1. Styringssystemet for informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "1. Styringssystemet for informasjonssikkerhet"

Transkript

1 Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Styringssystemet for informasjonssikkerhet Greta Hjertø (revidert av Bjørn Klefstad) Lærestoffet er utviklet for faget Informasjonssikkerhetsstyring 1. Styringssystemet for informasjonssikkerhet Resymé: I denne leksjonen skal vi se nærmere på styringssystemet for informasjonssikkerhet.vi skal diskutere hva det er og hva det inneholder og hvilken struktur det kan ha. I tillegg ser vi nærmere på noen standarder for styringssystemer, både styringssystemer generelt og styringssystemer for sikkerhetssystemer Innhold 1. STYRINGSSYSTEMET FOR INFORMASJONSSIKKERHET INNHOLD INNLEDNING Referanser Læringsutbytter Å lese: ISMS ER EN DEL AV BEDRIFTENS KVALITETSSYSTEM DET FORMELLE OG DET UFORMELLE KVALITETSSYSTEMET STANDARDER FOR ISMS ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet ISO Informasjonsikkerhetsstyring Retningslinjer for hvordan vi etablerer informasjonssikkerhetsstyringssystemer Hvorfor bygger ISO27001 på prinsippene i Demingsirkelen? Et alternativ til ISO 27002? Standarden ISO Enda noen standarder Å STRUKTURERE OG DOKUMENTERE ET ISMS DEN PAPIRLØSE HÅNDBOKEN OPPSUMMERING HOVEDPUNKTENE I LEKSJONEN... 14

2 Styringssystemet for informasjonssikkerhet side 2 av Innledning Som vi sa i introduksjonen, skal vi i dette faget følge arbeidet med å få på plass et styringssystem for informasjonssikring. Vi har introdusert forkortelsen ISMS for styringssystemet, fordi det er et begrep som brukes på engelsk og som er kjent i litteraturen. Vi kommer til å bruke denne forkortelsen videre. Oppgaven vår i dette faget er for det første å kunne vurdere hvilke behov en konkret bedrift har for å beskytte informasjonen. Deretter skal vi, med utgangspunkt i behovet, kunne velge de riktige tiltakene, slik at vi i tilstrekkelig grad beskytter integriteten, konfidensialiteten og tilgjengeligheten for bedriftens informasjonsressurser. Før arbeidet starter, må vi imidlertid vite hva det er vi skal etablere. Vi skal derfor i denne leksjonen starte med å se nærmere på hva et ISMS egentlig er for noe. Leksjonen behandler følgende tema: - ISMS, bedriftens kvalitetssystem og ISO 9000:2000-serien - Standardene ISO27001 og 27002, og forholdet mellom dem - Formelle og uformelle styringssystemer - Dokumentstrukturen i styringssystemet Tørt stoff? Ja vi kan sikkert være enige om det. Men dette må du forstå hvis du skal gjøre en god jobb med resten Referanser Tore Berg Hansen, Greta Hjertø: Kvalitet og programvareutvikling Gyldendal Her vil du finne mer om kvalitetssystemet og om prinsipper for kvalitetsforbedring. Dette er ikke pensum. NorSIS Norsk senter for informasjonssikkerhet. Ikke direkte pensum men en viktig kilde til informasjon i denne sammenhengen. NorCERT - Norges nasjonale senter for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Ikke direkte pensum men en viktig kilde til informasjon i denne sammenhengen. Nasjonal sikkerhetsmyndighet - er fagmyndigheten som skal koordinere forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden i de virksomheter som omfattes av sikkerhetsloven. Ikke direkte pensum men en viktig kilde til informasjon i denne sammenhengen Læringsutbytter Når du har vært igjennom denne leksjonen og øvingen skal du - Kunne forklare hva et ISMS er for noe, og forstå hvilken rolle det har i styring av bedriften - Kjenne ISO 9000:2000-serien og hva den brukes til, og forstå hvorfor vi trekker den inn i en diskusjon om ISMS.

3 Styringssystemet for informasjonssikkerhet side 3 av 14 - Vite at kontinuerlig forbedring og prosesstankegangen står sentralt i ISO-standarden, og kunne forklare hvorfor vi legger opp arbeidet med sikkerhetsledelse etter disse prinsippene. - Kjenne til standardene ISO og og forholdet mellom dem, og kunne bruke dem for å få på plass et ISMS for en konkret bedrift - Kunne legge opp strukturen for ISMS for en konkret bedrift Å lese: Håndbok i datasikkerhet: informasjonsteknologi og risikostyring Kapittel 4. Dette er pensum. Hvis du har tilgang til ISO 9000: 2000-serien, kan du lese kapittel 1 og 2 i ISO 9000:2000, disse kapitlene forklarer de prinsippene denne serien legger til grunn for oppbygging av bedriftens kvalitetssystem. Dette er støttelitteratur. Hvis du har tilgang til ISO27001, kan du lese kapitlene 1-4. Dette er støttelitteratur ISMS er en del av bedriftens kvalitetssystem Før vi går nærmere inn på styringssystemet for informasjonssikring, må se nærmere på bedriftens kvalitetssystem. Spørsmålet er hva er et kvalitetssystem og hva har det med informasjonssikkerhet å gjøre? Kortfattet kan vi definere et kvalitetssystem slik, hentet fra ISO 9000:2000 (mer om denne standarden senere): styringssystem for å rettlede og styre en organisasjon når det gjelder kvalitet Når vi studerer standardens prinsipper for dette styringssystemet, vil vi se at det omfatter hele bedriften. Standarden sier at bedriften styres gjennom fire hovedprosesser: ledelsens ansvar ressursstyring realisering av produkt måling, analyse og forbedring For hver av hovedprosessene inneholder standarden krav til hvilke styringselementer som må være på plass. I tillegg gir den noen overordnede prinsipper for styring, her er de viktigste for oss: - sterkt kundefokus - toppledelsens klare engasjement - prosesstankegangen, dvs en systematisk identifisering og styring av bedriftens prosesser og spesielt samspillet mellom dem - at prosessene skal kontinuerlig forbedres, basert på faktiske hendelser

