Internkontroll i praksis (styringssystem/isms)
|
|
- Adam Larssen
- 7 år siden
- Visninger:
Transkript
1 Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi
2 Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser
3 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15
4 Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse
5 Begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!
6 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT
7 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
8 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
9 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
10 Det handler om intern styring og kontroll (internkontroll) Er et topplederansvar Er et mellomlederansvar Alle ansatte har et delansvar
11 eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet
12 eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..
13 Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak
14 Struktur på krav i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) Lederskap Planlegging Støtte/support Drift Vurdere ytelse Forbedring
15
16
17 Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC Dekke all informasjonsbehandling - utgangspunkt i eforvaltningsforskriften - vektlegge inkludering av relevante krav i annet regelverk
18
19 Høyremeny «Nyttig»
20 Hovedaktivitetene i internkontrollen/styringssystemet
21 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Delaktiviteter i den rekkefølge de er naturlige ved innføring av internkontroll / styringssystem
22 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap
23 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov
24 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Policy for infosikkerhet Retningslinje roller, ansvar, myndighet Retningslinje risikostyring Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter
25 Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig
26 Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig Ved behov
27 Hjernen i internkontrollen
28 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap Delaktiviteter - organisatorisk oppdeling av risikovurderingene
29 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Hva er risiko? Ulike metoder Ulike nivå Kritikalitet og verdi Trusler, farer og sårbarheter Sannsynlighet Konsekvens Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap
30 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Statusrapport «Trender i risikobildet nasjonalt» Statusrapport «Sikkerhetshendelser hos oss og i sektor» Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen
31 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Vernerunde infosikkerhet (enkel sjekkliste) Foranalyse (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering (fra enkel Hendelsesbank tilpasset «brukerrisikoer») Systemeiere Leverandører infrastruktur Ekspertvurderingen
32 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Foranalyse - forvaltning (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering - forvaltning (fra enkel Hendelsesbank tilpasset «risikoer i IKT-system» Anskaffelser og utvikling Tilleggsfokus (?) Leverandører infrastruktur Ekspertvurderingen
33 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Oppdeling ulike fokusområder i infrastrukturen (?) Foranalyse (Spørsmålsliste? krav, trusler og sårbarheter) Risikovurdering (hendelsesmodellering?) Ekspertvurderingen
34 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Ekspertvurderingen (fokus: det spesielt kritiske) Avansert - ofte kompetanse- og ressurskrevende metode Eks: Octave, Octave Allegro, NIST , ISO 27005, ISO metoder eller «ekspertens metode» For de få og svært kritiske systemene/tjenestene og deres infrastruktur Evt. behov avdekkes i foranalysen eller risikovurderingen til systemeiere
35 Hjertet i internkontrollen
36 Risikohåndtering (Utkast betaversjon 4.0) Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Eksisterende tiltak
37 Risikohåndtering (Utkast betaversjon 4.0) Delaktiviteter (foreløpig) Utkast risikohåndteringsplan Fellestiltak (på alle plan) Systemspesifikke tiltak (i IKT-system) Prosesspesifikke tiltak (i linjer og prosjekt) Godkjenne og finansiere prosjekt/tiltak jf. ledelsens styring og oppfølging Revidere risikohåndteringsplan og akseptere restrisiko Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Følge opp og godkjenne implementering Etterleve sikringstiltak
38 Hendene i internkontrollen
39 Kompetanse- og kulturutvikling (Ferdigstilles i betaversjon 5.0) Kunnskap Bevisstgjøring Ferdigheter og øving Kulturutvikling sjekklister prosedyrer kurs kompetanseplaner kulturutviklingstiltak
40 Læreren i internkontrollen
41 Overvåking og hendelseshåndtering (Ferdigstilles i betaversjon 5.0) Overvåking Hendelseshåndtering
42 Vakta i internkontrollen
43 Måling, evaluering og revisjon (Ferdigstilles i betaversjon 6.0) Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon
44 Kontrolløren i internkontrollen
45 Kommunikasjon (Ferdigstilles i betaversjon 6.0) Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer
46 Limet i internkontrollen
47 Internkontroll i praksis - informasjonssikkerhet
48 Internkontroll i praksis - informasjonssikkerhet
49 Fremdriftsplan Difis veiledningsmateriell Betaversjon 1.0 Grunnleggende informasjon på alle hovedaktiviteter Betaversjon 2.0 Utdypninger av «Ledelsens styring og oppfølging» + justeringer av betaversjon 1.0 for øvrig Betaversjon 2.1 Innføring av tre nivå på informasjonen i venstremeny Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer
50 Fremdriftsplan Difis veiledningsmateriell Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» og «Kommunikasjon» + justeringer Godkjent versjon 1.0
51 Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv digitalisering og informasjonsbehandling Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten
52 Internkontroll i praksis - informasjonssikkerhet
53 Kontakt oss Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerDifis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no
Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»
DetaljerDifis veiledningsmateriell, ISO 27001 og Normen
Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser
DetaljerInternkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet
Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide
DetaljerSikkert nok - Informasjonssikkerhet som strategi
Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007
DetaljerSikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet
Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerSeksjon for informasjonssikkerhet
Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.
