Internkontroll i praksis (styringssystem/isms)

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Internkontroll i praksis (styringssystem/isms)"

Transkript

1 Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi

2 Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser

3 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15

4 Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse

5 Begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!

6 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT

7 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

8 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

9 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

10 Det handler om intern styring og kontroll (internkontroll) Er et topplederansvar Er et mellomlederansvar Alle ansatte har et delansvar

11 eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet

12 eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..

13 Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak

14 Struktur på krav i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) Lederskap Planlegging Støtte/support Drift Vurdere ytelse Forbedring

15

16

17 Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC Dekke all informasjonsbehandling - utgangspunkt i eforvaltningsforskriften - vektlegge inkludering av relevante krav i annet regelverk

18

19 Høyremeny «Nyttig»

20 Hovedaktivitetene i internkontrollen/styringssystemet

21 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Delaktiviteter i den rekkefølge de er naturlige ved innføring av internkontroll / styringssystem

22 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap

23 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov

24 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Policy for infosikkerhet Retningslinje roller, ansvar, myndighet Retningslinje risikostyring Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter

25 Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig

26 Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig Ved behov

27 Hjernen i internkontrollen

28 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap Delaktiviteter - organisatorisk oppdeling av risikovurderingene

29 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Hva er risiko? Ulike metoder Ulike nivå Kritikalitet og verdi Trusler, farer og sårbarheter Sannsynlighet Konsekvens Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap

30 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Statusrapport «Trender i risikobildet nasjonalt» Statusrapport «Sikkerhetshendelser hos oss og i sektor» Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen

31 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Vernerunde infosikkerhet (enkel sjekkliste) Foranalyse (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering (fra enkel Hendelsesbank tilpasset «brukerrisikoer») Systemeiere Leverandører infrastruktur Ekspertvurderingen

32 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Foranalyse - forvaltning (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering - forvaltning (fra enkel Hendelsesbank tilpasset «risikoer i IKT-system» Anskaffelser og utvikling Tilleggsfokus (?) Leverandører infrastruktur Ekspertvurderingen

33 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Oppdeling ulike fokusområder i infrastrukturen (?) Foranalyse (Spørsmålsliste? krav, trusler og sårbarheter) Risikovurdering (hendelsesmodellering?) Ekspertvurderingen

34 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Ekspertvurderingen (fokus: det spesielt kritiske) Avansert - ofte kompetanse- og ressurskrevende metode Eks: Octave, Octave Allegro, NIST , ISO 27005, ISO metoder eller «ekspertens metode» For de få og svært kritiske systemene/tjenestene og deres infrastruktur Evt. behov avdekkes i foranalysen eller risikovurderingen til systemeiere

35 Hjertet i internkontrollen

36 Risikohåndtering (Utkast betaversjon 4.0) Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Eksisterende tiltak

37 Risikohåndtering (Utkast betaversjon 4.0) Delaktiviteter (foreløpig) Utkast risikohåndteringsplan Fellestiltak (på alle plan) Systemspesifikke tiltak (i IKT-system) Prosesspesifikke tiltak (i linjer og prosjekt) Godkjenne og finansiere prosjekt/tiltak jf. ledelsens styring og oppfølging Revidere risikohåndteringsplan og akseptere restrisiko Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Følge opp og godkjenne implementering Etterleve sikringstiltak

38 Hendene i internkontrollen

39 Kompetanse- og kulturutvikling (Ferdigstilles i betaversjon 5.0) Kunnskap Bevisstgjøring Ferdigheter og øving Kulturutvikling sjekklister prosedyrer kurs kompetanseplaner kulturutviklingstiltak

40 Læreren i internkontrollen

41 Overvåking og hendelseshåndtering (Ferdigstilles i betaversjon 5.0) Overvåking Hendelseshåndtering

42 Vakta i internkontrollen

43 Måling, evaluering og revisjon (Ferdigstilles i betaversjon 6.0) Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon

44 Kontrolløren i internkontrollen

45 Kommunikasjon (Ferdigstilles i betaversjon 6.0) Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer

46 Limet i internkontrollen

47 Internkontroll i praksis - informasjonssikkerhet

48 Internkontroll i praksis - informasjonssikkerhet

49 Fremdriftsplan Difis veiledningsmateriell Betaversjon 1.0 Grunnleggende informasjon på alle hovedaktiviteter Betaversjon 2.0 Utdypninger av «Ledelsens styring og oppfølging» + justeringer av betaversjon 1.0 for øvrig Betaversjon 2.1 Innføring av tre nivå på informasjonen i venstremeny Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer

