Standarder for risikostyring av informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Standarder for risikostyring av informasjonssikkerhet"

Transkript

1 Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja

2 Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere på standardisering innenfor risikoområdet Forprosjekt «Kartlegging av aktuelle anvendelsesområder og relevante sikkerhetsstandarder» Utredningen «Standarder for styring av informasjonssikkerhet» Viktigheten av risikovurderinger gjenspeiles i flere regelverk, spesielt i forbindelse med krav til styring av informasjonssikkerhet

3 Risikostyring vs. risikovurderinger Risikostyring Definere mål, omfang og avgrensning Gjennomføre Risikovurdering Identifisering av risiko Håndtere risikoer og implementere tiltak Overvåke og gjennomgå risikoer Analyse av risiko Evaluering av risiko

4 Offentlig sektors behov for risikostyring Offentlige virksomheter benytter forskjellige metoder for å styre risiko Gjør det vanskelig å forstå hverandres risikogradering Fører til at arbeid med risikostyring og styringssystemet for informasjonssikkerhet blir lite helhetlig og kostnadsdrivende Det viser seg at antallet ulike metodeverk gjør det vanskelig å vite hvilken som er best egnet for den enkelte virksomhet Standarder for risikostyring vil bidra til å gjøre det enklere for virksomhetene å etterleve kravene i regelverk

5 Kartlegging av standarder for risikostyring Kartleggingen viser følgende rammeverk som beskriver fullstendig prosess for risikostyring i forhold til informasjonssikkerhet: ISO/IEC 27005:2011 NIST Special Publication ISACA The RiskIT Framework

6 Vurderinger av standarder for risikostyring Rapporten har identifisert at felles bruk av en, eller et bestemt sett av standarder, vil gi en mer enhetlig gjennomføring av risikoarbeid Alle 3 standardene for risikostyring har hver for seg vist å ha store nyttevirkninger Tilnærmingen er i generelle termer, noe som kan åpne opp for en rekke utfordringer i forhold til praktisk gjennomføring av de ulike aktivitetene. For å skille mellom hvem som er best egnet, har det spesielt blitt lagt vekt på hvilke standarder for styring av informasjonssikkerhet disse baserer på.

7 Risikostyring og styringssystem for informasjonssikkerhet ISO/IEC Tett kobling til ISO når det gjelder begrepsbruk, modeller og prosesser osv. Special Publication , NIST SP er sterkt knyttet til SP , som er et rammeverk for styring av informasjonssikkerhet. The RiskIT Framework, ISACA Spesielt egnet for virksomheter som vil bruke COBIT som styringssystem for informasjonssikkerhet

8 Kartlegging av metoder for risikovurdering Følgende metodeverk er kartlagt i forbindelse med risikovurdering: TV-506:2002 (Datatilsynet) Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning (Difi) NS 5814:2008 (Norsk Standard) Risikovurdering (Helsedirektoratet) Veiledning i Risiko- og sårbarhetsanalyse (NSM) OCTAVE (CERT) FAIR (Risk Management Insight)

9 Metoder for risikovurdering TV-506_02, Datatilsynet Veilederen er laget for å hjelpe virksomheter i prosessen med å gjennomføre risikovurderinger i samsvar med personopplysningsloven og forskrift til denne Forankring i overordnede rammer for risikostyring er ikke spesifisert Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor, Difi Metoden som presenteres i veilederen er forenlig med prosess for risikostyring fra ISO/IEC 31000, som i sin tur er utgangspunkt for ISO/IEC og begrepstolkninger fra NS-ISO/IEC 73:2006 Oppsett og vurderinger er i stor grad sammenfallende med Datatilsynets veileder

10 Metoder for risikovurdering NS 5814:2008, Standard Norge Standarden er generell og kan anvendes på alle typer risikovurderinger, unntatt vurdering av økonomisk risiko som følge av forretningsmessige disposisjoner. Utformingen er med dette ikke spesielt tilpasset relevante utfordringer for informasjonssikkerhet. Prosessen for risikovurdering etter NS5814:2008 er planlegging, risikoanalyse og risikoevaluering Etterarbeidet, prosess for kontinuerlig oppfølging og overvåking av risikoer som en del av en virksomhets komplette risikostyring er ikke inkludert i standarden

11 Metoder for risikovurdering Norm for informasjonssikkerhet, Helsedirektoratet Med hjemmel i personopplysningsforskriften har Helsedirektoratet utarbeidet et støttedokument om risikovurderinger til Norm om informasjonssikkerhet. Hensikten med dokumentet er å hjelpe virksomheter i helsesektoren med å dokumentere tiltak og vise at deres behandling av informasjon utføres innenfor nivå for akseptabel risiko Dokumentet er på fem sider og adresserer både forarbeid, gjennomføring og etterarbeid som er relevant i forhold til arbeid med risikovurderinger