DetaljerStyringssystem for informasjonssikkerhet et topplederansvar
Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering
DetaljerAggregering av risiko - behov og utfordringer i risikostyringen
Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerStyringssystem for informasjonssikkerhet
Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser
DetaljerFå oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling
Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter
DetaljerØyvind Grinde, seksjonssjef
Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef Brukerreise Helsekort for gravide Navnevalg Foreldrepenger Behandlingstid Digital Agenda Offentlig
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerOversikt. Remi Longva
Oversikt Remi Longva 2018-09-12 as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know.
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerGrunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerSpørreundersøkelse om informasjonssikkerhet
Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerInformasjonssikkerhet. Øyvind Rekdal, 17. mars 2015
Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerKommunikasjon med ledelsen hva kan Difi bidra med?
Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS 21.02.2018 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet»
DetaljerNIFS 16. desember 2015
NIFS 16. desember 2015 Internkontroll i praksis fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene? Dagens agenda Tid Agendapunkt Ansvarlig 10:00 Velkommen og nytt fra
DetaljerRisikovurdering - sett fra ISO og informasjonssikkerhet
Risikovurdering - sett fra ISO og informasjonssikkerhet DFØs samarbeidsforum 21.06.2016 Jan Sørgård, Seniorrådgiver Difi BAKGRUNN Internkontroll og risikostyring «god praksis» Rammeverk og standarder:
DetaljerGrunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Interkontroll i praksis - informasjonssikkerhet
DetaljerInternkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi
Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerRevisjon av IT-sikkerhetshåndboka
Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerAnbefalte delaktiviteter og dokumentasjon
Støttedokument Dette er en samlet oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er en punktvis versjon laget for å
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerAnbefalte delaktiviteter og dokumentasjon Støttedokument
Støttedokument Dette er en oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er laget for å gi støtte under aktivitetene
DetaljerOm respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):
Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens
DetaljerStrategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerSikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013
Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig
DetaljerGuri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET
Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens
DetaljerOrden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.
Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019 Orden i eget hus + styring og kontroll Hva er informasjonssikkerhet?
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerJorunn Bødtker Norsk Arkivråds seminar 20. mars 2018
Nye arkivforskrifter arkivplan og internkontroll Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018 Norsk Arkivråd, 2018 Hva gjør vi med arkivplanen og internkontroll spesielt for stat De nye forskriftene
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerInformasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet
Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerNS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester
NS-EN 15224 Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester NS-EN 15224 LEDELSESSYSTEMER FOR KVALITET NS-EN ISO 9001 FOR HELSE- OG OMSORGSTJENESTER Krav til systematiske metoder
DetaljerRaskere digitalisering med god sikkerhet. Evry
Raskere digitalisering med god sikkerhet Evry 18.03.2019 Zoya Shah Seniorrådgiver Avdeling for digital transformasjon Seksjon for informasjonssikkerhet Hvem er Difi Stortinget Regjeringen Kommunal- og
DetaljerByrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK
Byrådssak 1383 /15 Ny strategi for informasjonssikkerhet GOBR ESARK-1727-201525637-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en ny strategi for informasjonssikkerhet.
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerInformasjonssikkerhet - konsernprosedyre
Prosedyre Godkjent av: Boe, Karsten Side: 1 av 8 1. Mål og hensikt Konsernprosedyre Informasjonssikkerhet er forankret i konsernstandarder for hhv. sikkerhetsstyring og for kvalitetsstyring. Formålet er
DetaljerOppfølging av informasjonssikkerheten i UH-sektoren
Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge
DetaljerStyringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583
Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 Rapport 2012:15 ISSN 1890-6583 Forord Digitalisering er et viktig virkemiddel for å få en effektiv
DetaljerDepartementenes oppfølging av informasjonssikkerheten i underliggende virksomheter
Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet,
DetaljerInternkontroll for arkiv den nye arkivplanen?
Kristine Synnøve Brorson, Senior Consulting Manager Sopra Steria Norsk Arkivråds Høstseminar 19.10.2017 Delivering Transformation. Together. Internkontroll for arkiv 1. Hva? 2. Hvorfor? 3. Hvordan? 2 1.
DetaljerFra sikkerhetsledelse til handling ambisjoner og forventninger
Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4 Forventninger Statlige universiteter og høyskoler skal etterleve
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerSUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)
SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre
DetaljerRisiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014
Risiko og sårbarhet knyttet til internkontroll Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014 1 Tema Hva er god ledelse av det kommunale barnevernet og av sosiale tjenester i
DetaljerRevisjon av anbefalte standarder for styringssystem for informasjonssikkerhet
Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig
DetaljerErfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerRisikobasert arbeid med personvern
Risikobasert arbeid med personvern Tirsdag 6. november 2018 Grev Wedels plass 9 infosikkerhet@difi.no Velkommen Tidspunkt Tema Foredragsholder 09:30 Kaffe 10:00 Velkommen Svanhild Gundersen - Difi 10:05
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerCYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?
CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL? Annette Tjaberg Assisterende direktør Nasjonal sikkerhetsmyndighet Oslo 14. november 2017 SLIDE 1 IKT-RISIKOBILDET SLIDE 2 DET
DetaljerHøringssvar - Forslag til ny pasientjournallov og ny helseregisterlov
Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag
DetaljerUtredning av standarder for styring av informasjonssikkerhet
Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling
DetaljerTransportkonferansen Ledelsessystemer, ISO-sertifisering
Transportkonferansen 2017 Ledelsessystemer, ISO-sertifisering Innhold - Kort info om Kiwa TI-Sertifisering - ISO 9000-familien, intensjon og oppbygging - Prosess- og risikobasert ledelsessystem, praktisk
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerGDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet
GDPR ny personvernforordning Styring via godt arbeid med informasjonssikkerhet Trender og Det Store Kappløpet GDPR og NYPE??? GDPR i nye Asker Arbeid med informasjonssikkerhet Det store kappløpet Brannmur
DetaljerArbeidet med informasjonssikkerhet i statsforvaltningen
Difi-rapport ISSN 1890-6583 2018:4 Arbeidet med informasjonssikkerhet i statsforvaltningen Kunnskapsgrunnlag Forord Direktoratet for forvaltning og ikt (Difi) har på oppdrag fra Kommunal- og moderniseringsdepartementet
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerUndersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4
Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 ID Spørsmål Svar A Styring og kontroll i virksomheten A.1 Hvilke standarder, rammeverk og
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang
DetaljerSikkerhetsforum 2018
Sikkerhetsforum 2018 Kunnskapsdepartementets tjenesteorgan Sekretariat for informasjonssikkerhet I UH-sektoren Rolf Sture Normann Litt status fra 2017 GDPR Veileder om krav til informasjonssikkerhet I
DetaljerISO27001 som del av forvaltningen
ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden
Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerDigital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland
Digital pasientsikkerhet, Normen og litt velferdsteknologi Stavanger 4. juni 2019 Aasta Margrethe Hetland Veien til toppen av agendaen «Dødelig personvern» digital pasientsikkerhet? Diskusjonen i media
DetaljerUtkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,
Utkast instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 08.12.2010 Innhold 1 Internrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver...
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
DetaljerEDB Business Partner. Sikkerhetskontroller / -revisjoner
EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate
DetaljerBerit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK
Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO 45001 LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK Historien bak ISO 45001 2000 2007 2018 1. utgave OHSAS 18001:1999 Ny
DetaljerEt revisjonsblikk på internkontroll
Et revisjonsblikk på internkontroll Ekspedisjonssjef Jens Gunvaldsen Riksrevisjonen PSC INTOSAI Professional Standards Committee Utgangspunkt I: Early history of internal control Internal controls have
DetaljerNy sikkerhetslov og forskrifter
Ny sikkerhetslov og forskrifter Endre Waldal 13.02.19 Innhold Hvorfor ny sikkerhetslov? Kartlegging av virkeområde Hva innebærer det å bli underlagt ny sikkerhetslov? Oppbygning av regelverket Risikovurdering
DetaljerRevisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Arbeidstilsynet
Revisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Arbeidstilsynet Mottaker: Arbeids- og sosialdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold
DetaljerDIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING
DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING Fagutvalg for informasjonssikkerhet Møte 5 2019-05-15 Agenda SAK 1 HANDLINGSPLAN FOR DIGITALISERING: VEIEN VIDERE Handlingsplan
Detaljer1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2
Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område
DetaljerRapport Revisjon forskning Revmatismesykehuset AS
Rapport Revisjon forskning Revmatismesykehuset AS Internrevisjonen Helse Øst 10.01.2007 Rapport nr. 21-2006 Revisjonsperiode August-oktober 2006 Virksomhet Rapportmottaker Kopi Rapportavsender Oppdragsgiver
DetaljerKapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27
Forord Eldar Lorentzen Lillevik... 13 Forord... 15 Kapittel 1 Hva er datasikkerhet?... 17 1.1 Dagens situasjon... 18 1.2 Datasikkerhet... 25 1.3 Ledelse... 27 Kapittel 2 Trusler på internett... 31 2.1
DetaljerInternkontroll i Gjerdrum kommune
Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerHva er sikkerhet for deg?
Sikkerhet Hva er sikkerhet for deg? Foto: Rune Kilden Foto: Øystein Grue Bane NORs sikkerhetspolitikk Bane NOR arbeider systematisk for kontinuerlig forbedring av sikkerheten, for å unngå skade på menneske,
Detaljer