50 Fremdriftsplan Difis veiledningsmateriell Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» og «Kommunikasjon» + justeringer Godkjent versjon 1.0

51 Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv digitalisering og informasjonsbehandling Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten

52 Internkontroll i praksis - informasjonssikkerhet

53 Kontakt oss Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Sikkert nok - Informasjonssikkerhet som strategi

Sikkert nok - Informasjonssikkerhet som strategi Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Aggregering av risiko - behov og utfordringer i risikostyringen

Aggregering av risiko - behov og utfordringer i risikostyringen Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter

Detaljer

Øyvind Grinde, seksjonssjef

Øyvind Grinde, seksjonssjef Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef Brukerreise Helsekort for gravide Navnevalg Foreldrepenger Behandlingstid Digital Agenda Offentlig

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

NIFS 16. desember 2015

NIFS 16. desember 2015 NIFS 16. desember 2015 Internkontroll i praksis fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene? Dagens agenda Tid Agendapunkt Ansvarlig 10:00 Velkommen og nytt fra

Detaljer

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Interkontroll i praksis - informasjonssikkerhet

Detaljer

Risikovurdering - sett fra ISO og informasjonssikkerhet

Risikovurdering - sett fra ISO og informasjonssikkerhet Risikovurdering - sett fra ISO og informasjonssikkerhet DFØs samarbeidsforum 21.06.2016 Jan Sørgård, Seniorrådgiver Difi BAKGRUNN Internkontroll og risikostyring «god praksis» Rammeverk og standarder:

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Anbefalte delaktiviteter og dokumentasjon

Anbefalte delaktiviteter og dokumentasjon Støttedokument Dette er en samlet oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er en punktvis versjon laget for å

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013 Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig

Detaljer

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK Byrådssak 1383 /15 Ny strategi for informasjonssikkerhet GOBR ESARK-1727-201525637-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en ny strategi for informasjonssikkerhet.

Detaljer

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583 Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 Rapport 2012:15 ISSN 1890-6583 Forord Digitalisering er et viktig virkemiddel for å få en effektiv

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig

Detaljer

Internkontroll for arkiv den nye arkivplanen?

Internkontroll for arkiv den nye arkivplanen? Kristine Synnøve Brorson, Senior Consulting Manager Sopra Steria Norsk Arkivråds Høstseminar 19.10.2017 Delivering Transformation. Together. Internkontroll for arkiv 1. Hva? 2. Hvorfor? 3. Hvordan? 2 1.

Detaljer

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Fra sikkerhetsledelse til handling ambisjoner og forventninger Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4 Forventninger Statlige universiteter og høyskoler skal etterleve

Detaljer

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet,

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO) SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre

Detaljer

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014 Risiko og sårbarhet knyttet til internkontroll Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014 1 Tema Hva er god ledelse av det kommunale barnevernet og av sosiale tjenester i

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

ISO27001 som del av forvaltningen

ISO27001 som del av forvaltningen ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor

Detaljer

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL? CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL? Annette Tjaberg Assisterende direktør Nasjonal sikkerhetsmyndighet Oslo 14. november 2017 SLIDE 1 IKT-RISIKOBILDET SLIDE 2 DET

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 ID Spørsmål Svar A Styring og kontroll i virksomheten A.1 Hvilke standarder, rammeverk og

Detaljer

Transportkonferansen Ledelsessystemer, ISO-sertifisering

Transportkonferansen Ledelsessystemer, ISO-sertifisering Transportkonferansen 2017 Ledelsessystemer, ISO-sertifisering Innhold - Kort info om Kiwa TI-Sertifisering - ISO 9000-familien, intensjon og oppbygging - Prosess- og risikobasert ledelsessystem, praktisk

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, Utkast instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 08.12.2010 Innhold 1 Internrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver...

Detaljer

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo, Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet

Detaljer

Et revisjonsblikk på internkontroll

Et revisjonsblikk på internkontroll Et revisjonsblikk på internkontroll Ekspedisjonssjef Jens Gunvaldsen Riksrevisjonen PSC INTOSAI Professional Standards Committee Utgangspunkt I: Early history of internal control Internal controls have

Detaljer

Rammeverk for risikostyring i Helse Midt-Norge

Rammeverk for risikostyring i Helse Midt-Norge Rammeverk for risikostyring i Helse Midt-Norge Versjon 1.0 Godkjent i ledergruppen Helse Midt-Norge 29.03.16 Innhold Rammeverk for risikostyring i Helse Midt-Norge... 3 Innledning... 3 DEL 1 RAMMEVERK