12 Metoder for risikovurdering ROS 2004 Veiledning, Nasjonal Sikkerhetsmyndighet Utviklet i samarbeid med NTNU kan benyttes frittstående for gjennomføring av ROS-analyser kan også inngå som metodeverk for å gi en praktisk tilnærming til andre rammeverk for risikostyring Begrepsbruken i veilederen er noe avvikene i forhold til ISO/IEC 27005

13 Metoder for risikovurdering OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation), CERT Metoden definerer strategi for vurdering og planlegging av sikkerhet med risiko som utgangspunkt. Stor utbredelse blant offentlige virksomheter internasjonalt Mye benyttet for å støtte opp under rammeverket til ISO/IEC 27005

14 Metoder for risikovurdering Factor Analysis of Information Risk (FAIR), Risk Management Insight Metodeverket FAIR kan benyttes frittstående, men er ment å styrke eller understøtte rammeverk for risikostyring av informasjonssikkerhet Flere kommersielle virksomheter benytter metoden for å understøtte rammeverk som ISO/IEC 27005, RiskIT, SP osv.

15

16 Konklusjon standarder for risikostyring Av de evaluerte standardene for risikostyring av informasjonssikkerhet har det vist seg at ISO/IEC ved sin nære relasjon til ISO/IEC og ISO/27002 vil gi mest nyttevirkninger. ISO/IEC er dermed den eneste standarden som anbefales som forvaltningsstandard for risikostyring av informasjonssikkerhet

17 Konklusjon Metoder for risikovurdering Av de evaluerte metodene for risikovurdering anbefaler rapporten at «Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning» bør benyttes som en «anbefalt forvaltningsstandard» i offentlig sektor Denne anbefalingen gjøres under forutsetning av at Difi inkluderer standarden i et formelt og åpent forvaltningsregime, gjerne i samarbeid med andre forvaltningsorganer eller andre virksomheter. Det anbefales også at Difi gjør en vurdering av muligheten for å inngå et samarbeid med NSM og Datatilsynet, for å lage et felles veiledningsregime for risikostyring av gradert og ugradert informasjon

18 Konklusjon Metoder for risikovurdering For gjennomføring av risikovurderinger i samsvar med personopplysningsloven anbefales Helsedirektoratets «Risikovurdering til Norm for informasjonssikkerhet» som en «anbefalt forvaltningsstandard» i offentlig sektor

19

20 Høringsuttalelser Vi har mottatt kommentarer fra NSM, Finanstilsynet, Difi, Helsedirektoratet og en privat person Konklusjonen i uttalelsene er ganske sammenfallende: ISO/IEC 27005:2011 Standard for risikostyring støttes Anbefalingen på støttedokumenter støttes ikke

21 Høringsuttalelser NSM har kommentert at veiledningen ikke er tilstrekkelig etter sikkerhetslovens krav. NSM er imidlertid positive til å delta i et arbeid sammen med Difi og andre aktuelle forvaltningsorganer for å utvikle en felles veiledningsregime på dette området. Difi: Selv om Difis veileder er bygget på diverse velkjente standarder og metoder, så bør det nok gjøres omfattende omskriving før den kan brukes som en generell metode for risikovurdering av informasjonssikkerhet. Det er ikke alltid sterk sammenheng mellom ISO og veiledningen når det gjelder begrepsbruk, struktur, og prosessoppbygging. Både NSM, Difi og Seip i Finanstilsynet understreker i uttalelsene sine behovet for at metodikker og støttedokumenter for risikovurderinger må tilpasses den enkelte virksomhet.

22 Anbefalinger til Standardiseringsrådet ISO/IEC 27005:2011 gjøres anbefalt for forvaltningen. Den vurderingen som er gjort i utredningen har fått ensidig positiv støtte og bør derfor opprettholdes. Difi sin veileder «Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning» og Helsedirektoratets veileder til risikovurdering gjøres anbefalt for informasjon som ikke er underlagt sikkerhetslovens bestemmelser. Det har kommet noen kritiske bemerkninger til standardene og usikkerheten rundt fremtidig forvaltningsregime. Dette taler for å avvente med å anbefale disse standardene. Det er derimot viktig å få på plass noen standarder raskt, slik at offentlige virksomheter får felles metoder de kan benytte. Det anbefales derfor på tross av de kritiske spørsmålene og anbefale standardene, med forbehold om at Difi velger å prioritere arbeidet med å forvalte sin standard i tiden som kommer.

