VEILEDER FOR VURDERING AV SIKKERHETSRISIKO VED ETABLERING I UTLANDET

Størrelse: px
Begynne med side:

Download "VEILEDER FOR VURDERING AV SIKKERHETSRISIKO VED ETABLERING I UTLANDET"

Transkript

1 2011 VEILEDER FOR VURDERING AV SIKKERHETSRISIKO VED ETABLERING I UTLANDET

2 NÆRINGSLIVETS SIKKERHETSRÅD Næringslivets Sikkerhetsråd (NSR) er opprettet av næringslivets sentrale organisasjoner med formål å bekjempe kriminalitet i og mot næringslivet. Dette gjøres gjennom et formalisert nettverk mot politi og offentlige sikkerhetsmyndigheter, og mot næringslivet. NSR er organisert som en selvstendig medlemsforening med eget styre, en administrasjon, flere utvalg, regionale representanter, og et konsultativt råd med representanter fra både næringsliv og myndighetene. Gjennom det konsultative rådet blir de utfordringer næringslivet opplever formidlet til myndighetene, og trender og advarsler fra myndighetene gitt til næringslivet. Basert på dette, samt NSRs undersøkelser og utvalg, utarbeides veiledninger, kurs, seminarer og konferanser. Regjeringen har i flere dokumenter de siste årene tatt til orde for et tettere og forsterket samarbeid med NSR. Stifterorganisasjoner Næringslivets Hovedorganisasjon Finansnæringens Fellesorganisasjon HSH Arbeidsgiverforeningen Spekter Norges Rederiforbund/ Den Norske Krigsforsikring for Skib Bedriftsforbundet Representanter i det konsultative rådet Stifterorganisasjoner og næringsliv Politidirektoratet, Kripos og ØKOKRIM Politiets sikkerhetstjeneste Nasjonal Sikkerhetsmyndighet Toll- og avgiftsdirektoratet Direktoratet for samfunnssikkerhet og beredskap LO og YS Medlemsfordeler Direkte rådgivningen, herunder innen: Fakturabedrageri Bakgrunnssjekk Informasjonssikkerhet og datakriminalitet Vold og rus på arbeidsplassen Sikring mot ran ID-tyveri Kidnappingstrusler Utfordringer internasjonalt Gratis foredrag Prioritet og rabatterte priser på alle kurs og konferanser Deltagelse i NSRs utvalg Nettverk via NSRs administrasjon Direkte påvirkning på saker til administrasjonen og det konsultative rådet. NSRs permanente utvalg Ransutvalget Datakrimutvalget (Mørketallsundersøkelsen) Varslingslisten Kriminalitetsutvalget (KRISINO) Kriminalitetsutfordringer internasjonalt NSRs undersøkelser KRISINO (Kriminalitets- og sikkerhetsundersøkelsen i Norge), Datakriminalitetsundersøkelsen Mørketallsundersøkelsen, NSRs kurs og seminarer Sikkerhetskonferansen, Sikringshåndboka Sikret mot ran Verdi- og risikovurdering Temaseminarer Kontaktinformasjon Næringslivets Sikkerhetsråd Postboks 5493 Majorstuen 0305 OSLO Innmelding SIDE 2

3 INNHOLD 1. Dokumentstruktur og målgrupper Sammendrag Sikkerhetsledelse Sikkerhetsrisiko Elementer i risikovurderingen Generelt Verdivurdering og skadepotensial Trusselvurderingen Trusselnivået i Norge versus andre land Trusselaktører og deres metoder Trusselmatrise Kilder og tjenesteleverandører Sårbarhetsvurderingen Kjente trusler versus mulige trusler Fokuset i sårbarhetsvurderingen Kost-/nyttevurdering av tiltak Risikonivået Aksept av risiko og restrisiko Risikopersepsjon Risikobildet Et helhetlig sikkerhetssystem SIDE 3

4 01 DOKUMENTSTRUKTUR OG MÅLGRUPPER Denne veilederen omhandler håndtering av sikkerhetsrisiko ved etablering av foretak i utlandet. Veilederen består av et toppdokument som suppleres av vedlegg som utarbeides suksessivt. Topp-dokumentet tar for seg en helhetlig tilnærming til vurdering av sikkerhetsrisiko i utlandet. Vedleggene på sin side fokuserer på håndtering av ulike typer risiko, dvs konkrete forhold som typisk medfører utfordringer når et foretak skal etablere virksomhet i land med ulik risikoprofil enn i Norge (f eks orienteringer, sjekklister eller prosessbeskrivelser). Store bedrifter og konsern vil ofte ha kompetanse innen sikkerhet som går utover det dokumentene her tar for seg. Dokumentene her retter seg derfor primært til små og mellomstore bedrifter som vurderer å etablere seg eller allerede har virksomhet i utlandet. Det antas imidlertid at også store bedrifter som mangler erfaring fra virksomhet i utlandet, kan få utbytte av å benytte dokumentene inntil erfaringer og kompetanse er bygget opp. Målgruppen for sammendraget i veilederen er øverste ledelse i foretaket. Øvrige deler av veilederen er mest relevant for foretakets sikkerhetsleder og personell med oppgaver innen risikostyring (Risk Management). Vedleggene retter seg primært mot personell med operative oppgaver knyttet til etablering eller håndtering av hendelser som kan påvirke foretaket. For små bedrifter med få ansatte vil imidlertid flere av de nevnte funksjonene gli delvis over i hverandre. Denne veilederen er utarbeidet av NSRs utvalg som arbeider med grenseløse risikoutfordringer, og med særlig stort bidrag fra Carsten Rapp i Norges Bank. Veilederen med vedlegg omhandler de temaene utvalget anser mest relevante og er ikke uttømmende mht hvilke temaer et foretak bør ta hensyn til. Bruken skjer på egen risiko og NSR eller utvalget tar ikke ansvaret for resultatet av at dokumentene benyttes av et foretak. Virksomheter kan søke ytterligere informasjon og veiledning gjennom NSR og utvalget. Figur 1: Oversikt over dokumentstrukturen for veilederen Veileder for vurdering av sikkerhetsrisiko ved etablering i utlandet Vedlegg Vedlegg Vedlegg SIDE 4

5 02 SAMMENDRAG Denne veilederen omhandler håndtering av sikkerhetsrisiko ved etablering av foretak i utlandet. Hovedmålgruppen for dokumentet er små og mellomstore bedrifter som vurderer å etablere seg eller allerede har virksomhet i utlandet. Mange forhold i Norge som påvirker sikkerhetsrisikoen tas for gitt. Forholdene i andre land vil i varierende grad være annerledes, avhengig av hvilket land det gjelder. Før det etableres virksomhet i utlandet bør det foretas en vurdering av sikkerhetsrisikoen. Etter at etablering er gjort bør vurderingen oppdateres jevnlig. Fokuset på det overordnede risikobildet og styringssystemet for sikkerheten bør ivaretas av sikkerhetsleder i foretaket, og denne bør i viktige sikkerhetssaker kunne rapportere direkte til øverste leder. Utgangspunktet for alle risikomodeller er at risiko betegnes som en funksjon av sannsynligheten for at en hendelse inntreffer og konsekvensene dersom hendelsen inntreffer. Innen security, dvs sikring mot tilsiktede hendelser, benyttes ofte en risikomodell med vurdering av verdier, trusler og sårbarheter forbundet med aktuelle virksomhet. Verdiene er et uttrykk for konsekvensen, mens truslene og sårbarheten er et uttrykk for sannsynligheten. I verdivurderingene identifiseres og klassifiseres ressursene som understøtter forretningsmessige mål og prosesser, for å finne ut hva som er mest beskyttelsesverdig. I trusselvurderingen identifiseres og klassifiseres ulike trusselaktører i landet/farvannet, samt hvilke mål de kan finne attraktivt og metoder de antas å kunne benytte. Deretter fastsettes sikkerhetsnivået for ulike ressurser basert på den risiko som aksepteres av risikoeieren. For allerede etablerte foretak må det også foretas en sårbarhetsvurdering opp i mot akseptnivået for risiko. Hvilke sikkerhetstiltak som skal benyttes avgjøres etter en kost-/nyttevurdering. Sikkerhetstiltakene bør normalt bestå av en kombinasjon av organisatoriske, menneskelige og teknologiske tiltak. Forebyggende sikkerhetstiltak inndeles ofte i barrierer, deteksjon og reaksjon. Sikkerhetstiltakene bør imidlertid også bestå av skadebegrensende tiltak for å redusere skade når en hendelse først inntrer, og gjenopprettende tiltak for å bringe virksomheten tilbake til normal drift igjen. Et godt og helhetlig sikkerhetssystem består av en kombinasjon av og balanse mellom tiltak innen alle disse kategoriene. SIDE 5