4 Styringssystemet for informasjonssikkerhet side 4 av 14 Enhver bedrift har et kvalitetssystem. Men det er ikke sikkert det er oppbygd etter kravene i verken ISO-standarden eller andre standarder. Kvalitetssystemet er samlingen av de elementene som ledelsen innfører i bedriften rett og slett for å kunne styre den. I en liten bedrift finner vi antagelig ikke noe formelt system. Her vil vi finne vår måte eller slik gjør vi det her. Antagelig er vår måte heller ikke skrevet ned, men finnes i ledelsens hode og formidles i det daglige i den direkte kontakten. Når en bedrift vokser og får flere ansatte, vil det etter hvert være nødvendig å skrive ned noe regler for hvordan ting skal gjøres, få på plass noen jobbeskrivelser og bli enige om noen standarder. Hensikten er å sikre at alle gjør det de skal, at det er en viss orden i bedriften og at ressursene utnyttes på best mulig måte. Jo større bedriften er, jo mer øker behovet for systematikk og dokumentasjon. I en stor bedrift vil vi finne et temmelig omfattende, formelt og dokumentert system. En slik bedrift kan ikke fungere uten et formelt og dokumentert styringssystem. Det er ikke sikkert bedriften kaller det et kvalitetssystem, men vær sikker kvalitetssystemet er der. Skal dette kvalitetssystemet være effektivt, må det inneholde de riktige elementene, det må ha en struktur som gjør innholdet lett tilgjengelig og det må holdes oppdatert. Det er her ulike standarder kommer til nytte. Ved å følge en standard får bedriften en modell som viser en anerkjent måte å bygge opp systemet på. En standard gir ingen fasitsvar på hvordan en virksomhet skal styres, men den setter opp en del viktige krav til hva styringssystemet bør omfatte. Med andre ord hva bedriften skal ha regler for. Grunnen til at vi diskuterer dette her, er at ISMS har sin naturlige plass innenfor kvalitetssystemet. En bedrift kan ikke styres mot å ha kvalitet i alle ledd, slik ISO-standardene legger opp til, uten at den også har nødvendig fokus på arbeidet med informasjonssikkerhet. Når vi skal diskutere utvikling og innføring av et hensiktsmessig ISMS for en bedrift, er det derfor naturlig at vi starter med de prinsippene som gjelder for det overordnede systemet som ISMS er en del av. Vi summerer opp: Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil, som for kvalitetssystemet, avhenge av bedriftens behov Det formelle og det uformelle kvalitetssystemet La oss se litt nærmere på det formelle og det uformelle kvalitetssystemet. Det totale kvalitetssystemet i en bedrift alltid vil bestå av tre delsystemer:

5 Styringssystemet for informasjonssikkerhet side 5 av 14 Uformelt K-system Formalisert K-system Dokumentert K-system Kjernen er det dokumenterte systemet. Det omfatter alt som er formalisert og dokumentert. Hvis vi går til en bedrifts styrende dokumenter, kvalitetshåndbøker, stillingsinstrukser og så videre, er alt dette deler av det dokumenterte systemet. Det dokumenterte systemet er lett å få øye på. Dette er det formelle i organisasjonen. Det er ledelsens intensjoner vi finner her. Som nyansatt i en bedrift vil vi kunne sette oss ned med en rekke håndbøker og ganske raskt bli kjent med det dokumenterte styringssystemet. Tar vi med oss neste delsystem, har vi det formaliserte systemet. I tillegg til det dokumenterte systemet består det av alt som er formalisert i bedriftens behandling av ulike styringsspørsmål, selv om det ikke er dokumentert. Eksempel kan være ledermøtet, hvor kvalitetsspørsmål eller informasjonssikkerhet regelmessig er satt på agendaen, og det kan være medarbeidersamtaler, hvor man blir enige om kvalitetsmål for medarbeiderne eller medarbeiderens holdning til sikkerhet blir vurdert. Tar vi med også det uformelle, får vi Det i praksis fungerende systemet. Det omfatter alt slik gjør vi det hos oss. Det vil si både det formaliserte systemet og i tillegg alt uformelt arbeid som angår styringen av bedriften. Den ytre ringen i det i praksis fungerende systemet er svært viktig. Her finner vi organisasjonens kultur og verdier. Her finner vi normer, ritualer, holdninger og regler for adferd som ikke lar seg dokumentere i form av prosedyrer og instrukser. Som nyansatte i en bedrift vil det ta oss lang tid før vi har knekt koden og får full oversikt over dette. Det er ikke engang sikkert det hjelper å spørre. De som har vært ansatt i bedriften lenge, tar mye av dette som en selvfølge, og er kanskje ikke engang klar over at de følger noen uskrevne regler. Det er av flere grunner viktig å være oppmerksom på disse delsystemene. For det første må vi være oppmerksomme på at alle tre systemer spiller en rolle. Hvis det ikke er samsvar mellom det dokumenterte og formelle systemet og det i praksis fungerende systemet, er det vanskelig å gjennomføre ledelsens gode intensjoner i praksis. Det er dette som er grunnen til at mange regler brytes i bedriftene. Reglene skal ikke bare kunne leses i det formelle systemet, de skal trenge helt ut i den ytterste ringen og følges i praksis. Dette er krevende, mye mer krevende enn ledelsen mange ganger har forståelse for. Det er svært mange bedrifter som har sitt formelle system i orden, men hvor dette får liten betydning for den måten de ansatte oppfører seg på, fordi det ikke er samsvar mellom det formelle og det som finnes i folks hoder. Et eksempel: vårt regionsykehus innførte absolutt røykeforbud, også utendørs i umiddelbar nærhet av sykehuset. Reglene var tindrende klare. Men en oppfølgingsrapport viste at det fremdeles ble røykt i stor stil på sykehuset. Og verre, folk fant svært kreative plasser å røyke på, noen av dem ytterst brannfarlige. Nå diskuteres tiltak for å få folk til å følge forbudet. Det foreslås straffetiltak og det foreslås å lempe på reglene. Med referanse også til informasjonssikkerhet, vil vi si at både straffetiltak og en nøye vurdering av hvilke regler vi må ha, er nødvendig for å få folk til å følge reglene. Hvis reglene ikke stemmer med folks rettsoppfatning, kan det hende de må lempes på. Og regler som ikke følges opp hvis de brytes, blir ikke respektert. Mer om dette senere.