23

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioritering 2011 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioriteringsnotat 2011 Gjennomgang av forslag til standardiseringsarbeidet Prioritering i henhold til kriterier Utkast til prioriteringsnotat

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Standarder for sikker bruk av VPN med og i offentlig sektor

Standarder for sikker bruk av VPN med og i offentlig sektor Standarder for sikker bruk av VPN med og i offentlig sektor Standardiseringsrådsmøte 23.-24. november 2011 beslutningssak Bakgrunn Grønn IKT (Hjemmekontor, videokonferanser) Fjernarbeid og distribuert

Detaljer

Risiko- og sårbarhetsanalyser: vær og veg. Arne Gussiås, Region midt

Risiko- og sårbarhetsanalyser: vær og veg. Arne Gussiås, Region midt 2 HVORFOR ROS-ANALYSER Klimaendringer Økt krav til pålitelighet (fremkommelighet), sikkerhet og omdømme Krav til informasjon og dokumentasjon Sårbarhet øker med økende vedlikeholdsetterslep 3 ROS-ANALYSER

Detaljer

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO) SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Delområde av styringssystem for informasjonssikkerhet i UH -sektoren Versjon 1.0 1 Innholdsfortegnelse Forord...

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

Standardiseringsarbeidet

Standardiseringsarbeidet Standardiseringsarbeidet Kristian Bergem 10.02.2010 Standardiseringsportalen Dato Totaloversikt standard.difi.no http://standard.difi.no/forvaltningsstandarder Dato 1. Ver av referansekatalogen Kom i desember

Detaljer

Norm for Informasjonssikkerhet - www.normen.no. Tor Ottersen

Norm for Informasjonssikkerhet - www.normen.no. Tor Ottersen Norm for Informasjonssikkerhet - www.normen.no Tor Ottersen Disposisjon Hva er egentlig Normen Hvorfor ble den laget Forvaltning Hvordan bruke den 03.11.2009 Normen Tor ottersen 2 Hva er Normen Et omforent

Detaljer

Oppfølging etter Deepwater Horizon - Status og veien videre

Oppfølging etter Deepwater Horizon - Status og veien videre Oppfølging etter Deepwater Horizon - Status og veien videre Industriseminar 23. september 2011 Hilde-Karin Østnes & Øyvind Tuntland Petroleumstilsynet Hovedoppsummering DwH-ulykken reiser spørsmål som

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010 Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for dokumentformater Møte i Standardiseringsrådet 16. mars 2010 Disposisjon Kort historikk behandling av rapporten Forberedende

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet Versjonshåndtering Versjonsnr. Endret Beskrivelse av endring: Endret av: dato: 0.7 08.02.2011 Godkjenning av alle endringer KrB 1 Innhold 1

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Referat fra møtet i Standardiseringsrådet september 2011

Referat fra møtet i Standardiseringsrådet september 2011 Referat fra møtet i Standardiseringsrådet september 2011 Tid: 23-24. november 2011, kl 12.00-14.30 Sted: Molde, Seilet hotell Møteleder: Olaf Østensen, Statens kartverk Referent: Standardiseringssekretariatet

Detaljer

Revisjon av ISO 14001

Revisjon av ISO 14001 Miljø- og klimaforum, 4. juni 2014 Revisjon av ISO 14001 V/KNUT JONASSEN, STANDARD NORGE Hovedpunkter Styringssystemer: ISO 9001 og ISO 14001 Bakgrunnen for revisjonen Spesielle utfordringer Felles struktur

Detaljer

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Denne veilederen tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram, og gir råd til hvordan man kan utvikle sikkerhetskulturen.

Detaljer

CSM i NSB. En orientering om implementeringen av Forskrift om felles sikkerhetsmetode for risikovurderinger i NSB.

CSM i NSB. En orientering om implementeringen av Forskrift om felles sikkerhetsmetode for risikovurderinger i NSB. CSM i NSB Morgenmøte om risikovurderinger Oslo, 22. august 2012 En orientering om implementeringen av Forskrift om felles sikkerhetsmetode for risikovurderinger i NSB. Bakgrunn o A common framework for

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005 Sikkert som banken? Hva IT-tilsyn er godt for Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005 Det jeg skal snakke om Kredittilsynet og IT-tilsyn Hva vi fører tilsyn med, hensikt Tilsynsmetoder,

Detaljer

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem Høring av Referansekatalogen v. 3.1. Marit Grønntun og Kristian Bergem 16.05.2012 Generelle kommentarer Positive til standardisering Flertallet mener de følger standardene Viktig med konsekvensvurderinger,

Detaljer

Rammeverk for risikostyring i Helse Midt-Norge

Rammeverk for risikostyring i Helse Midt-Norge Rammeverk for risikostyring i Helse Midt-Norge Versjon 1.0 Godkjent i ledergruppen Helse Midt-Norge 29.03.16 Innhold Rammeverk for risikostyring i Helse Midt-Norge... 3 Innledning... 3 DEL 1 RAMMEVERK

Detaljer

Hvordan sikre seg at man gjør det man skal?