6 03 SIKKERHETSLEDELSE Foretakets øverste leder har ansvaret også for sikkerheten i foretaket. Ansvaret innebærer å sørge for at sikkerhetsrisiko håndteres og allokere ressurser for sikkerhet som står i forhold til risikoen. Ansvaret videre i foretaket følger linjeprinsippet; en mellomleder for et forretningsområde skal også ivareta sikkerheten i eget forretningsområde. Fellesfunksjoner innen sikkerhet, som f eks vakthold i (felles) bygg og informasjonssikkerhet i (felles) systemer, er for å oppnå synergier ofte samlet i felles forvaltningsfunksjoner. I konsern vil det ofte være etablert en overgripende sikkerhetsfunksjon i konsernstaben som ivaretar strategisk nivå for alle selskapene i konsernet. I tillegg er det nødvendig å utpeke en sikkerhetsleder (Chief Security Officer) og/eller informasjonssikkerhetsleder (Chief Information Security Officer), avhengig av foretakets sikkerhetsbehov. Sikkerhetsleder overtar ikke ansvaret som tilligger linjen, men skal ivareta strategisk rådgivning for ledelsen, koordinering på tvers av forretningsområdene, samt fokusere på overordnet risikobilde og styringssystemet for sikkerheten. I større foretak gis sikkerhetsleder ofte en kontrollfunksjon overfor det operative sikkerhetsarbeidet i foretaket. Kontrollfunksjonen kan imidlertid også rendyrkes slik at revisjon og etterlevelseskontroll på øvrige områder også kontrollerer sikkerheten, herunder sikkerhetsleder. Sikkerhetsleder skal iht god praksis kunne rapportere direkte til foretakets øverste leder i viktige saker (for foretak underlagt sikkerhetsloven er det et krav). Ofte er det hensiktsmessig å ha en egen stilling som sikkerhetsleder, fortrinnsvis i stab under ledelsen. I små bedrifter vil imidlertid funksjonen som sikkerhetsleder ofte være en tilleggsfunksjon til en annen stilling med stabsfunksjoner. Også i større bedrifter kan funksjonen være hensiktsmessig å slå sammen med andre funksjoner for å oppnå synergier, f eks felles leder for sikkerhet og etterlevelse ( compliance ) eller HMS (dvs sammenslåing av helse-, og miljø-, safety - og security -ledelse). SIDE 6

7 04 SIKKERHETSRISIKO Mange forhold i Norge som påvirker sikkerhetsrisikoen tas for gitt. Forholdene i andre land vil i varierende grad være annerledes, avhengig av hvilket land det gjelder. Før det etableres virksomhet i utlandet bør det foretas en vurdering av sikkerhetsrisikoen. Etter at etablering er gjort bør vurderingen oppdateres jevnlig. Gjennomføring av sikkerhetstiltak uten noen form for risikovurdering vil lett føre til at sikkerhetstiltak baseres på ukvalifisert skjønn og tilfeldigheter, og ikke dimensjoneres riktig. I tillegg er det fastsatt krav i en rekke offentlige regler og internasjonale standarder som kan gjelde for virksomheten om at sikkerhetsrisikovurdering skal gjennomføres, f eks i personopplysningsloven og arbeidsmiljøloven. Sikkerhetsrisikovurderinger for virksomhet i utlandet bør inngå som del av en helhetlig vurdering av foretakets risiko. En helhet risikostyring betegnes ofte som Enterprise Risk Management (ERM) og deles gjerne inn i forretningsrisikoen/finansiell risiko ( business/ financial risk ) og operasjonell risiko ( operational risk ). I tillegg er det mange som opererer med omdømmerisiko ( reputational risk ). Sikkerhetselementet inngår da som en del av den operasjonelle risikoen, men vil også være relevant for omdømmerisikoen. Utgangspunktet for alle risikomodeller er at risiko betegnes som en funksjon av sannsynlighet og konsekvens; sannsynligheten for at en hendelse inntreffer og konsekvensene dersom hendelsen inntreffer (risiko = sannsynlighet x konsekvens). I forhold til sikkerhet, må risikoen vurderes både for utilsiktede hendelser som f eks naturkatastrofer og ulykker ( safety ) og tilsiktede hendelser fra menneskelige aktører i den hensikt å påføre skade ( security ). Innen safety er historiske data om frekvensen av identifiserte scenarioer sentralt. Innen security vil statistikk ofte være utilstrekkelig for å uttrykke sannsynligheten for at en hendelse inntreffer. For menneskeskapte hendelser er trusselaktørers intensjon og kapasitet sentralt, samt i hvilken grad prosesser og ressurser er sårbare mot de metodene aktuelle trusselaktører benytter. Både intensjon og kapasitet søkes bevisst skjult av en trusselaktør, og nye metoder for å lykkes og dermed scenarioer er i stadig utvikling. NSRs fokus er tilsiktede hendelser, og er det fremstillingen videre vil fokusere på. I praksis vil imidlertid mange av de samme tiltakene redusere sårbarheter mot både naturskapte og menneskeskapte hendelser. Ved risikovurdering innen security anbefaler NSR at metoden tilpasses nettopp security. Vurderingen blir mer håndgripelig og presis ved å betegne sannsynlighet som avhengig dels av hvilke trusler som retter seg mot foretakets verdier (det som skal beskyttes) og dels av sårbarheten verdiene har mot truslene. Risiko kan da betegnes som en funksjon av verdier, trusler og sårbarheter forbundet med aktuelle virksomhet (risiko = verdier x trusler x sårbarhet, der verdiene er et uttrykk for konsekvensen, mens truslene og sårbarheten er et uttrykk for sannsynligheten). I figur 2 kan risiko forstås som arealet av trekanten der verdier, trusler og sårbarheter møtes. Dersom f eks trusselen øker, dvs trusselhjørnet av figuren trekkes lenger ut, vil arealet i trekanten, dvs risikoen, øke. For å håndtere risikoen, dvs redusere arealet til det opprinnelige, kan man iverksette sikkerhetstiltak slik at sårbarhetshjørnet trekkes lenger inn, og likevekt gjenopprettes. En sikkerhetsrisikovurdering vil ikke alltid alene identifisere alle relevante forhold som sikkerhetstiltak må settes inn mot. En rekke forhold kan være omfattet av samfunnspålagte sikkerhetskrav, dvs krav som gjelder uavhengig av om forholdene er viktige for å nå foretakets forretningsmål alene. Kravene kan gjelde særskilt i landet virksomheten skal utøves i, men kan også være norske, som f eks personopplysningsloven. Dette kan betegnes som etterlevelsesrisiko. SIDE 7

8 Figur 2: Arealet av trekanten uttrykker risikoen som en funksjon av verdi, trussel og sårbarhet. Dersom trusselen endrer karakter og øker, kan sårbarheten reduseres tilsvarende ved at sikkerhetstiltak innføres, og trekantens areal og dermed risikoen holdes konstant. Trusler Trusler Sårbarhet Verdier Sårbarhet Verdier SIDE 8