6 Styringssystemet for informasjonssikkerhet side 6 av 14 Det andre problemet med disse delsystemene, er å finne det riktige omfanget på hver av dem. Foran sier vi at kvalitetssystemet, og ISMS som en del av det, kan være mer eller mindre formelt, avhengig av bedriftens behov. Det er da det relative omfanget på de tre delsystemene vi tenker på. En liten bedrift kan for eksempel krympe det formaliserte systemet til nesten ingen ting, og fremdeles ha tilstrekkelig fokus på både kvalitet og informasjonssikkerhet. Et større firma som prøver på det samme, vil helt klart få problemer. Et vanlig problem er at et firma starter som lite, og klarer seg fint med det uformelle systemet, så vokser firmaet uten at styringssystemet tilpasses den nye situasjonen, og prøver etter hvert å styre en komplisert foretning basert på tro og håp og muntlige overleveringer. Dette gjelder kanskje ikke minst for informasjonssikkerheten? Det må gå galt. Vær oppmerksom på at standarder for kvalitetssystemet og for ISMS gjelder for det dokumenterte systemet. Når det gjelder revisjoner og kontroller av systemene, vil alltid det dokumenterte systemet bli lagt til grunn. Det betyr at for det første vil det dokumenterte systemet bli vurdert, for eksempel mot en standard, og bli godkjent eller ikke. Deretter vil praksisen i bedriften bli vurdert mot det dokumenterte systemet. Skal en bedrift vurderes til å ha et tilfredsstillende sikkerhetssystem, må altså det dokumenterte systemet være dekkende for bedriftens behov, og det må følges i praksis Standarder for ISMS Vi har slått fast at ISO 9000:2000- serien er viktig for oss. Dette er en utbredt og anerkjent serie standarder for utforming av kvalitetssystemer. ISO 9000:2000-serien gir dermed overordnede prinsipper og føringer som det kan være naturlig å ta utgangspunkt i når vi skal forme vårt ISMS. (Hvis bedriftens kvalitetssystem er bygd opp etter ISO 9000:2000-serien, må vi antagelig følge dem). Men ISO 9000:2000-serien hjelper oss ikke konkret med utformingen når det gjelder styring av informasjonssikkerheten. Her får vi imidlertid hjelp av to andre standarder: ISO27001 og ISO Vi skal gi en kort introduksjon til hver av dem. Før vi gjør det vil vi imidlertid si noe viktig om standarder for både kvalitetssystemer og ISMS: - En standard er et hjelpemiddel og et rammeverk for et styringssystem, det er ikke et styringssystem - En standard sier hvilke prinsipper vi skal bygge på og hvilke styringselementer som bør være på plass. Den sier ikke hvordan disse konkret skal utformes - En standard forteller ikke hvor lista skal ligge - Enhver bedrift må tilpasse standardens anbefalinger til sine egne behov - Behovene avhenger av type bedrift, størrelse, type produksjon osv. - To bedrifter vil derfor med utgangspunkt i samme standard få ulike styringssystemer - Du kan aldri innføre en standard og dermed få innført en sikkerhetshåndbok (eller et styringssystem) - For å bruke standarden til å utarbeide en sikkerhetshåndbok trenger du i tillegg kunnskap om din egen bedrift, om IT-sikkerhet og om IT generelt Mer om standarder og standardisering kan dere lese på standard.no. Der finner vi blant annet følgende kommentarer om en standard. En standard:

7 Styringssystemet for informasjonssikkerhet side 7 av 14 utarbeides etter initiativ fra interessegrupper gir retningslinjer for hvilke krav som skal settes til varer og tjenester regulerer for hvordan prøving, sertifisering og akkreditering skal gjennomføres er et forslag til valg av løsning bidrar til utvikling av formålstjenlige og sikre produkter, produksjonsprosesser og tjenester er ofte frivillig å bruke gir mer detaljerte beskrivelser til EU-direktiver, nasjonale lover og forskrifter ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet Dette er en standard som gir anbefalinger om hvordan informasjonssikkerheten i en bedrift bør administreres. Standarden er ment å brukes som utgangspunkt for den konkrete utformingen av sikkerhetstiltakene i en bedrift. Standarden er grundig og omfattende og gir anbefalinger på de fleste, om ikke alle aktuelle områder. For å få en oversikt over hvilke områder standarden dekker, bør du lese kapittel på side 119 i læreboka. Som et typisk eksempel på standardens anbefalinger tar vi med et utdrag fra selve standarden. Det gjelder administrasjon av passord. Passord er en vanlig metode for å verifisere en brukers autorisasjon til å bruke et informasjonssystem eller en informasjonstjeneste. Tildelingen av passord bør styres av en formell administrasjonsprosess som omfatter: - krav om at brukere undertegner en erklæring om å holde personlige passord hemmelig og gruppepassord utelukkende innenfor arbeidsgruppen (dette kan inkluderes i betingelser og vilkår for ansettelse) - prosedyre for å sikre at brukere i de tilfeller der de har ansvar for å vedlikeholde sine egne passord, blir utstyrt med et sikkert, midlertidig passord som de er nødt til å endre ved første gangs bruk. Midlertidige passord som utleveres når brukerne har glemt passordet sitt, bør bare gis etter en sikker identifikasjon av brukeren - prosedyre for å sikre at midlertidig passord utleveres brukeren på en sikker måte. Overlevering via tredjepart eller via ubeskyttet (klartekst) e-post bør unngås. Brukerne bør bekrefte mottagelse av passordet. Passord bør aldri lagres på datasystemet i ubeskyttet form. Andre teknologier for brukeridentifikasjon og autentisering, som biometri, for eksempel fingeravtrykk eller verifisert signatur, og fysiske enheter, for eksempel smartkort, er tilgjengelige og bør vurderes dersom det er hensiktsmessig. Legg her merke til vårt poeng fra tidligere: Standarden sier ikke hvordan noe skal gjøres, men hva som skal gjøres. Den sier for eksempel ikke hvordan prosedyren og reglene skal være for å sikre at passord utleveres til rett person, men den sier at en slik prosedyre og slike regler bør finnes. Den sier heller ingenting om graden av formalisme, om prosedyrene skal være dokumentert etc. Den sier at det skal være regler. Punktum. Resten er opp til bedriften. Her er et annet eksempel, utdrag fra kapittel 10.8 i standarden Policy og prosedyrer for utveksling av informasjon (herunder e-post): Prosedyrene og sikringstiltakene som skal følges ved bruk av elektronisk kommunikasjonsutstyr for informasjonsutvekslng bør ta hensyn til føglende forhold: - prosedyrer utformet for å beskytte utvekslet informasjon motavlytting, kopiering, endring, feilredigering og ødeleggelse; - prosedyrer for å avdekke og beskytte mot ødeleggende kode som kan overføres ved bruk av elektronisk kommunikasjon - prosedyrer for å beskytte sensitiv elektronisk informasjonbeskyttelse som er formidlet i form av et vedlegg; - policy og retningslinjer som markerer akseptabel bruk av lektronisk kommunikasjonsutstyr;