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert

Detaljer

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for Velkommen til Difis høstkonferanse om informasjonssikkerhet! Det er veldig hyggelig å se så mange. Informasjonssikkerhet har hatt et spesielt fokus nå i oktober ifbm sikkerhetsmåneden Men informasjonssikkerhet

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni 2016 SAK NR 22-2016 Risikovurdering, internkontroll og avvik Forslag til vedtak: 1. Styret

Detaljer

Regelverk for digital kommunikasjon i og med forvaltningen

Regelverk for digital kommunikasjon i og med forvaltningen Regelverk for digital kommunikasjon i og med forvaltningen Jon Holden, Difi Fagforbundets fagdager 3.-4. september 2014 jho@difi.no To hovedspørsmål Hvem kan/skal/skal ikke kommunisere digitalt med forvaltningen?

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Helhetlig styringssystem

Helhetlig styringssystem Helhetlig styringssystem Case: Om utviklingen og innføringen av et helhetlig virksomhetsstyringssystem i Husbanken Per Erik Torp seniorrådgiver 30. april 2008 1 Husbanken - organisering 30. april 2008

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo, Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

Internkontroll i Gjerdrum kommune

Internkontroll i Gjerdrum kommune Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet

Detaljer

Informasjonssikkerhet og ISO 27001

Informasjonssikkerhet og ISO 27001 Informasjonssikkerhet og ISO 27001 Erfaringer fra Asker kommune Asker - Norges største bygd 11. største norske kommune 59.000 innbyggere Beste karakterer på avgangsklassene i 10.klasse 2014 Beste servicekommune

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Styringssystem basert på ISO 27001

Styringssystem basert på ISO 27001 Styringssystem basert på ISO 27001 Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Forebygging av misligheter og korrupsjon

Forebygging av misligheter og korrupsjon Forebygging av misligheter og korrupsjon Krever aktive ledere Erkjenne risiko Etablere tiltak og sjekke etterlevelse Gode rollemodeller Fokus på regelverk og etiske retningslinjer Økt fokus på inntekter:

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Reidulf Fonn, seniorrådgiver Incident Response Team (IRT) heldagskurs, UNINETT fagdager 2017, 2. mai Departementets

Detaljer

Kontinuitet for IKT systemer

Kontinuitet for IKT systemer Kontinuitet for IKT systemer Innledning til kontinuitetsplanlegging for IKT Rolf Sture Normann, CSO UNINETT AS Introduksjon IKT og andre automatiserte systemer er sentrale i de fleste organisasjoner i

Detaljer

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Statsbudsjettet 2016 tildelingsbrev Rikskonsertene

Statsbudsjettet 2016 tildelingsbrev Rikskonsertene Rikskonsertene Postboks 4261 Nydalen 0401 OSLO Deres ref Vår ref Dato 16/990-22.02.2016 Statsbudsjettet 2016 tildelingsbrev Rikskonsertene Brevet er disponert i følgende deler: 1. Budsjettrammer 2. Mål

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Revisjon av ISO 14001

Revisjon av ISO 14001 Miljø- og klimaforum, 4. juni 2014 Revisjon av ISO 14001 V/KNUT JONASSEN, STANDARD NORGE Hovedpunkter Styringssystemer: ISO 9001 og ISO 14001 Bakgrunnen for revisjonen Spesielle utfordringer Felles struktur

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Gustav Birkeland, seniorrådgiver IRT: Nettverkssamling for hendelsesresponsteam i UH-sektoren, UNINETT fagsamling

Detaljer

UNINETT-konferansen 2017

UNINETT-konferansen 2017 UNINETT-konferansen 2017 Erfaringer fra Sekretariatet for informasjonssikkerhet: landet rundt med ledelsessystem Rolf Sture Normann, leder Sekretariat for informasjonssikkerhet i UH -sektoren Startet i

Detaljer

Risikobildet - forvaltningsområder. Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009.

Risikobildet - forvaltningsområder. Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009. Risikobildet - forvaltningsområder Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009. Risikobilde Forvaltningsområdet Utgangspunktet E&Ys risikovurdering

Detaljer

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017 GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,

Detaljer

Veileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960

Veileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960 Veileder og verktøy for internkontroll i offentlige anskaffelser Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960 Difi har utarbeidet veileder og verktøy implementering av internkontroll Bakgrunn:

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Hva er et miljøledelsessystem?

Hva er et miljøledelsessystem? Hva er et miljøledelsessystem? o Integrert rutiner i styringssystemene for å sikre o Oversikt over virksomhetens miljøbelastning/risiko o Lovlig drift o Mer miljøeffektivitet (dvs. mindre miljøbelastning

Detaljer