9 05 ELEMENTER I RISIKOVURDERINGEN 5.1 Generelt NSR vil i det følgende gi en forenklet fremstilling av sikkerhetsrisikovurderinger spesielt relevant for virksomhet i utlandet, herunder internasjonale farvann. For en mer dyptgående forståelse for metodikken, henviser vi til mer generelle og autoritative veiledninger og beskrivelser utgitt av Datatilsynet, Nasjonal sikkerhetsmyndighet og Finanstilsynet. 5.2 Verdivurdering og skadepotensial I en verdivurdering bør det først tas utgangspunkt i forretningsmålene med virksomheten som foretaket skal ha i utlandet. Deretter identifiseres de prosesser som understøtter forretningsmålene, og så hvilke ressurser (verdier) som prosessene er avhengig av. Ressursene kan være personer, som f eks nøkkelpersoner i produksjonen. Det kan også være innsatsmidler, som f eks råvarer, elektrisitet, lokaler, maskiner, informasjonsteknologi eller styrings- og kontrollsystemer for fysiske prosesser (såkalte SCADA-systemer). Enkelte steder i utlandet kan et særegent kriminalitetsbilde gjøre at ressurser som normalt ikke anses kritisk for måloppnåelsen, likevel kan rammes på en måte som kan påføre virksomheten stor skade. Eksempler er objekter som kan ha symbolverdi for terrororganisasjoner eller bli mål for voldelige aktivister, samt enkeltansatte i en bedrift som kan bli utsatt for kidnapping, utpressing eller ran. Symbolske objekter kan f eks være topp-ledere, bygg, anlegg og transportmidler som motstanderne identifiserer med foretaket, bransjen i sin helhet eller landet foretaket kommer fra. Selv om fraværet av slike ressurser i liten grad reduserer produksjonen direkte, vil det medføre at foretaket må bruke tid og ressurser på skadebegrensning. Utilstrekkelig håndtering kan i verste fall gå utover liv og helse, omdømmet i markedet eller den hjemlige opinionen. Det kan også være objekter som tilhører andre, f eks ambassadestrøk og offentlige bygninger, som er så nær foretakets egne objekter at man som tredjepart skades av et anslag. Det er derfor viktig ikke å utelukkende fokusere på ressurser som er direkte kritiske for produksjonen, men også identifisere andre mulige mål i eller nær virksomheten som en trusselaktør kan finne attraktivt å ramme. En oversiktlig og praktisk tilnærming er å sette opp matriser over verdiene. Først settes det opp en matrise der skadepotensialet ved ulike typer hendelser relatert til ulike ressurser vurderes. I matrisens ene akse listes de ulike typer skader som kan oppstå og langs den andre aksen ulike typer hendelser. Dette kan ofte utdypes med høy detaljgrad, men mange typer hendelser vil bare være aktuelle for visse typer ressurser. For eksempel er det naturlig å benytte hendelsestyper som tilgjengelighetsbrudd, integritetsbrudd og konfidensialitetsbrudd på informasjon (immateriell ressurs), mens tyveri, skadeverk og rettsstridig overtakelse (på stedet) vil passe bedre på materielle ressurser som lokaler, utstyr og varer. For personer som ressurs kan f eks kidnapping, utpressing og fysisk angrep være aktuelle hendelser. Eksempelet under i figur 3a viser hvordan dette kan benyttes til å vurdere skadepotensialet for strategi og markedsplaner for et tenkt foretak. Etter at vurderinger og matriser som i figur 3a er gjennomført for aktuelle ressurser, kan resultatet samles i en oversikt over alle ressursene. I matrisens ene akse listes de ulike ressursene opp og langs den andre aksen ulik kritikalitet. På den måten blir det enklere å se hvilke typer verdier som er mest kritiske og må prioriteres høyest, samt senere legge seg på et riktig sikkerhetsnivå for de ulike verdikategoriene. Skadepotensial INGEN vil føre til at ressursen anses lite viktig, LAV at det anses VIKTIG, MODERAT at det anses KRITISK og HØY at det anses MEGET KRITISK. Se figur 3b som er et eksempel for et tenkt foretak. SIDE 9

10 Figur 3a: Matrise for skadepotensial forbundet med en valgt ressurs i et tenkt foretak, her med strategi og markedsplaner (informasjonssikkerhet) som eksempel. Skadepotensial for strategi og markedsplaner Tilgjengelighetsbrudd Integritetsbrudd Konfidensialitetsbrudd Skade på liv og helse Ulempe/skade for samfunnet Redusert ytelse/tjenstenivå Skade på omdømme eller tillit Direkte økonomiske tap Brudd på lovverk Brudd på kontrakt Skade på tredjepart Tap av styring og kontroll Svekket vekst Høyeste konsekvensnivå pr hendelseskategori Høyeste konsekvensnivå totalt INGEN INGEN INGEN INGEN INGEN INGEN INGEN INGEN INGEN LAV MODERAT HØY INGEN INGEN INGEN INGEN INGEN INGEN INGEN INGEN HØY INGEN INGEN MODERAT LAV LAV INGEN INGEN INGEN MODERAT LAV MODERAT HØY HØY Figur 3b: Matrise for verdivurdering av ulike ressurser Type resurs Nivå 1: Lite viktig Nivå 2: Viktig Nivå 3: Kritisk Nivå 4: Meget kritisk Regionalt kontor (lokaler) Strategi og markedsplaner Country Manager Ansatte i administrasjonen Ansatte i produksjonen CRM-systemet Produksjonslokalene Produksjonsutstyr Administrative kjøretøy Driftskjøretøy Varelageret SIDE 10

11 5.3 Trusselvurderingen 5.3.1Trusselnivået i Norge versus andre land Mens en verdivurdering for et foretaks virksomhet i utlandet ofte vil bli ganske lik verdivurderingen for samme type virksomhet i Norge, vil truslene mot verdiene oftest være meget ulike. Norge har et lavt kriminalitetsnivå sammenlignet med de fleste andre land. At nordmenn er kjent for å være mer naive enn andre, har også en sammenheng med at det i Norge faktisk er mer uvanlig å bli utsatt for kriminalitet enn i andre land. Det er naturlig at man, bevisst eller ubevisst, legger til grunn det hjemlige trusselbildet man er vant med også for utlandet. Det er derfor spesielt viktig at nettopp norske foretak foretar en egen trusselvurdering for det aktuelle landet eller farvannet virksomheten skal operere i Trusselaktører og deres metoder Sikkerhetstrusler kan deles inn på flere måter. NSR anbefaler at man tar utgangspunkt i verdivurderingen og så vurderer hvilke aktører som antas å ha intensjon og kapasitet til å ramme de identifiserte verdiene. Aktuelle trusselaktører kan være organiserte vinningskriminelle, andre vinningskriminelle, terrororganisasjoner, andre skadevoldere, konkurrenter eller fremmede staters etterretnings- eller sikkerhetstjenester. Skillet er ikke alltid skarpt. F eks kan terrororganisasjoner finansiere virksomheten med organisert kriminalitet i form av kidnappinger, mens enkelte land benytter sin statlige etterretningstjeneste til å utøve industrispionasje til fordel for egne foretak med nasjonal forankring. Kategoriseringen gjør det imidlertid langt enklere å fokusere i det neste trinnet, som er å vurdere hvilke metoder aktuelle aktører i det aktuelle området kan antas å ville benytte og hvor sofistikert metodene kan være. Ofte vil bestemte kriminalitetsformer, metoder og teknikker kunne blinkes ut som særpreget i det aktuelle landet, distriktet eller farvannet. Da vil det også bli tydeligere hvilke type tiltak foretaket bør fokusere på. I mange land er det store forskjeller i sikkerhetstrusselen i ulike distrikter av landet. Landrisikovurderinger som kun angir et generelt risikonivå i landet er utilstrekkelige i slike tilfeller. Korrupsjon er ikke bare er en direkte trussel mot forretningsvirksomheten. I tillegg kan korrupsjon være indirekte en trussel ved at man personlig kan tas i forvaring av myndighetene dersom man nekter å betale seg ut, gjerne etter påstander om fiktive lovbrudd. I land med høyt korrupsjonsnivå er det som regel også en del andre sikkerhetsutfordringer i tillegg. Trusselen kan påvirkes av krav til foretaket fra myndighetene i aktuelle land eller distrikt. Kravene kan være politisk motiverte for f eks å høste oppslutning eller økonomisk gevinst, eller være et resultat av ulik oppfatning av risiko eller ulike kulturer. Eksempelvis kan sentrale myndigheters krav om væpnede vakter føre til at et objekt blir mer utsatt for angrep fra lokale motstandere av regimet. Andre krav kan være en viss andel lokalt ansatte eller at man benytter lokalt ansatte utpekt av myndighetene. Mer dramatisk er det om sentrale myndigheter endrer rammevilkårene som påvirker investeringer, konsesjoner og eierskap. Nasjonalisering av hele sektorer i Venezuela og Russland er eksempler på at selv store land kan være uforutsigbare. Slike forhold kan ligge utenfor en ren sikkerhetsrisikovurdering, men bør da tas høyde for i vurderingen av etterlevelsesrisikoen ( political risk ). Det er lett for at fokuset på utlandet gjør at man glemmer at også hendelser i Norge kan påvirke risikoen for virksomheten i utlandet. Kjente eksempler er karikaturtegningene av profeten Muhammed, tildelingen av Nobels fredspris og kritikk mot ambulansepersonell for manglende hjelp til personer av utenlandsk opprinnelse i konkrete saker. I en stadig mer globalisert verden skal det mindre til før hendelser raskt blir kjent i utlandet og får uante konsekvenser. Utbredelsen av sosiale medier har forsterket denne utviklingen. Det er derfor viktig i trusselvurderingen å følge med på og ta hensyn til også den hjemlige situasjonen. I vurderingen av aktuelle trusselaktører er det viktig ikke å begrense vurderingen til kun eksterne aktører. Undersøkelser og statistikk, både internasjonalt og i Norge, viser at i de fleste tilfellene foretak er påført skade, skyldes det egne medarbeidere. I hvilken grad egne medarbeidere kan utgjøre en trussel varierer mellom ulike forretningsområder og land. I bransjer og land der det f eks er høy grad av korrupsjon, underslag og SIDE 11