8 Styringssystemet for informasjonssikkerhet side 8 av 14 - den ansattes, kontraktørens og andre brukeres ansvar for ikke å kompromittere virksomheten, for eksempel gjennom ærekrenkelse, trakassering, etterligning, videresending av kjedebrev, uautoriserte innkjøp, etc.; - osv. (se standarden) Igjen har vi det samme forholdet: standarden sier hva vi skal ha regler for, men gir oss ikke reglene. Denne standarden skal være til hjelp for den som: har ansvar for å opprette, iverksette og videreutvikle sikkerhetsarbeidet i en bedrift. Det betyr at den dagen sjefen din sier: Sørg for at informasjonssikkerheten er i orden hos oss, kundene begynner å bli skeptiske, er denne standarden et uvurderlig hjelpemiddel. Her vil du finne en utmerket oversikt over områder du bør tenke på, og hva som kan være lurt innenfor hver av dem. (Standarden starter forresten med å slå fast at: Ledelsen skal gi rettledning og støtte i forbindelse med informasjonssikkerhet, så du kan jo starte med å presentere det for sjefen). De retningslinjene som gis i denne standarden er anerkjente og vil være et nyttig utgangspunkt for en hver bedrift for å kunne velge konkrete tiltak og utforme sitt ISMS. Standarden er oversatt til norsk. NS som prefiks angir at det er en norsk standard ISO Informasjonsikkerhetsstyring Retningslinjer for hvordan vi etablerer informasjonssikkerhetsstyringssystemer. Denne standarden gir retningslinjer for å etablere et ISMS i en bedrift. Standarden er harmonisert med prinsippene i ISO 9000:2000-serien for å: provide consistent and integrated implementation and operation of management systems. Den introduserer en overordnet plan for innføringen basert på Deminghjulet for kontinuerlig forbedring. Denne planen har de fire fasene fra Deminghjulet som vi beskrev i introduksjonen til faget. Hovedelementene i standarden er: - Definisjon og etablering av en sikkerhetspolicy - Fastsette omfanget av arbeidet med informasjonssikkerheten - Risikoanalyse - Risikostyring behandle risiko - Velge og iverksette kontrolltiltak - Utarbeide anvendelses-erklæring Vi har fulgt denne standardens plan (basert på Deminghjulet) som utgangspunkt for oppbyggingen av dette faget. Fagets overordnede mål er jo å følge arbeidet med innføring av et ISMS i en bedrift, og dette var derfor veldig naturlig. Skal vi se på forholdet mellom ISO27001 og ISO 27002, kan vi si at ISO gir hovedlinjene i arbeidet med ISMS, altså forteller oss hva vi må gjøre for å få ISMS på plass, mens ISO gir anbefalinger om innholdet. Hvis en bedrift ønsker å få sertifisert sitt ISMS vil det skje i henhold til ISO27001 (mer om sertifisering senere): Et av kravene i ISO27001 er imidlertid at bedriftens ISMS for å kunne bli sertifisert følger anbefalingene som er gitt i ISO Se forsøk på å klargjøre bruk av standardene i figuren nedenfor.

9 Styringssystemet for informasjonssikkerhet side 9 av 14 ISMS Grunnlag for å sertifisere ISO27001 Grunnlag for å utarbeide innholdet ISO Grunnlag for å planlegge og organisere sikkerhetsarbeidet ISO27001 Grunnlag for å kontrollere om krav er oppfylt ISO Læreboka omtaler disse standardene i kapittel 4.3. I tillegg er det selvfølgelig en stor fordel for forståelsen å studere selve standarden Hvorfor bygger ISO27001 på prinsippene i Demingsirkelen? Vi har ført omtalt prinsippene bak Demings sirkel som en anerkjent måte å gå frem på for å sørge for at en hvilken som helst prosess fungere som den skal. Vi planlegger, vi gjennomfører, vi følger opp og vi forbedrer. Dette er et kontinuerlig arbeid, sier prinsippene, som aldri går over. Den mest kjente standarden for bedriftens kvalitetssystem ISO 9000:2000-serien bygger på disse prinsippene.. Standarden ISO27001 slår fast at styringssystemet for informasjonssikkerhet bør være i samsvar med, og aller helst integrert i, bedriftens øvrige styringssystem (kvalitetssystemet). Å etablere et ISMS, sier standarden, krever den samme angrepsmåten som å etablere et hvilket som helst annet styringssystem i bedriften. ISO27001 er (på samme måte som ISO 9000:2000-serien) prosessorientert. (Det betyr at den definerer arbeidet med informasjonssikkerhet som en rekke samvirkende prosesser). Når standarden tar utgangspunkt i prinsippene i Demingsirkelen er målet å sørge for at: - arbeidet med informasjonssikkerhet foregår på en slik måte at de bygger på bedriftens egne sikkerhetsbehov - vi etablerer en sikkerhetspolicy og setter mål for sikkerhetsarbeidet i samsvar med behovene - vi gjennomfører sikkerhetstiltakene innefor rammene av bedriftens totale styringssystem (kvalitetssystemet) - vi overvåker og måler godheten av sikkerhetstiltakene og sørger for kontinuerlig forbedring av sikkerhetstiltakene basert på fakta Et alternativ til ISO 27002? NorSIS (http://www.norsis.no) har utarbeidet en innholdsfortegnelse for det de kaller Håndbok for informasjonssikkerhet. De sier dette om utgangspunktet for håndboken: En standard, et regelverk eller en håndbok for informasjonssikkerhet kan bygges opp på mange ulike måter. Det finnes en internasjonal/ norsk standard for informasjonssikkerhet,

10 Styringssystemet for informasjonssikkerhet side 10 av 14 ISO/IEC som gjerne kan brukes, og som NorSIS anbefaler. Mange små og mellomstore virksomheter synes denne blir for omfattende. NorSIS har derfor laget et eksempel på en enklere håndbok for informasjonssikkerhet. Denne kan integreres som et kapittel i virksomhetens rutiner eller den kan stå for seg selv. I tillegg til en håndbok bør det finnes overordnede retningslinjer i form av en informasjonssikkerhetspolicy for virksomheten. Håndboken er inndelt i: sikkerhetsledelse, personellsikkerhet, fysisk sikring, behandling av informasjon, teknisk sikring. I denne håndboken finner vi igjen flere av de temaene vi tar opp i dette kurset. Så dette kan være en nyttig ressurs, ikke minst for å aktualisere de temaene vi tar opp Standarden ISO For ordens skyld må vi i denne sammenheng også nevne standarden ISO Evaluation criteria for IT Security (også kalt Common Criteria). Denne standarden består av tre deler: - Part 1: Introduction and general model - Part 2: Security functional requirements - Part 3: Security assurance requirements Denne standarden skiller seg fra de standardene vi har omtalt over, ved at den gjelder for ITsystemer og ikke for ISMS. De standardene vi har omtalt over beskriver enkelt sagt hvordan arbeidet i bedriften bør styres og gjennomføres, mend denne standarden beskriver krav til resultatet av arbeidet, som i dette tilfellet er produkter av typen IT-systemer. Dette er en viktig og sentral standard for IT-sikkerhet som vi må kjenne til og vi kommer tilbake til denne standarden i en senere leksjon Enda noen standarder I tillegg til de nevnte standardene, kan følgende standarder være interessante når vi setter i gang for alvor med sikkerhetsarbeidet: - IS Management of information and communications technology security (MICTS - tidligere GMITS - Guidelines for the Management of IT Security) Part 1: Concepts and models for information and communications technology security management Part 2: Techniques for information and communications technology security risk management Part 5: Management guidance on network security (revideres i 2004) - TR IT intrusion detection framework - WD Guidelines for the selection, deployment and operations of intrusion detection systems (IDS) - WD Information security incident management - IS IT network security -Part 1: Network security management -Part 2: Network security architecture -Part 3: Securing communications between networks using security gateways -Part 4: Remote access -Part 5: Securing communications across networks using Virtual Private Networks - TR A framework for IT security assurance