Hvordan sikre seg at man gjør det man skal? Beredskapsforskriften og krav om ROS-analyser. Hvordan sikre seg at man gjør det man skal? Roger Steen NVE, Beredskapsseksjonen rost@nve.no Tenk igjennom hva som kunne vært konsekvensene for ditt selskap

Detaljer

KONTROLLSTRATEGI REISER UTEN REKVISISJON

KONTROLLSTRATEGI REISER UTEN REKVISISJON KONTROLLSTRATEGI REISER UTEN REKVISISJON Innhold 1. Formål...2 2. Krav og føringer til styring og kontroll...2 2.1. Pasientreiseforskriften 26 dokumentasjon og kontroll... 2 2.2. Forarbeidene; Høringsnotat

Detaljer

Barrierestyring. Hermann Steen Wiencke PREPARED.

Barrierestyring. Hermann Steen Wiencke PREPARED. Barrierestyring Hermann Steen Wiencke PREPARED. Bakgrunn - Ptil Det overordnede fokuset er at barrierer skal ivaretas på en helhetlig og konsistent måte slik at risiko for storulykker reduseres så langt

Detaljer

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen Norm for Informasjonssikkerhet i Helsesektoren Tor Ottersen Dilemma Konfidensialitet Ivareta pasientens integritet ved å beskytte alle opplysninger. Tilgjengelighet Pasienten skal sikres forsvarlig (best

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Mislighetsrevisjon Sykehuset Innlandet HF

Mislighetsrevisjon Sykehuset Innlandet HF www.pwc.no Mislighetsrevisjon Sykehuset Innlandet HF 3. juni 2014 Innholdsfortegnelse 1. Mandat og oppdrag... 3 Forbehold... 3 2. Evaluering av rammeverk for å redusere mislighetsrisiko... 4 Formålet...

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner

Detaljer

Samordning av IKT i det offentlig. Sesjon A1 på NOKIOS 16. oktober 2008 Jens Nørve (DIFI) og Marianne Andreassen (SSØ) Utvikling gjennom samarbeid

Samordning av IKT i det offentlig. Sesjon A1 på NOKIOS 16. oktober 2008 Jens Nørve (DIFI) og Marianne Andreassen (SSØ) Utvikling gjennom samarbeid Samordning av IKT i det offentlig Sesjon A1 på NOKIOS 16. oktober 2008 Jens Nørve (DIFI) og Marianne Andreassen (SSØ) Utvikling gjennom samarbeid Agenda for sesjonen Utvikling gjennom samarbeid 3 forskjellige

Detaljer

Risikoanalyse i arkivarbeidet Ta sjansen?

Risikoanalyse i arkivarbeidet Ta sjansen? Risikoanalyse i arkivarbeidet Ta sjansen? Jorunn Bødtker, 23. mars 2010 1 Risikoanalyse - NA 23.3.2010 - Jorunn Bødtker Begreper Norsk standard 5814:2005 og ISO 27002 Risiko: Muligheten for å lide tap

Detaljer

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002. Rapport 2012:15 ISSN 1890-6583 Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 Rapport 2012:15 ISSN 1890-6583 Forord Digitalisering er et viktig virkemiddel for å få en effektiv

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Helseforetakenes senter for pasientreiser ANS 1/2016

Helseforetakenes senter for pasientreiser ANS 1/2016 Helseforetakenes senter for pasientreiser ANS 1/2016 RAPPORT Oppfølging av revisjoner som ble gjennomført i 2013-14 Revisjonsrapport 1/2016 Internrevisjon Side 1 av 13 Tidsrom for revisjonen Mai-juni 2016

Detaljer

Prosjektmandat Hovedprosjekt. Informasjonssikkerhet

Prosjektmandat Hovedprosjekt. Informasjonssikkerhet Prosjektmandat Hovedprosjekt Informasjonssikkerhet Side 2 av 6 Innhold 1 Innledning...3 2 Mål og rammer...3 2.1 Mål... 3 2.2 Rammer... 4 3 Omfang og avgrensning...4 4 Organisering...4 5 Beslutningspunkter