12 andre typer misligheter, kan det også antas at interne medarbeidere vil utgjøre en større trussel mot foretaket. Innslag av lojalitetsstrukturer som ikke er forenlig med arbeidsgivers interesser, infiltrasjon og sosial manipulasjon, er i en del land større mot norske foretak enn i Norge. I tillegg til en trusselvurdering for foretakets virksomhet i utlandet, herunder fast stasjonerte ansatte ( expatriates ), bør det foretas løpende trusselvurderinger for ansatte i foretaket som skal reise til ulike land og regioner i utlandet. Foretaket bør ha en tydelig policy for hvilket trusselnivå det aksepteres at man utsetter seg og sine medarbeidere for, samt jevnlig og ved større hendelser revidere trusselvurderingen. I trusselvurderingen bør også kulturelle forskjeller i utlandet adresseres. Det kan være lett å undervurdere lokalbefolkningen i mindre utviklede områder enn i Vesten. Atferdsnormene er ulike fra vår hjemlige sfære. Egne handlinger og utsagn kan pga kulturelle forskjeller utilsiktet og ubevisst fornærme eller provosere lokale innbyggere, samarbeidspartnere eller andre man møter. I verste fall kan det oppstå farlige situasjoner for personellet eller at forretningsvirksomheten rammes Trusselmatrise NSR anbefaler at det også for trusselvurderingen utarbeides en matrise. Trusselmatrisen kan med fordel ha like mange kategorier som verdivurderingen, slik at matrisens to akser blir proporsjonal, men det er ikke avgjørende. Typiske hovedkriminalitetsformer som kan inngå i en slik matrise er vold og press, økonomiske misligheter, samt tyveri av og skade på informasjon. For å oppnå et tilstrekkelig presisjonsnivå kan vold og press deles opp i terrorhandlinger, grove ran, kidnapping og piratvirksomhet mot løsepenger/gisselsituasjoner, utpressing, samt vold og trusler mot fremtredende personer. Økonomiske misligheter kan deles opp i korrupsjon, bedrageri og underslag. Tyveri av og skade på informasjon kan deles inn i ondsinnet programvare 1, tyveri av datautstyr, avlytting og tempestfangst 2. Se figur 4. Det er ikke noe i veien for at matrisen utvides med politiske forhold som kan medføre regulatorisk risiko eller utilsiktede hendelser, som f eks ulike typer naturkatastrofer og sosial uro, selv om det ikke inngår i security -begrepet. For en mer detaljert kategorisering av ulike trusselaktører vises det til Sikringshåndboka 3 utgitt av Forsvarsbygg. 1 Ondsinnet programvare, f eks trojanere, vil ofte være et fenomen som ikke er begrenset av landegrenser, spesielt hvis angrepet er målrettet. Likevel kan visse typer virksomheter, markeder og land være noe mer utsatt enn andre. 2 Passiv innhenting av signaler fra elektromagnetisk strålig fra elektronisk utstyr som f eks IT-systemer, signalkabler og andre metalliske ledere i nærheten av slike. 3 NSR arrangerer jevnlig kurs i Sikringshåndboka med bistand fra Forsvarsbygg. SIDE 12

13 Figur 4: Matrisen viser et eksempel på vurdering av nivået på ulike typer trusler i ulike deler av foretakets tilstedeværelser, angitt med fargekoder. Matrisens kategorier kan tilpasses iht foretakets behov. Land A, distrikt/by X Land B, distrikt/by Y Land B, distrikt/by Z Terrorhandlinger Vold og press Grovt ran Kidnapping og gisseltaking Utpressing Vold og trusler mot ledere Økonomiske misligheter Tyveri av og skade på informasjon Korrupsjon Bedrageri Underslag Ondsinnet programvare Tyveri av datautstyr Avlytting (akustisk) Tempestfangst SIDE 13

14 5.3.4 Kilder og tjenesteleverandører Når det skal utarbeides en trusselvurdering kan det benyttes en rekke kilder. For næringslivet er det normalt meget vanskelig å få sikkerhetsgradert informasjon om trusler i konkrete land fra norske myndigheter. Det er mulig å innhente informasjon fra åpne kilder, f eks Utenriksdepartementets offisielle reiseråd (landsider.no) og Utlendingsforvaltningens fagenhet for landinformasjon (landinfo.no). NSR anbefaler også vurderinger fra myndighetene i andre vestlige land, spesielt landinformasjon og reiseråd fra utenriksdepartementene i andre nordiske land, Canada og Australia, samt CIA World Factbook. Det finnes også enkelte internasjonale rapporter der omfanget av ulike kriminalitetsformer i ulike land vurderes og sammenlignes ( crime surveys ). Det kan også finnes relevante rapporter fra myndighetene i aktuelle land, men tilgjengeligheten, troverdigheten og språkbarrierer kan variere i stor grad. Transparency International gjennomfører undersøkelser om korrupsjon i de aller fleste land og offentliggjør resultatene i blant annet komparative oversikter på Internett (transparency.org). Det er flere tjenesteleverandører som tilbyr oppdaterte og grundige sikkerhetsrisikovurderinger av de fleste land i verden, myntet på både sikkerhetspersonell og reisende i foretak. Tjenestene fokuserer på trusselvurderinger og råd om sikkerhetstiltak mot aktuelle trusler. Noen av de samme tjenesteleverandørene tilbyr også vurdering av forretningsrisikoen i de fleste land, samt kontaktpersoner på lokasjonene som kan bistå ved kriser og andre alvorlige hendelser. Det finnes også leverandører som har spesialisert seg på å bistå foretak som ønsker å etablere seg i et bestemt land eller region. Selv om slike tjenester har en kostnadsside, kan det for foretak innebære en betydelig heving av kvalitet og effektivitet i sikkerhetsrisikovurderingene. 5.4 Sårbarhetsvurderingen Kjente trusler versus mulige trusler Når det er fastsatt hvilke verdier virksomheten vil beskytte og aktuelle trusler mot verdiene, er neste trinn å vurdere virksomhetens sårbarhet mot truslene. Det er naturlig å først ta utgangspunkt i de mest aktuelle scenarioene, dvs metoder og teknikker som relevante trusselaktører i eller på det aktuelle området er kjent for å benytte eller kan tenkes å benytte. Dersom tilgjengelig informasjon om truslene er såpass mangelfull at man ikke er i stand til å gi noen kvalifisert vurdering av aktører, metoder og teknikker, kan man i stedet ta utgangspunkt i muligheten for at en sårbarhet kan utnyttes. En mulighetsvurdering fokuserer på i hvilken grad en sårbarhet kan utnyttes, uavhengig av historikk og kjente aktørers intensjon og kapasitet. Ulempen med en mulighetsvurdering er at den kan oppfattes som for teoretisk. Fordelen er at den ikke begrenser seg til forhold som er kjent og tar høyde for det mange erfarer - at den neste store hendelsen eller krisen sjelden er lik den forrige man opplevde Fokuset i sårbarhetsvurderingen I komplekse forhold er det nødvendig å identifisere og beskrive kritiske prosesser i virksomheten, og hvilke ressurser prosessene er avhengig av for å fungere, jf beskrivelsen under verdivurdering. Når årsakssammenhenger og avhengigheter for måloppnåelsen er avdekket, vil det bli tydeligere hvilke elementer sårbarhetsvurderingen skal fokusere på. Om det viser seg å være et transportmiddel, et produksjonslokale, et IT-system eller en gruppe nøkkelpersoner, eller en kombinasjon av disse, vil variere fra virksomhet til virksomhet. Ved eksisterende virksomhet i utlandet er det naturlig å vurdere ved jevne mellomrom om allerede implementerte sikkerhetstiltak er hensiktsmessige og dekkende. Ved etablering av ny virksomhet må det gjøres et større arbeid i planleggingsfasen, men man står til gjengjeld friere i å vurdere ulike typer sikkerhetstiltak. De sårbarhetsreduserende tiltakene (sikkerhetstiltakene) bør bestå av en kombinasjon av organisatoriske, menneskelige og teknologiske tiltak. Med organisatoriske tiltak menes f eks identifisering av ansvar, myndighet og roller innen sikkerhet og risiko, interne retningslinjer, prosedyrer for hendelseshåndtering, beredskapsplaner og dokument-asjon av tiltakene. Menneskelige tiltak er gjerne tiltak som bakgrunnssjekk av ansatte SIDE 14