11 Styringssystemet for informasjonssikkerhet side 11 av 14 -Part 1: Overview and framework -Part 2: Assurance methods -Part 3: Analysis of assurance methods - WD Methodology for IT security evaluation Ingen av disse siste standardene er pensum, dette er kun ment som en informasjon/bakgrunnsmateriale Å strukturere og dokumentere et ISMS Vi har hittil sagt følgende om ISMS: - det er en del av bedriftens totale kvalitetssystem - det består av en rekke samvirkende prosesser som sørger for at vi setter iverk nødvendige tiltak for informasjonssikring - det består av både en formalisert, dokumentert del og en formalisert udokumentert del og en uformell del - vi kan bruke anbefalingene i standarden ISO som utgangspunkt når vi etablerer det formelle, dokumenterte systemet. Men bortsett fra det, hvordan ser den dokumenterte delen ut? Hvilke dokumenter er det snakk om? Hvordan er strukturen på dem? Som tidligere nevnt, omfanget på det dokumenterte systemet vil variere mye, avhengig av hvilken bedrift vi snakker om og hvilke behov den har. Som ISO sier: It is expected that simple situations require simple ISMS solutions. Standarden sier videre at det vil variere om det dokumenterte ISMS er en del av bedriftens dokumenterte kvalitetssystem eller et selvstendig system av dokumenter, og om det dekker hele bedriften eller en del av den. Vi har altså mange mulige situasjoner og mange måter å gjøre det på. Vi skal allikevel forsøke å si noe generelt om hvordan dokumentstrukturen i et typisk ISMS vil være. Generelt vil vi finne det dokumenterte kvalitetssystemet i en kvalitetshåndbok. Det dokumenterte styringssystemet for informasjonssikkerhet ISMS kan vi vente å finne som en del av denne håndboken, eller kanskje vanligere, skilt ut som en separat sikkerhetshåndbok. Vi snakker om håndbok, men dette er vanligvis flere dokumenter som henger sammen i en felles dokumentstruktur. For en bedrift er det aller viktigst å finne en struktur som gjør håndboken lett tilgjengelig og lett å vedlikeholde. Det gjelder både for kvalitetshåndboken og for sikkerhetshåndboken, enten denne er en del av kvalitetshåndboken eller en separat håndbok. Vi skal i fortsettelsen omtale sikkerhetshåndboken som om den var en separat håndbok, men det vi sier gjelder akkurat like mye om den er integrert i kvalitetshåndboken. En sikkerhetshåndbok vil inneholde retningslinjer for sikkerhetsarbeidet på minst tre nivåer: 1. Øverst har vi ledelsens mål for sikkerhetsarbeidet i bedriften. Her finner vi også formulert ledelsens overordnede sikkerhetspolitikk. Disse dokumentene er kortfattede, overordnede og staker ut retningen for arbeidet. 2. På neste nivå har vi de dokumenterte prinsippene og den detaljerte politikken for sikkerhetsarbeidet. Her ligger alle ansvarsforhold beskrevet dette er rammeverket for de detaljerte instruksene på neste nivå og gir føringer og felles rammeverk for områder hvor

12 Styringssystemet for informasjonssikkerhet side 12 av 14 det ikke er hensiktsmessig med detaljerte instrukser. Det er vanlig at dette, og det forrige nivået er åpent tilgjengelig for å vise utenforstående hvordan arbeidet med sikkerheten foregår i bedriften. 3. På det nederste nivået finner vi de detaljerte instruksene for hvordan arbeidet skal foregå. Her vil vi finne prosedyrer og regler. I en stor bedrift med ulik virksomhet kan vi ha et hierarki av slike håndbøker. Toppledelsen vil da ha utarbeidet felles overordnende prinsipper som alle underliggende håndbøker skal ta utgangspunkt i. Security charter felles Generic policies Specific policies spesifikk for hver enhet Prosedyrer og rutiner I figuren ser du eksempel på dokumentstruktur fra en større bedrift: Legg merke til at denne bedriften har dokumenter på fire nivåer, hvor de to øverste nivåene er felles for hele bedriften og gir overordnede føringer for sikkerhetssystemet. De to neste nivåene er dokumenter på mer detaljert nivå, spesifikk for hver enhet. I dette faget skal vi utarbeide følgende dokumenter, som kan plasseres i tre nivåer: Nivå 1: mål og strategi, overordnet sikkerhetspolitikk Nivå 2: organisering av sikkerhetsarbeidet i bedriften, detaljert sikkerhetspolitikk Nivå 3: prosedyrer, opplæringsplaner Den papirløse håndboken Tidligere fant vi sikkerhetshåndbøker i en, eller helst flere permer. Alle ansatte skulle ha sitt eget eksemplar stående i hylla. Hvert eksemplar var gjerne personlig tildelt og nummerert, og revisjonshistorien til håndboken var viktig, slik at en kunne vite om en satt med en gyldig versjon. Nå er det antagelig mest vanlig å ha sikkerhetshåndboken, så vel som andre håndbøker, tilgjengelig på bedriftens intranett, i maskinlesbar form. Håndboken er da alltid tilgjengelig i siste versjon. Dette gir åpenbare fordeler når sikkerhetshåndboken skal oppdateres. Noe den skal nærmest kontinuerlig, hvis vi følger prinsippene fra ISO i sikkerhetsarbeidet. Alt vi gjør for å lette oppdateringene er derfor viktig. I en intranettbasert sikkerhetshåndbok kan nye retningslinjer og prosedyrer raskt komme på plass uten det store apparatet som ville være nødvendig hvis sikkerhetshåndboken skulle trykkes opp og distribueres, og de ugyldige eksemplarene samles inn for å makuleres. En slik løsning er derfor langt å foretrekke.

13 Styringssystemet for informasjonssikkerhet side 13 av 14 De standardene vi har omtalt sier ikke så mye om hvordan sikkerhetshåndboken skal struktureres, heller ikke hvilket medium den skal presenteres på. De slår imidlertid fast en ubrytelig regel: Når sikkerhetssystemet er endret skal håndboken umiddelbart oppdateres. Og ikke bare det, alle interessenter skal varsles om endringen umiddelbart og få tilstrekkelig opplæring i det som er nytt.

