behov

27 Hjernen i internkontrollen

28 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap Delaktiviteter - organisatorisk oppdeling av risikovurderingene

29 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Hva er risiko? Ulike metoder Ulike nivå Kritikalitet og verdi Trusler, farer og sårbarheter Sannsynlighet Konsekvens Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap

30 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Statusrapport «Trender i risikobildet nasjonalt» Statusrapport «Sikkerhetshendelser hos oss og i sektor» Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen

31 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Vernerunde infosikkerhet (enkel sjekkliste) Foranalyse (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering (fra enkel Hendelsesbank tilpasset «brukerrisikoer») Systemeiere Leverandører infrastruktur Ekspertvurderingen

32 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Foranalyse - forvaltning (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering - forvaltning (fra enkel Hendelsesbank tilpasset «risikoer i IKT-system» Anskaffelser og utvikling Tilleggsfokus (?) Leverandører infrastruktur Ekspertvurderingen

33 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Oppdeling ulike fokusområder i infrastrukturen (?) Foranalyse (Spørsmålsliste? krav, trusler og sårbarheter) Risikovurdering (hendelsesmodellering?) Ekspertvurderingen

34 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Ekspertvurderingen (fokus: det spesielt kritiske) Avansert - ofte kompetanse- og ressurskrevende metode Eks: Octave, Octave Allegro, NIST , ISO 27005, ISO metoder eller «ekspertens metode» For de få og svært kritiske systemene/tjenestene og deres infrastruktur Evt. behov avdekkes i foranalysen eller risikovurderingen til systemeiere

35 Hjertet i internkontrollen

36 Risikohåndtering (Utkast betaversjon 4.0) Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Eksisterende tiltak

37 Risikohåndtering (Utkast betaversjon 4.0) Delaktiviteter (foreløpig) Utkast risikohåndteringsplan Fellestiltak (på alle plan) Systemspesifikke tiltak (i IKT-system) Prosesspesifikke tiltak (i linjer og prosjekt) Godkjenne og finansiere prosjekt/tiltak jf. ledelsens styring og oppfølging Revidere risikohåndteringsplan og akseptere restrisiko Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Følge opp og godkjenne implementering Etterleve sikringstiltak

38 Hendene i internkontrollen

39 Kompetanse- og kulturutvikling (Ferdigstilles i betaversjon 5.0) Kunnskap Bevisstgjøring Ferdigheter og øving Kulturutvikling sjekklister prosedyrer kurs kompetanseplaner kulturutviklingstiltak

40 Læreren i internkontrollen

41 Overvåking og hendelseshåndtering (Ferdigstilles i betaversjon 5.0) Overvåking Hendelseshåndtering

42 Vakta i internkontrollen

43 Måling, evaluering og revisjon (Ferdigstilles i betaversjon 6.0) Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon

44 Kontrolløren i internkontrollen

45 Kommunikasjon (Ferdigstilles i betaversjon 6.0) Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer

46 Limet i internkontrollen

47 Internkontroll i praksis - informasjonssikkerhet

48 Internkontroll i praksis - informasjonssikkerhet

49 Fremdriftsplan Difis veiledningsmateriell Betaversjon 1.0 Grunnleggende informasjon på alle hovedaktiviteter Betaversjon 2.0 Utdypninger av «Ledelsens styring og oppfølging» + justeringer av betaversjon 1.0 for øvrig Betaversjon 2.1 Innføring av tre nivå på informasjonen i venstremeny Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer

50 Fremdriftsplan Difis veiledningsmateriell Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» og «Kommunikasjon» + justeringer Godkjent versjon 1.0

51 Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv digitalisering og informasjonsbehandling Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten

52 Internkontroll i praksis - informasjonssikkerhet

53 Kontakt oss Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no