Detaljer

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn Har du kontroll med din databehandler? En utro elsker Annikken Seip Seniorrådgiver IT-tilsyn DIFI 1.9 2011 Det jeg skal snakke om Tilsyn etter 5, 3 og 12/ regelverk Vi har regelverk som påpeker kontroll

Detaljer

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra

Detaljer

Årsrapport 2011 Internrevisjon Pasientreiser ANS

Årsrapport 2011 Internrevisjon Pasientreiser ANS Årsrapport 2011 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjon av systemforvaltning... 4 Formål og omfang... 4 Tidsrom for gjennomføring og ressursbruk... 4 Funn og anbefalinger...

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Hvordan beste praksis rammeverk praktiseres aller best

Hvordan beste praksis rammeverk praktiseres aller best Hvordan beste praksis rammeverk praktiseres aller best Felles introduksjon til kurs 1A, 1B og 1C Ingar Brauti, RC Fornebu Consulting AS NOKIOS kurs tirsdag 29. oktober 2013 ingar.brauti@fornebuconsulting.com

Detaljer

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 1 Innhold 1. Bakgrunn og innledning... 3 2. Standarder for publisering av nettleserbaserte

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect Et spørsmål om tid! Lars Hopland Nestås Software Security Architect Lars Hopland Nestås 2010: Master i informatikk, sikker og trådløs kommunikasjon, spesialisering i datasikkerhet. Universitet i Bergen

Detaljer

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK Byrådssak 1383 /15 Ny strategi for informasjonssikkerhet GOBR ESARK-1727-201525637-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en ny strategi for informasjonssikkerhet.

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Kommuneforlagets ledelsesprodukter Bedrekommune.no - KF BedreStyring- KF Kvalitetsstyring Program Sesjon 1 [10.00 10.55] Målstyring, tjenestekvalitet og internkontroll

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011

Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011 Utredning av standarder for styring av informasjonssikkerhet Versjon 1.0 11.03.2011 Innhold 1 Sammendrag... 3 2 Innledning... 6 2.1 Bakgrunn... 6 2.2 Formål... 7 2.3 Mandatet... 7 2.4 Arbeidsmetodikk...

Detaljer

Prioritering 2012. Møte i Standardiseringsrådet 24. november 2011

Prioritering 2012. Møte i Standardiseringsrådet 24. november 2011 Prioritering 2012 Møte i Standardiseringsrådet 24. november 2011 Prioritering 21 forslag, mottatt gjennom innspill og utredninger Forslagene vurderes i henhold til kriterier i Standardiseringsrådets arbeidsmetodikk

Detaljer

Evaluering av nasjonale kompetansetjenester 2011

Evaluering av nasjonale kompetansetjenester 2011 Evaluering av nasjonale kompetansetjenester 2011 Navn på tjenesten: Lokalisering: Nasjonal kompetansetjeneste for blodtypeserologi Oslo universitetssykehus HF Tjenestens innhold: Tjenestens innhold og

Detaljer

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet Bjørn Erik Thon direktør 23.09.2010 Side 1 Dagens tekst - Kort om Datatilsynet - Kommentarer til undersøkelsen - Supplering: Hva vi

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? HelsIT 2011 Roar Engen Leder for arkitekturseksjonen,teknologi og ehelse, Helse Sør-Øst RHF Medforfatter: Jarle

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008 Personvern og tilgang i journal Internt & Eksternt Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008 1. Personvern Mer enn hindre tilgang Mer enn informasjonssikkerhet Sentrale element:

Detaljer

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert,

Detaljer

Norm for informasjonssikkerhet i helsesektoren

Norm for informasjonssikkerhet i helsesektoren Norm for informasjonssikkerhet i helsesektoren Tor Ottersen Hvorfor en Norm? Få en felles forståelse av informasjonssikkerhet i sektoren Få et felles minimumsnivå for sikkerheten Skape trygghet ved elektronisk

Detaljer

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Pressebriefing 3. april 2014

Pressebriefing 3. april 2014 Pressebriefing 3. april 2014 Risiko- og sårbarhetsanalyse (ROS) 2013 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi Seksjonssjef Frank Robert Berg ROS-analysen 2013: 1. Innledning 2.

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) UTFORDRINGER INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) Stavanger april 2012 Olav Molven Virksomheten mangler en felles fremgangsmåte for å vurdere risiko og tilhørende (intern)kontroll. Virksomheten

Detaljer