14 Styringssystemet for informasjonssikkerhet side 14 av Oppsummering hovedpunktene i leksjonen 1. Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. 2. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. 3. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil, som for kvalitetssystemet, avhenge av bedriftens behov. 4. Det er viktig å være oppmerksom på at ISMS har både en formell og en uformell del, og at bare deler av den formelle kan finnes igjen i dokumentene. Hvis vi vil lykkes med sikkerhetsarbeidet, må vi sørge for at det er samsvar mellom alle delene av ISMS. Det hjelper ikke om vi har verdens beste system på papiret, hvis ingen i bedriften gjør det etter boka. 5. Følgende standarder er av særlig interesse i sikkerhetsarbeidet: ISO 900:2000-serien som gir retningslinjer for etablering av kvalitetssystemer ISO som gir anbefalinger om hvordan arbeidet med informasjonssikkerheten i en bedrift bør administreres ISO27001 som gir retningslinjer for å etablere et ISMS i en bedrift ISO15408 som benyttes for å vurdere graden av sikkerhet i et IT-system 6. Generelt vil vi finne bedriftens kvalitetssystem i en kvalitetshåndbok og ISMS i en sikkerhetshåndbok. Sikkerhetshåndboka kan være en del av kvalitetshåndboka eller en separat håndbok. Den kan dekke hele bedriften eller bare en del av bedriften. Vi snakker om det som en håndbok, men dette er vanligvis flere dokumenter som henger sammen i en dokumentstruktur. 7. En sikkerhetshåndbok vil inneholde retningslinjer for sikkerhetsarbeidet på minst tre nivå: Mål og policy for arbeidet Dokumenterte prinsipper, ansvarsforhold. Dette er rammeverket for neste nivå. Detaljerte instrukser, prosedyrer og regler.

Informasjonssikkerhetsstyring

Informasjonssikkerhetsstyring Informasjonssikkerhetsstyring Greta Hjertø (Revidert av Bjørn Klefstad), Institutt for informatikk og e-læring, NTNU Lærestoffet er utviklet for emnet IBED2003 og IINI2009 Resymé: I denne leksjonen får

Detaljer

Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV... 2 2. KVALITETSSYSTEM... 6

Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV... 2 2. KVALITETSSYSTEM... 6 Avdeling for informatikk og elæring, Høgskolen i Sør-Trøndelag Greta Hjertø Redigert og tilrettelagt for faget Datasikkerhet av Geir Ove Rosvold 20. november 2006 Opphavsrett: Forfatter og Stiftelsen TISIP

Detaljer

De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST

De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST IT-sikkerhetsledelse og -krav Geir Ove Rosvold AITeL/HiST Hva er informasjonssikkerhet? "Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon

Detaljer

1. Introduksjon til Informasjonssikkerhetsstyring

1. Introduksjon til Informasjonssikkerhetsstyring Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Introduksjon til Informasjonssikkerhetsstyring Greta Hjertø (Revidert av Bjørn Klefstad) 15.08.13 Lærestoffet er utviklet for faget Informasjonssikkerhetsstyring

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater Sikkerhetsledelse et løpende og langsiktig arbeid - Som ikke alltid gir raske resultater Innhold Fem overordnede prinsipper for sikkerhetsledelse Six impossible things before breakfast Og en oppsummerende

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten

Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten Daglig leder Gunnar Flø Guttulsrød Norsk Sertifisering AS 1 Vårt mål Å gjøre ting riktig første gang!

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Sertifisering av tavlebyggere ISO 9001 Slik blir prosessen i egen virksomhet Årsmøte 03.04.2013 Quality Hotel Olavsgaard, Skjetten

Sertifisering av tavlebyggere ISO 9001 Slik blir prosessen i egen virksomhet Årsmøte 03.04.2013 Quality Hotel Olavsgaard, Skjetten Sertifisering av tavlebyggere ISO 9001 Slik blir prosessen i egen virksomhet Årsmøte 03.04.2013 Quality Hotel Olavsgaard, Skjetten Daglig leder Gunnar Flø Guttulsrød Norsk Sertifisering AS 1 Norsk Sertifisering

Detaljer

Grønt sykehus grønn standard

Grønt sykehus grønn standard Miljøledelse miljøsertifisering Grønt sykehus grønn standard Norsk forening for Sterilforsyning 05.06.2015 Mette Myhrhaug, spesialrådgiver kvalitet Vestre Viken HF Miljøstyring Grønt sykehus Bakgrunn Miljøstandarden

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Samordningsrådet Kran, Truck og Masseforflytningsmaskiner

Samordningsrådet Kran, Truck og Masseforflytningsmaskiner Samordningsrådet Kran, Truck og Masseforflytningsmaskiner Essendropsgt.3 Postboks 5485 Majorstua 0305 OSLO Telefon: 23 08 75 31 / 23 08 75 33 Telefaks: 23 08 75 30 E-post: samordningsradet@ebanett.no UTDYPENDE

Detaljer

Sertifisering av IT-sikkerhet

Sertifisering av IT-sikkerhet Sertifisering av IT-sikkerhet Innhold Forord 4 IT-sikkerhet 5 Sikre IT-systemer 5 Standardisering og IT-sikkerhet 6 Common Criteria (CC) 6 Krav til IT-sikkerhet 7 Sertifiseringsprosessen 8 Evaluering

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Akkreditering av prøvetaking på renseanlegg

Akkreditering av prøvetaking på renseanlegg Akkreditering av prøvetaking på renseanlegg Nytt avløpsregelverk to år etter Utbygging og drift av renseanlegg Kursdagene på NTNU 8. 9. januar 2009 Siv.ing Ragnar Storhaug, Aquateam AS www.aquateam.no

Detaljer

Hva er vitsen med sikkerhetspolicies?

Hva er vitsen med sikkerhetspolicies? Hva er vitsen med sikkerhetspolicies? Ketil Stølen Oslo 23. november 2006 Innhold Hva er en policy? En policy er ikke en.. Overordnet struktur for en policy Hvordan klassifiseres policyer? Tre policymodaliteter

Detaljer

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert,

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Kvalitetssystem og kvalitetsplaner for funksjonskontrakter. Vegdrift 2007. Rica Hell Hotell, Værnes 13. november 2007 Sjefingeniør Torgeir Leland

Kvalitetssystem og kvalitetsplaner for funksjonskontrakter. Vegdrift 2007. Rica Hell Hotell, Værnes 13. november 2007 Sjefingeniør Torgeir Leland Kvalitetssystem og kvalitetsplaner for funksjonskontrakter Vegdrift 2007 Rica Hell Hotell, Værnes 13. november 2007 Sjefingeniør Torgeir Leland Mer fokus på kvalitet Riksrevisjonen: Tidligere krav i våre

Detaljer

BÆRUM S A F E Informasjonssikkerhet i Bærum kommune

BÆRUM S A F E Informasjonssikkerhet i Bærum kommune BÆRUM S A F E Informasjonssikkerhet i Bærum kommune Siri Opheim IKT-sjef og Tore Moss IKT-sikkerhetsansvarlig Bakgrunn Arbeidet med informasjonssikkerhet startet i Helse og sosialavdelingen omkring 1995.