15 og innleide, kompetansetiltak, bevisstgjøringsprogrammer og lojalitetsskapende tiltak rettet mot medarbeiderne. Teknologiske tiltak er tiltak som skaper robusthet i utstyr, hjelpemidler og andre fysiske ressurser foretaket er avhengig av, f eks fysisk sikring av lokaler, IT-sikkerhet og sikring av møterom mot overhøring og avlytting. For at de teknologiske tiltakene skal virke må imidlertid ofte de organisatoriske og menneskelige tiltakene være på plass. Å f eks sikre et møterom mot avlytting hjelper lite dersom foretaket ikke sikrer seg mot infiltratører som blir ansatt og får fritt spillerom pga manglende retningslinjer og rutiner for adgang til rommet Kost-/nyttevurdering av tiltak Hvilke sikkerhetstiltak som skal benyttes avgjøres etter en kost-/nyttevurdering. I kostvurderingen må det tas hensyn til direkte økonomiske utgifter, hvor inngripende tiltaket er mot den enkeltes integritet og personvern, og spesielt om tiltaket vil redusere virksomhetens operative evne (inntjening, produksjon, leveranser osv). I nyttevurderingen inngår tiltakets effekt mot de mest aktuelle eller mest skadelige truslene (reell sikkerhet) og sikkerhetspreget tiltaket gir (opplevd sikkerhet). Med sikkerhetspreg menes evne til avskrekking mot trusselaktører, bidrag til ansattes trygghetsfølelse og betydningen for omdømmet utad. Som regel er en kombinasjon av tiltak for å oppnå både reell og opplevd sikkerhet å foretrekke, men må man velge mellom de to bør reell sikkerhet prioriteres først. SIDE 15

16 06 RISIKONIVÅET 6.1 Aksept av risiko og restrisiko Det er ikke mulig å eliminere enhver risiko. Spørsmålet er heller hvilket risikonivå som skal anses akseptabelt, og om restrisikoen etter fastsatte og gjennomførte sikkerhetstiltak er innenfor akseptabel risiko. Selv om personell innen risikostyring og sikkerhet kan gi en forholdsvis dekkende beskrivelse av sikkerhetsrisikobildet ved en virksomhet i utlandet, er det likevel resultatansvarlig som eier risikoen, i ytterste konsekvens virksomhetens øverste leder. Det er også resultatansvarlig som normalt har den beste totaloversikten over virksomhetens ulike risikofaktorer, herunder positiv risiko i betydningen muligheten for fortjeneste. Det er følgelig resultatansvarlig som må beslutte og ta ansvaret for hvilket sikkerhetsrisikonivå som skal aksepteres. 6.2 Risikopersepsjon I kvantitative risikovurderinger innen f eks teknisk safety benyttes ofte naturvitenskapelig metode. Hensikten er at alle relevante faktorer identifiseres og måles for å komme frem til et tilnærmet objektivt resultat. Med mindre det er begått rene beregningsfeil vil uenighet ofte isoleres til metodebruk. Innen security og annen operasjonell risikostyring er det vanlig å i stedet benytte kvalitative risikovurderinger. Kvalitative vurderinger er basert mer på skjønn. Endringer i atferd og skiftende intensjoner kan lettere tas hensyn til. Ulempen med kvalitative risikovurderinger er at graden av subjektivitet kan bli vel stor. Risiko vurderes ulikt av ulike mennesker, ikke bare ut i fra et faglig ståsted, men også pga ulike personlige egenskaper og erfaringer hos den enkelte. At oppfattelsen av risiko kan variere mye tilsier at risikovurderinger bør foretas av flere i fellesskap og ikke overlates til én person i bedriften. 6.3 Risikobildet Når risikobildet skal beskrives kan det gjøres ved hjelp av en matrise. Matrisen vil være et uttrykk for resultatene i både verdivurderingen, trusselvurderingen og sårbarhetsvurderingen. Innen operasjonell risikostyring benyttes ofte uttrykkene risiko før gjennomførte kontroller (iboende risiko) og risiko etter gjennomførte kontroller. Iboende risiko i security - metodikken blir det samme som en funksjon av verdi, trussel og eventuelle sikkerhetstiltak i en etablert virksomhet, mens risiko etter gjennomførte kontroller blir det samme som risiko etter at identifiserte (rest) sårbarheter er håndtert ved gjennomføring av nye sikkerhetstiltak. Selv om dette skillet kan oppleves noe konstruert, kan det likevel være en nyttig sondring når sikkerhetsrisikoen og eventuelle tiltak for å redusere den skal forklares beslutningstakere og andre som er vant til å forholde seg til begrepsapparatet innen operasjonell risikostyring. En matrise om sikkerhetsrisikobildet kan bli noe misvisende i ytterkantene dersom en nærmest matematisk tilnærming gjøres. F eks vil man anse muligheten for at en stor meteor slår ned og utsletter virksomheten som særdeles liten. Konsekvensen vil imidlertid bli katastrofal. Det skal teoretisk tilsi at man kommer i gul sone i matrisen, og dermed er villig til å bruke moderate midler til å sikre seg, men i praksis vil man ikke bruke nevneverdige ressurser på noe slikt. En slik tilnærming er i samsvar med den såkalte ALARP-modellen ( get the risk As Low as Reasonable Practicable ), introdusert i det britiske regelverket for HMS på midten av 1900-tallet. Ekstremverdier i denne delen av matrisen vil altså ofte vurderes som en liten risiko og fargekoden her settes derfor i tråd med det. Se figur 5. Dersom risikonivået vurderes som høyt bør foretaket etablere en sikkerhetsleder med kompetanse til å utføre risikovurderinger og sikkerhetsarbeid eller i det minste med bestillerkompetanse for å kunne kjøpe nødvendige spesialiserte sikkerhetstjenester av leverandører. Til slutt vil vi gjøre oppmerksom på at risikovurderinger generelt og matrisene vist til her, ofte er et resultat av høyst skjønnsmessige vurderinger basert på begrenset informasjonstilgang, begrenset tid til rådighet og personlige preferanser av den som har foretatt vurderingene. Ulempen med matrisene er at når de først er fremlagt, med sine kategorier og fargekoder, i praksis kan bli tillagt større betydning enn det strengt tatt er grunnlag for. Matrisenes fordel er at de gir en forenklet, visuell og mer intuitiv tilnærming til sikkerhetsrisiko i praksis er det ofte det som fungerer best når komplekse forhold skal forklares enkelt og kort til beslutningstakere som ikke er spesialister på feltet. SIDE 16

17 Figur 5: Risiko uttrykt som en funksjon av sannsynlighet for og konsekvens av hendelser. Fargekodene uttrykker hvilken aksept for risiko man er villig til å ta. Grønn symboliserer akseptabelt nivå, gul akseptabel i visse tilfeller og rød uakseptabel med mindre (ytterligere) tiltak iverksettes eller en gevinst som motsvarer det høye risikonivået kan påregnes. HØY M/H KONSEKVENS MODERAT L/M LAV LAV L/M MODERAT M/H HØY SANNSYNLIGHET SIDE 17

18 07 ET HELHETLIG SIKKERHETSSYSTEM Det mest kosteffektive er ofte å forebygge mot at uønskede hendelser påfører skade. Forebyggende tiltak inndeles ofte i barrierer, deteksjon og reaksjon. En barriere kan f eks være et sterkt gjerde rundt en bygning, en brannmur i IT-system eller et krav om bakgrunnssjekk før ansettelse. Deteksjon kan f eks av alt fra en alarmsensor i et bygg og overvåking av nettverksaktivitet i IT-system, til rutiner som kan avdekke korrupsjon og underslag. Reaksjon kan være en utrykningsenhet for å stanse et innbrudd, reparere et sikkerhetshull som er laget eller utnyttet eller sette en utro tjener ut av spill. Det er imidlertid naivt å tro at hendelser aldri vil inntreffe eller aldri vil påføre skade. Og det er ikke mulig å sikre seg mot alt mulig til enhver tid, ei heller å kunne forutsi nye metoder trusselaktører vil benytte i fremtiden. Sikkerhetstiltakene bør derfor også bestå av skadebegrensende tiltak for å redusere skade når en hendelse først inntrer, og gjenopprettende tiltak for å bringe virksomheten tilbake til normal drift igjen, se figur 6. Skadebegrensende og gjenopprettende tiltak benevnes ofte hendelseshåndtering eller hvis omfanget er stort krisehåndtering. Det kan bestå av alt fra reservesystemer og sikkerhetskopier av lagringsmedier, til en velfungerende kriseledelse og gode leveranseavtaler. På hvilket tidspunkt en hendelse går over til å bli en krise kan det være delte oppfatninger om. En mye brukt definisjon er at hendelser som truer bedriftens viktigste mål og som bedriften ikke er i stand til å håndtere med eksisterende prosesser eller egne ressurser er en krise. Mange anser en hendelse for å være en krise for bedriften også dersom andre oppfatter at hendelsen er en krise, selv om bedriftens ledelse ikke selv anser hendelsen å true måloppnåelsen i dette ligger at det kan oppstå en omdømmekrise som kan leve sitt eget liv i media. Det er fra enkelte hold reist kritikk mot krisebegrepet fordi uttrykket krise gjør at mange intuitivt antar at hendelsen skal håndteres av andre enn normalt, på vesentlig annen måte enn lignende hendelser i mindre skala, eller at alle beslutninger skal løftes opp til øverste ledelse. Utgangspunktet for hendelses- og krisehåndtering er imidlertid at ansvaret fortsatt tilligger den som har ansvaret til daglig (ansvarsprinsippet), organisasjonen endres ikke (likhetsprinsippet) og utfordringer skal løses på et lavest mulig nivå (nærhetsprinsippet). Opplevelsen av informasjonsunderskudd gjør at det likevel kan være behov for hurtigere kommunikasjon og et mer oppdatert situasjonsbilde enn vanlig, så enkelte koordinerings- og støttefunksjoner kan med fordel forsterkes (samordningsprinsippet). Et grunnlag for god krisehåndteringen legges i en beredskapsplan for de mest aktuelle scenarioene, jevnlig trening og øving, fleksibilitet, redundante løsninger, kompetente støttefunksjoner og en synlig og god ledelse også under selve krisen. Et godt og helhetlig sikkerhetssystem består av en kombinasjon av og balanse mellom tiltak innen alle ovennevnte kategorier. Figur 6: Tidslinjen viser sammenhengen mellom forebygging, skadebegrensing og gjenoppretting. Kartlegge Forebygge Skadebegrense Gjenopprette Gjennomføre risikovurdering Iverksette sikkerhets- og beredskapstiltak Foreta hendelses- og krisehåndtering SIDE 18

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn VEIEN MOT 2017 Innledning Kursen for de neste årene er satt. Strategien er et verktøy for å kommunisere retning og prioriteringer internt og eksternt. Strategien er et viktig styringsdokument, og skal

Detaljer

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Trusselvurderinger og sikkerhet for personell i skoler EMSS. Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune

Trusselvurderinger og sikkerhet for personell i skoler EMSS. Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune Risk Management Trusselvurderinger og sikkerhet for personell i skoler EMSS 26.11.2015 Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune Lov om arbeidsmiljø, arbeidstid og stillingsvern

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

KRISINO 2011 Kriminalitets- og sikkerhetsundersøkelsen i Norge

KRISINO 2011 Kriminalitets- og sikkerhetsundersøkelsen i Norge KRISINO 2011 Kriminalitets- og sikkerhetsundersøkelsen i Norge Justisdepartementet v/embetsmannsutvalget mot økonomisk kriminalitet (EMØK) Erland Løkken Direktør KRISINO 2011 5. gang 2500 virksomheter

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert,

Detaljer

Beredskapsplan for Pedagogiske tjenester

Beredskapsplan for Pedagogiske tjenester Beredskapsplan for Pedagogiske tjenester Utarbeidet av: Gunn Alice Andersen, Dato: 11.05.2016 Frode Olsen og Hans Birger Nilsen Godkjent av: Roar Aaserud Dato: 13.05.2016 Oppdatert av: Dato: Planen revideres

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Stiftere. 25. november 2015 Jack Fischer Eriksen Næringslivets Sikkerhetsråd

Stiftere. 25. november 2015 Jack Fischer Eriksen Næringslivets Sikkerhetsråd Stiftere 25. november 2015 Jack Fischer Eriksen Næringslivets Sikkerhetsråd Næringslivets Sikkerhetsråd Stiftere og styret Næringslivets sentrale organisasjoner mv Formål Forebygge kriminalitet i og mot

Detaljer

Hvordan beskytte kritisk infrastruktur Yngve Slagnes yngve.slagnes@forsvarsbygg.no 48103052

Hvordan beskytte kritisk infrastruktur Yngve Slagnes yngve.slagnes@forsvarsbygg.no 48103052 FOR ET TRYGGERE NORGE Nasjonalt kompetansesenter for sikring av bygg EN DEL AV FORSVARSBYGG FUTURA Hvordan beskytte kritisk infrastruktur Yngve Slagnes yngve.slagnes@forsvarsbygg.no 48103052 Agenda Hva

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgivelsesdato: 07.06.2010 1 Bakgrunn...2 2 Hensikt...2 3 Omfang...2 4 Sentrale krav...2 5 Generelt om målstyring...4

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

NS 5831 SAMFUNNSSIKKERHET BESKYTTELSE MOT TILSIKTEDE UØNSKEDE HANDLINGER KRAV TIL SIKRINGSRISIKOSTYRING

NS 5831 SAMFUNNSSIKKERHET BESKYTTELSE MOT TILSIKTEDE UØNSKEDE HANDLINGER KRAV TIL SIKRINGSRISIKOSTYRING Kristoffer Polak, Standard Norge 2015-04-13 NS 5831 og NS 5832 NS 5831 SAMFUNNSSIKKERHET BESKYTTELSE MOT TILSIKTEDE UØNSKEDE HANDLINGER KRAV TIL SIKRINGSRISIKOSTYRING NS 5832 SAMFUNNSSIKKERHET BESKYTTELSE

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Jeg skal

Detaljer

ALVORLIGE HENDELSER I BARNEHAGER OG UTDANNINGSINSTITUSJONER En veiledning for beredskapsplanlegging

ALVORLIGE HENDELSER I BARNEHAGER OG UTDANNINGSINSTITUSJONER En veiledning for beredskapsplanlegging ALVORLIGE HENDELSER I BARNEHAGER OG UTDANNINGSINSTITUSJONER En veiledning for beredskapsplanlegging Formål Formålet med veilederen er å styrke bevisstheten om og betydningen av gode og oppdaterte beredskapsplaner

Detaljer

Finansiell revisjon revisjonsmandatet og misligheter

Finansiell revisjon revisjonsmandatet og misligheter Finansiell revisjon revisjonsmandatet og misligheter Studiesamling 2014 for fylkeskommunale kontrollutvalg på Vestlandet Cicel T. Aarrestad Revisjonsdirektør og statsautorisert revisor www.rogaland-revisjon.no

Detaljer

Samfunnsviktig infrastruktur og kritiske objekter

Samfunnsviktig infrastruktur og kritiske objekter Samfunnsviktig infrastruktur og kritiske objekter Kapt Trond Sakshaug Planoffiser HV-01 Orienteringen er UGRADERT Innhold Begreper og perspektiv Generelle hovedinntrykk fra prosessen Trussel Trussel Hva

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgitt første gang: 07.06.2010. Oppdatert: 02.05.2012 1 Bakgrunn... 2 2 Hensikt... 2 3 Omfang... 2 4 Sentrale

Detaljer

Sikkerhetsmessig verdivurdering

Sikkerhetsmessig verdivurdering For DECRIS 12 juni 2008 Sikkerhetsmessig verdivurdering Stein Henriksen Stab Navn Navnesen stein.henriksen@nsm.stat.no Avdeling www.nsm.stat.no navn.navnesen@nsm.stat.no www.nsm.stat.no 1 Nasjonal sikkerhetsmyndighet

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Risiko og sårbarhetsanalyser

Risiko og sårbarhetsanalyser Risiko og sårbarhetsanalyser Et strategisk verktøy i sertifiseringsprosessen ISO 14001 Nasjonal miljøfaggruppe 30.05.13 Miljørådgiver Birte Helland Gjennomgang Teoretisk gjennomgang av hva risiko er Hvorfor

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Prosjekt Sikkerhet i sykehus

Prosjekt Sikkerhet i sykehus Prosjekt Sikkerhet i sykehus Styremøte, 15.10.15 Øyvind Grimestad Sikkerhetssjef SSHF 48 29 51 30 Dirmøte HSØ 22.08.13 FUNN Gir disse oss et nivå for sikkerhetsarbeid på sykehus? Mandatet Prosjektet utarbeider

Detaljer

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal FFI-forum 16. juni 2015 Oppdrag Vurdere to tilnærminger til risikovurdering som FB bruker Gi en oversikt

Detaljer

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett.