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Kvalitetshåndbok. Side 1 av 6

Kvalitetshåndbok. Side 1 av 6 Side 1 av 6 Innhold: Kabelpartner presentasjon Forretningsidé NS-EN ISO 9000/9001/9004/14001 Prosedyrer og protokoller/journaler Kvalitets- og miljøpolitikk Kvalitets- og miljømål, overordnet årlig Kvalitets

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

ISOs styringssystemstandarder et verktøy for forenkling

ISOs styringssystemstandarder et verktøy for forenkling 2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Kvalitet- og HMS-Håndbok for United Pipeline Services AS ORG. NR. 914 164 516. NS-EN ISO 9001:2008 13.10..2014 Versjon 1.0.

Kvalitet- og HMS-Håndbok for United Pipeline Services AS ORG. NR. 914 164 516. NS-EN ISO 9001:2008 13.10..2014 Versjon 1.0. Kvalitet- og HMS-Håndbok for United Pipeline Services AS ORG. NR. 914 164 516 NS-EN ISO 9001:2008 13.10..2014 Versjon 1.0 Side 1 av 9 Innholdsfortegnelse 1. Formål... 4 2. Omfang... 4 1.1 Ansvar for dokumentet...

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Norsk Skogsertifisering

Norsk Skogsertifisering 2 Systemsertifisering ISO 140011/PEFC FM 2014.05.07-9 Sertifiseringsomfang: Rådgivning, opplæring og revisjon med det formål at avtaletilknyttede skogeiendommer skal tilfredsstille kravene til miljøstyring

Detaljer

Utviklingsprosjekt: Orden i eget hus

Utviklingsprosjekt: Orden i eget hus Utviklingsprosjekt: Orden i eget hus Nasjonalt topplederprogram Ingrid Johanne Garnes April 2014 Kull 16 Bakgrunn og organisatorisk forankring for prosjektet Bakgrunn for valg av prosjektet er det faktum

Detaljer

1. Relasjonsmodellen. 1.1. Kommentarer til læreboka

1. Relasjonsmodellen. 1.1. Kommentarer til læreboka Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Relasjonsmodellen Tore Mallaug 2.9.2013 Lærestoffet er utviklet for faget Databaser 1. Relasjonsmodellen Resymé: Denne leksjonen gir en kort

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Seniorrådgiver Knut Lindelien, Standard Norge Bakgrunn Stort informasjonsbehov mye informasjon

Detaljer

Endringer i ISO-standarder

Endringer i ISO-standarder Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Sertifisering av IT-sikkerhet

Sertifisering av IT-sikkerhet Sertifisering av IT-sikkerhet Hensikten med sertifiseringsordningen for IT-sikkerhet CCRA: Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security.

Detaljer

Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge?

Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge? Frokostseminar ISO 30300-serien Hva kan den brukes til i Norge? Martin Bould Ciber Norge AS i samarbeid med Norsk arkivråd, 17.6.2014 6/24/2014 1 2014 Ciber Eller - Hvor skal jeg begynne? En liten omvei

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Standarder. Aktuelle Lover- forskrifter-standarder for Sterilforsyningsavdelinger.

Standarder. Aktuelle Lover- forskrifter-standarder for Sterilforsyningsavdelinger. Aktuelle Lover- forskrifter-standarder for Sterilforsyningsavdelinger. Lover: Lov om vern mot smittsomme sykdommer. LOV-1994-08-05-55 LOV-2006-12-01-65 fra 2008-01-01 SIST-ENDRET: KORTTITTEL: Smittevernloven

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

ISM Auditor / Lead Auditor eksamensoppgaver. Oppgaver til skriftlig og muntlig eksamen, struktur og eksempler

ISM Auditor / Lead Auditor eksamensoppgaver. Oppgaver til skriftlig og muntlig eksamen, struktur og eksempler ISM Auditor/Lead Auditor eksamensoppgaver Struktur og eksempler Side 1 av 6 ISM Auditor / Lead Auditor eksamensoppgaver Oppgaver til skriftlig og muntlig eksamen, struktur og eksempler 1. Hensikt Denne

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Jernbaneverkets erfaringer med implementering av RAMS

Jernbaneverkets erfaringer med implementering av RAMS Jernbaneverkets erfaringer med implementering av RAMS Terje Sivertsen, seksjonsleder signal Infrastruktur Teknikk, Premiss og utvikling Jernbaneverket RAMS-seminar, NJS, Oslo, 18. april 2007 1 Innhold

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

BEDRIFTENS SYSTEM FOR PRODUKSJONSKONTROLL (PKS)

BEDRIFTENS SYSTEM FOR PRODUKSJONSKONTROLL (PKS) Side 1 av 6 BEDRIFTENS SYSTEM FOR PRODUKSJONSKONTROLL (PKS) PKS 0: Orientering Kontrollrådet tilbyr i dag sertifisering av produksjonskontrollsystem (PK-system) innen områder hvor sertifiseringen er frivillig.

Detaljer

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011 Sikkerhetsstyring for mindre virksomheter Sikkerhet, samtrafikkevne, passasjerrettigheter og markedsovervåking Morgenmøte 24. november 2011 Charlotte Grøntved - Sikkerhetsstyring og tilsyn Elisabeth Nilsen

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgivelsesdato: 07.06.2010 1 Bakgrunn...2 2 Hensikt...2 3 Omfang...2 4 Sentrale krav...2 5 Generelt om målstyring...4

Detaljer

Delseminar 5: Kommunal internkontroll med introduksjonsloven. Rune Andersen IMDi Indre Øst

Delseminar 5: Kommunal internkontroll med introduksjonsloven. Rune Andersen IMDi Indre Øst Delseminar 5: Kommunal internkontroll med introduksjonsloven Rune Andersen IMDi Indre Øst 1 Delseminarets opplegg 14.45 15.10 Innledning som beskriver rammen for kommunal internkontroll med introduksjonsordningen

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

BEKREFTELSE. Vi bekrefter herved at. Helge Kristoffersen AS

BEKREFTELSE. Vi bekrefter herved at. Helge Kristoffersen AS BEKREFTELSE Vi bekrefter herved at Helge Kristoffersen AS har, sammen med Transportsentralen Svanco AS, innført NLFs system Kvalitet og miljø på vei. Bekreftelsen gjelder så lenge bedriften har avtale

Detaljer

Norsk Sertifisering AS

Norsk Sertifisering AS Skrevet av: gfg Gjelder fra: 12.11.2007 Godkjent av: tli 1 av 6 Innhold 1. om kvalitetssystemet 2. Juridisk status og kort beskrivelse av virksomheten 3. Oversikt over kontrollomfang 4. Uavhengighet, upartiskhet

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER

KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER Innholdsfortegnelse 1 Innledning... 3 1.1 Generelt om kvalitetsstyringssystemet ved IMB Maskiner...3 1.2 Om IMB Maskiner...3 1.3 Definisjoner av sentrale begrep

Detaljer

Ny ISO 9001:2015. Disclaimer:

Ny ISO 9001:2015. Disclaimer: Ny ISO 9001:2015 Disclaimer: Presentasjon basert på draft versjon Subjektiv vurdering av endringer Subjektiv vurdering av hva som oppfattes som viktig Representerer ikke et sertifiseringsorgan Ny ISO 9001:2015

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Kvalitetshåndbok for TrioVing

Kvalitetshåndbok for TrioVing Kvalitetshåndbok Kvalitetshåndbok for TrioVing Innledning Følgende er kvalitetshåndboken for TrioVing. Arbeidet med utvikling av kvalitetssystemer og -prosesser i TrioVing er omfattende og møysommelig.

Detaljer

ISM fra rederisynsvinkel 09.2012

ISM fra rederisynsvinkel 09.2012 ISM fra rederisynsvinkel 09.2012 Norled AS Heleid datterselskap av DSD 1100 medarbeidere Omsetning ca 1,6 milliarder 73 fartøy 47 ferjer 26 hurtigbåter Herav 3 gassferjer Transporterer ca. 8 mill. biler

Detaljer

1. Systemsikkerhet. 1.1. Innledning. Innhold

1. Systemsikkerhet. 1.1. Innledning. Innhold Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Systemsikkerhet Stein Meisingseth 29.08.2005 Lærestoffet er utviklet for faget LO474D Systemsikkerhet 1. Systemsikkerhet Resymé: Denne leksjonen

Detaljer

1. Innledning. Prosessen svarer ut CSM-RA (Felles Sikkerhetsmetoder Risikovurdering), og er i tråd med NS 5814, NS 5815 og EN 50126.

1. Innledning. Prosessen svarer ut CSM-RA (Felles Sikkerhetsmetoder Risikovurdering), og er i tråd med NS 5814, NS 5815 og EN 50126. Styringssystem Dokumentansvarlig: Morrison, Ellen Side: 1 av 6 1. Innledning Dette dokumentet beskriver risikostyringsprosessen og gjennomføring av 1 i Jernbaneverket. For kravoversikt, se STY-600533 Prosedyre

Detaljer

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09 Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09 Martin.bould@ergogroup.no Telefon 99024972 Martin Bould,ErgoGroup 1 Anbefaling Bruk elektroniske skjemaer

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Dato: 22.10.2014. Saksnr.: 2014/6628. Gjelder til: 31.12.2019. Opphever: Referanse til:

Dato: 22.10.2014. Saksnr.: 2014/6628. Gjelder til: 31.12.2019. Opphever: Referanse til: Rundskriv - Serie V Mottakere av rundskrivet: (sett kryss) Nr.: RSV 12-2014 Sdir : A: U: P: OFF: Hov: Andre: Sjøfartsdirektoratet 16 spesielt bemyndigete arbeidskontorer Utvalgte utenriksstasjoner Produsenter

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgitt første gang: 07.06.2010. Oppdatert: 02.05.2012 1 Bakgrunn... 2 2 Hensikt... 2 3 Omfang... 2 4 Sentrale

Detaljer

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett.

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett. FORSLAG TIL SIKRINGSBESTEMMELSER I FORM AV ENDRINGER I SIKKERHETSSTYRINGSFORSKRIFTEN (sif) Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Teknisk kontrollorgan. SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT

Teknisk kontrollorgan. SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT statens jernbanetilsyn ;ernoa', : :;,3,1,-,Æ,,E; Teknisk kontrollorgan SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT Rapport nr. 2012-30 Teknisk kontrollorgan SINTEF IKT, Senter for jernbanesertifisering

Detaljer

En oversikt over forskjellige aspekter ved sikkerhetspolicyer

En oversikt over forskjellige aspekter ved sikkerhetspolicyer En oversikt over forskjellige aspekter ved sikkerhetspolicyer Ketil Stølen Sjefsforsker/Professor II SINTEF/UiO Oslo 23. mars 2006 Innhold Hva mener vi med sikkerhet? Hva er en policy? Policyer versus

Detaljer

Styringssystemer for kvalitet

Styringssystemer for kvalitet Styringssystemer for kvalitet Presentasjon 05.03.2008 Anders Rønning Behov for HMS? Røros Elektrisitetsverk AS I 2003 var fotballspilleren John Carew til salgs Pris ca 140 mill kroner Røros Everk 2003

Detaljer

ISO 14001:2004. Side 1 av 7 Utarbeidet av: /hbo KSM-håndbok nivå I Overordnet Kvalitet- SYSTEM FOR KVALITET-, SIKKERHET-, YTRE MILJØ OG ARBEIDSMILJØ

ISO 14001:2004. Side 1 av 7 Utarbeidet av: /hbo KSM-håndbok nivå I Overordnet Kvalitet- SYSTEM FOR KVALITET-, SIKKERHET-, YTRE MILJØ OG ARBEIDSMILJØ Side 1 av 7 2.1 OMFANG Hensikt Denne Kvalitet- Sikkerhet- og Miljøstyringshåndbok () tjener som overordnet ledelsessystem på områdene kvalitet, ytre miljø og arbeidsmiljø for selskapet Weber. Dokumentasjonsomfanget

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10

Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10 Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10 Fagforbundet, 2010-03-10 1 Standarder Beskriver o et produkt, o en arbeidsprosess o et system Gir forslag

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi

Detaljer

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) UTFORDRINGER INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) Stavanger april 2012 Olav Molven Virksomheten mangler en felles fremgangsmåte for å vurdere risiko og tilhørende (intern)kontroll. Virksomheten

Detaljer

Systemadministrasjon i KF Infoserie en brukerveiledning for lokale administratorer

Systemadministrasjon i KF Infoserie en brukerveiledning for lokale administratorer Systemadministrasjon i KF Infoserie en brukerveiledning for lokale administratorer Dette er en brukerveiledning til systemadministrasjon i KF Infoserie. Her gjennomgår vi de forskjellige funksjonene som

Detaljer