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett. FORSLAG TIL SIKRINGSBESTEMMELSER I FORM AV ENDRINGER I SIKKERHETSSTYRINGSFORSKRIFTEN (sif) Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv

Detaljer

RISIKOANALYSE (Grovanalyse)

RISIKOANALYSE (Grovanalyse) RISIKOANALYSE (Grovanalyse) Mars Side 1 av 7 Risikoanalyse(Grovanalyse) Ifølge Norsk Standard (NS 5814) er begrepet risiko definert som: «Uttrykk for den fare som uønskede hendelser representerer for mennesker,

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Organiserte kriminelle grupper En trussel mot næringslivet?

Organiserte kriminelle grupper En trussel mot næringslivet? Kontrollnr:. 011 NCIS Norway National Criminal Investigation Service Organiserte kriminelle grupper En trussel mot næringslivet? NSR Sikkerhetskonferansen 20.september 2011 Atle Roll-Matthiesen atle.roll@politiet.no

Detaljer

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av IKT og betalingstjenester Seksjonssjef Frank Robert Berg Finanstilsynet Risikobildet

Detaljer

«Føre var» Risiko og beredskap

«Føre var» Risiko og beredskap «Føre var» Risiko og beredskap 25. august 2015 Seniorrådgiver Randi Moskvil Letmolie «Føre var» for hva? KRISE Hva er en krise/ uønsket hendelse? En situasjon som kan komme til å true liv, helse, miljø,

Detaljer

Sikkerhet innen kraftforsyningen

Sikkerhet innen kraftforsyningen Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

MØRKETALLSUNDERSØKELSEN 2010

MØRKETALLSUNDERSØKELSEN 2010 MØRKETALLSUNDERSØKELSEN 2010 Mørketallsundersøkelsen 2010 7. undersøkelsen Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av

Detaljer

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda www.pwc.no Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1 Erfaring med implementering av

Detaljer

VERDIVURDERING OBJEKTSIKKERHET

VERDIVURDERING OBJEKTSIKKERHET VERDIVURDERING OBJEKTSIKKERHET Sikkerhetsmåneden, oktober 2014 Bjørn Egeland Seniorrådgiver Seksjon for objektsikkerhet SLIDE 1 Γνώθι Σεαυτόν «Kjenn deg selv» Overlegen krigføring er å vinne uten strid

Detaljer

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS Kjell Arne Knutsen Direktør DSS NSM sikkerhetskonferanse mars 2015 Formål Formidle noen nyttige erfaringer fra DSS 1. Innledning Kort om

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Gjelder fra: 19.08.2014. Godkjent av: Fylkesrådet

Gjelder fra: 19.08.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.7.0 Metode beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 19.08.2014 Godkjent av: Fylkesrådet Dok.type: Styringsdokumenter Sidenr: 1 av 7

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kim Ellertsen, direktør NSR. En ny identitet blir stjålet hvert 4.sekund

Kim Ellertsen, direktør NSR. En ny identitet blir stjålet hvert 4.sekund Security ID-tyveri Kim Ellertsen, direktør NSR 1 ID tyveri En ny identitet blir stjålet hvert 4.sekund 15 mill. amerikanere har blitt frastjålet sin identitet i 2006 Det tar typisk ett år å finne ut at

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

HMS-forum 2013. Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger

HMS-forum 2013. Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger HMS-forum 2013 Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger Arild A. Danielsen Risk Manager arild.danielsen@fada.no 1 Risikovurdering Det vanlige er at risiko er et uttrykk

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

20. september 2011, Sikkerhetskonferansen (NSR) John G. Bernander, administrerende direktør, NHO:

20. september 2011, Sikkerhetskonferansen (NSR) John G. Bernander, administrerende direktør, NHO: 20. september 2011, Sikkerhetskonferansen (NSR) John G. Bernander, administrerende direktør, NHO: KOMMENTARER TIL KRISINO 2011 Takk for invitasjonen! NHO er en av stifterne av NSR. Vi bruker NSR som fagkyndig

Detaljer

Fra ROS analyse til beredskap

Fra ROS analyse til beredskap Fra ROS analyse til beredskap perspektiv fra offshoreindustrien ESRA seminar, 21.mai 2014 PREPARED. Eldbjørg Holmaas NTH - 94 Ind. øk. Arb.miljø og sikkerhet OD (nå Ptil) 1 år - Elektro og sikringssystemer.

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Utviklingsprosjekt: Endring av beredskapsorganisering i Helse Fonna HF. Nasjonalt topplederprogram. Anne Hilde Bjøntegård

Utviklingsprosjekt: Endring av beredskapsorganisering i Helse Fonna HF. Nasjonalt topplederprogram. Anne Hilde Bjøntegård Utviklingsprosjekt: Endring av beredskapsorganisering i Helse Fonna HF Nasjonalt topplederprogram Anne Hilde Bjøntegård Bakgrunn og organisatorisk forankring for prosjektet De siste års hendelser nasjonalt

Detaljer

Sikkerhetskonferansen 20.september 2007

Sikkerhetskonferansen 20.september 2007 Sikkerhetskonferansen 20.september 2007 Narkotikautvalget Rusfritt arbeidsmiljø Seniorrådgiver Arne Røed Simonsen Narkotikautvalget 2003-2004 I august 1999 gjennomførte Næringslivets sikkerhetsorganisasjon

Detaljer

DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID. (HMS - plan) for Norsk Biokraft AS 2015-2016

DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID. (HMS - plan) for Norsk Biokraft AS 2015-2016 DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID (HMS - plan) for Norsk Biokraft AS 2015-2016 januar 2015 Rev.nr.1.0 Erstatter plan av oktober 2012 Utarbeidet av Norsk Biokraft AS

Detaljer

DET DIGITALE TRUSSEL- OG RISIKOBILDET

DET DIGITALE TRUSSEL- OG RISIKOBILDET DET DIGITALE TRUSSEL- OG RISIKOBILDET SIKKERHETSKONFERANSEN DIGIN Kristiansand, 22. september 2015 Roar Thon Fagdirektør sikkerhetskultur Nasjonal sikkerhetsmyndighet 1 Illustrasjon: colourbox.com Trussel-

Detaljer

Grete Faremos tale pa Sikkerhetskonferansen 2013

Grete Faremos tale pa Sikkerhetskonferansen 2013 Grete Faremos tale pa Sikkerhetskonferansen 2013 Av: Justis- og beredskapsminister Grete Faremo Åpning av konferansen og utdeling av Fidusprisen Innledning Kjære alle sammen! Det er en glede for meg å

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

TRUSSELVURDERING 2008

TRUSSELVURDERING 2008 Politiets sikkerhetstjenestes (PST) årlige trusselvurdering er en analyse av den forventede utvikling innenfor PSTs hovedansvarsområder, med fokus på forhold som kan påvirke norsk sikkerhet og skade nasjonale

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN INNLEDNING Finans Norge utvikler årlig rapport om trusler og sikkerhetsutfordringer som finansnæringen står overfor.

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hva skal vi snakke om? IT-sikkerhet et ledelsesansvar Trusler KRAV/BIA Kontinuitet og ROS Håndtering av IT-kriser

Detaljer

BEREDSKAPSPLAN FOR SYKEHUSAPOTEK NORD HF

BEREDSKAPSPLAN FOR SYKEHUSAPOTEK NORD HF BEREDSKAPSPLAN FOR SYKEHUSAPOTEK NORD HF HENSIKT Å gi retningslinjer for hvordan en skal sikre drift av enhetene i Sykehusapotek Nord HF i situasjoner hvor bemanningen er for lav pga. uforutsett fravær,

Detaljer

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 Sissel H. Jore Sissel H. Jore -Hvem er jeg? Master og PhD Samfunnssikkerhet og risikostyring, UIS. Avhandlingens tittel:

Detaljer

Slik jobber Avinor med sikkerhet

Slik jobber Avinor med sikkerhet Slik jobber Avinor med sikkerhet Aslak Sverdrup, Lufthavndirektør Drivkrefter for trafikkvekst Globalisering Befolkningsvekst Økt BNP Generell velstandsvekst Lav prisstigning på flybilletter Forventet

Detaljer

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet Einar J. Lyford, Finanstilsynet Oslo 3. mai 2012 Bankers 3 strategiske dimensjoner

Detaljer

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT Berlevåg kommune Overordnet ROS analyse Risiko og sårbarhetsanalyse for Beredskapsavdelingen Innhold INNLEDNING... 3 KATEGORISERING AV SANNSYNLIGHET OG KONSEKVENS... 3 STYRENDE DOKUMENTER... 3 VURDERING

Detaljer

Etiske retningslinjer pr. 12.10.2011. www.kommunalbanken.no

Etiske retningslinjer pr. 12.10.2011. www.kommunalbanken.no Etiske retningslinjer pr. 12.10.2011 www.kommunalbanken.no Innhold Etiske retningslinjer Revidert 24.6.05 Revidert 17.10.05 Revidert 12.10.11 Etikk 3 Interessekonflikter og habilitet 3 Gaver og andre fordeler

Detaljer

Beredskap rammeverket

Beredskap rammeverket Beredskap rammeverket Kravene til ROS-analyser og nødvendige beredskapsforberedelser i kommunale vannverk, er nedfelt i forskrift om krav til beredskapsplanlegging og beredskapsarbeid mv. hjemlet i Lov

Detaljer

Forebygging og avdekking av interne misligheter i DnB NOR

Forebygging og avdekking av interne misligheter i DnB NOR Forebygging og avdekking av interne misligheter i DnB NOR NIRF - Nettverksmøte om Økonomisk kriminalitet Torsdag 16. februar 2006 Revisjonsleder Ole Hansen, DnB NOR Konsernrevisjonen Rammevilkår Interne:

Detaljer

Oppsummeringsrapport helhetlig risiko- og sårbarhetsanalyse sivilbeskyttelsesloven

Oppsummeringsrapport helhetlig risiko- og sårbarhetsanalyse sivilbeskyttelsesloven Oppsummeringsrapport helhetlig risiko- og sårbarhetsanalyse sivilbeskyttelsesloven 1. INNLEDNING... 3 1.1 Sammendrag... 3 1.2 Bakgrunn... 3 1.3 Lov- og forskriftskrav... 4 2. PROSESS OG METODE... 4 2.1

Detaljer

Tjenesteavtale for omforente beredskapsplaner mellom kommune X og St. Olavs hospital HF.

Tjenesteavtale for omforente beredskapsplaner mellom kommune X og St. Olavs hospital HF. 1 Formatert: Bredde: 8.5", Høyde: 11" Tjenesteavtale for omforente beredskapsplaner mellom kommune X og St. Olavs hospital HF. 1 BAKGRUNN Partene er etter lov om kommunele helse- og omsorgstjenester av

Detaljer

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst Menneskelige og organisatoriske risikofaktorer i en IO-kontekst The interplay between integrated operations and operative risk assessments and judgements in offshore oil and gas Doktoravhandling Siri Andersen

Detaljer

Direktoratet for samfunnssikkerhet og beredskap

Direktoratet for samfunnssikkerhet og beredskap Direktoratet for samfunnssikkerhet og beredskap Host Nation Support Veileder for vertsnasjonstøtte Tonje Espeland 4. november 2014 Innhold 1. Vertsnasjonstøtte 2. Veileder for vertsnasjonstøtte 2014 3.

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Etikk, moral og selvjustis i farlig avfallsbransjen. Behov for oppvask? Runa Opdal Kerr, juridisk direktør og Chief Compliance Officer

Etikk, moral og selvjustis i farlig avfallsbransjen. Behov for oppvask? Runa Opdal Kerr, juridisk direktør og Chief Compliance Officer Etikk, moral og selvjustis i farlig avfallsbransjen. Behov for oppvask? Runa Opdal Kerr, juridisk direktør og Chief Compliance Officer Farlig avfall konferansen 2014 Norsk Gjenvinning-konsernet i 2013

Detaljer

Beredskapsplan ( 15/ 4) krav og kriterier

Beredskapsplan ( 15/ 4) krav og kriterier Beredskapsplan ( 15/ 4) krav og kriterier Loven gjelder for alle et avvik i Finnmark bør også være et avvik i Vestfold Men kommunenes størrelse forskjellig med henblikk på befolkning og virksomhet ulike

Detaljer

Håkon Olsen Overingeniør Lloyd s Register Consulting

Håkon Olsen Overingeniør Lloyd s Register Consulting Håkon Olsen Overingeniør Lloyd s Register Consulting Hvordan skal jeg forholde meg til trusler fra cyberspace? Working together for a safer world Cybersikkerhet blåser det opp til storm? Cybersikkerhet

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Risikostyring og Risikoworkshop - BI seminar 24.april 2014. NAV Internrevisjonen. Revisjonssjef Jørgen Bock

Risikostyring og Risikoworkshop - BI seminar 24.april 2014. NAV Internrevisjonen. Revisjonssjef Jørgen Bock Risikostyring og Risikoworkshop - BI seminar 24.april 2014 NAV Internrevisjonen Revisjonssjef Jørgen Bock Arbeids- og velferdsetaten korte fakta Etablert 1. juli 2006 Partnerskap i alle kommuner 457 NAV-kontor

Detaljer

Mørketallsundersøkelsen 2006

Mørketallsundersøkelsen 2006 Mørketallsundersøkelsen 2006 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2006 27-28 September 1 Mørketallsundersøkelsen Dette er den 5. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg.

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg. Dok.id.: 1.3.1.7.0 Metode for beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 02.02.2016 Godkjent av: Camilla Bjørn Dok.type: Styringsdokumenter Sidenr:

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Regionalt beredskapsutvalg ønsker velkommen til beredskapsseminar

Regionalt beredskapsutvalg ønsker velkommen til beredskapsseminar Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle som trenger det, når de trenger det, uavhengig av alder, bosted, etnisk bakgrunn, kjønn og økonomi. Regionalt beredskapsutvalg ønsker velkommen

Detaljer

UGRADERT TRUSSELVURDERING 2007

UGRADERT TRUSSELVURDERING 2007 Politiets sikkerhetstjeneste utarbeider hvert år en trusselvurdering med beskrivelse av forventet utvikling innenfor PSTs ansvarsområder. Trusselvurderingen som er gradert, bygger på ulike kilder, inkludert

Detaljer

Hva er risikostyring?

Hva er risikostyring? Hva er risikostyring? EBL workshop - DNV innlegg Tore Magler Wiggen, Senior Consultant / Lawyer, Cleaner Energy, DNV Energy. 22.10.2008 Agenda Risiko definisjon og begreper Risikovurdering risikoanalyse

Detaljer

Kriminalitets- og sikkerhetsundersøkelsen i Norge (KRISINO ) 2006. Tirsdag 28. november 2006

Kriminalitets- og sikkerhetsundersøkelsen i Norge (KRISINO ) 2006. Tirsdag 28. november 2006 Kriminalitets- og sikkerhetsundersøkelsen i Norge (KRISINO ) 2006 Tirsdag 28. november 2006 Om undersøkelsen Undersøkelse om kriminalitet og sikkerhet i Norge 2526 telefonintervju med ledere/sikkerhetsansvarlig

Detaljer

Dere vet alle hvorfor kampen mot den økonomiske kriminaliteten er så viktig:

Dere vet alle hvorfor kampen mot den økonomiske kriminaliteten er så viktig: Innledning Først vil jeg benytte anledningen til å takke for invitasjonen og gi honnør til Næringslivets sikkerhetsråd for denne årlige konferansen. Møteplasser som dette er viktige for å dele kunnskap

Detaljer

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen Tilsynssaker vedrørende kontrollfunksjonen Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen Kontrollfunksjonen er et viktig prioriteringsområde ved stedlige

Detaljer

Den kommunale beredskapenfungerer

Den kommunale beredskapenfungerer Fylkesmannen i Sør-Trøndelag Den kommunale beredskapenfungerer den? Fylkesberedskapssjef Dag Otto Skar Fylkesmannen skal Beredskapsinstruksen samordne samfunnssikkerhets- og beredskapsarbeidet i fylket

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Retningslinje for omforente helseberedskap mellom.. kommune og St. Olavs Hospital HF.

Retningslinje for omforente helseberedskap mellom.. kommune og St. Olavs Hospital HF. Utkast 10.12.15 Retningslinje for omforente helseberedskap mellom.. kommune og St. Olavs Hospital HF. 1 BAKGRUNN Partene er etter lov om kommunale helse og omsorgstjenester av 14. juni 2011 pålagt å inngå

Detaljer