Standarder for informasjonssikkerhet Rune Ask
|
|
- Ina Cecilie Jansen
- 8 år siden
- Visninger:
Transkript
1 Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas
2 Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC Oversikt og terminologi ISO/IEC Krav til styringssystem for informasjonssikkerhet ISO/IEC Iverksetting av sikringstiltak ISO/IEC Måling ISO/IEC Risikostyring ISO/IEC Virksomhetsstyring av informasjonssikkerhet
3 Det Norske Veritas - DNV En uavhengig stiftelse etablert i kontorer i 100 land 9000 ansatte fra over 85 nasjoner Hovedkontor Lokale kontorer
4 Det Norske Veritas - DNV Vårt mål: Å arbeide for sikring av liv, verdier og miljø Vår visjon: Global påvirkning for en trygg og bærekraftig framtid
5 DNVs fokusområder DNV is a world leading classification society - 15,5% of the world fleet to class - 17% of ships ordered in % of maritime fuel testing market - Authorised by 130 national maritime authorities - Continuous high performance in Port State Control worldwide Broad experience in the energy industry - Cross-disciplinary competence within risk, management, technology and operational expertise - Our services and solutions are built on leading edge technology - Offshore pipeline technology leader - DNV Offshore Rules for pipelines recognised as world class - Deep water technology - Providing reliable verification and qualification of unproven technology - Broad experience with LNG/Natural Gas Services to industries - Product certification - Management system certification - More than 80 national accreditations and certificates issued worldwide - Corporate Responsibility - Governance responsibility assessment - Supply chain management - Verification of sustainability reporting - IT risk management services - Business consulting services and solutions - Enterprise risk management - Safety, Health and Environmental (SHE) risk management - Change management - Software products and services - Training
6 Rune Ask CISA, CISM, ITIL foundation Ansatt som IT Security Risk & Compliance Manager i DNV Tidligere daglig leder i programvarefirma, IT-sjef i rederi og sikkerhetskonsulent i revisjons- og konsulentselskaper pluss mye mer Tidligere nestleder i IT-SikkerhetsForum i seks år Tidligere fast plass i det offentlige Forum for IT-sikkerhet ISACA Information Systems Audit & Control Association CISA Certified Information Systems Auditor siden 1995 CISM Certified Information Security Manager siden 2003 Deltok i utarbeidelsen av God IT-Skikk nr. 2 (GITS-2) Tilgangskontroll Skrev GITS-5 Bruk av Internett ISO/IEC (tidligere BS ) Deltok i utviklingen av den siste versjonen av BS Foretok den offisielle oversettelsen av standarden til norsk NS 7799 Deltok i videreutviklingen av standarden i ISO (ISO/IEC JTC1/SC27 WG1) ISO/IEC (tidligere ISO/IEC 17799) Satt i redaksjonskomitéen for den norske oversettelsen av ISO/IEC Framla dokumentet for godkjenning hos Norges Standardiseringsforbund Deltok i videreutviklingen av standarden i ISO (ISO/IEC JTC1/SC27 WG1) Leder av Standard Norge sin arbeidsgruppe for informasjonssikkerhet K171 Norges Head-of-Delegation under møter i ISO/IEC JTC1/SC27
7 Sikkerhetsstandardene litt historie BS 7799 Code of Practice for Information Security Management Utvikling påbegynt tidlig på 1990-tallet Utviklet av Department of Trade and Industry - BSI DISC - British Telecom - Shell - Unilever - Midland Bank - Marks and Spencer - Nationwide Building Soc. Første versjon sluppet i deler - I Introduksjon og bruksforklaring - II Individuelle sikringstiltak
8 10 nøkkelpunkter 1. Sikkerhetspolicy 2. Tildeling av ansvar 3. Opplæring og kursing i informasjonssikkerhet 4. Rapportering av sikkerhetshendelser 5. Viruskontroll 6. Kontinuitetsplanlegging 7. Kopieringskontroll 8. Beskyttelse av virksomhetsdata 9. Etterlevelse av lover og forskrifter 10. Etterlevelse av sikkerhetspolicyen
9 BS 7799 Ny versjon i 1995 To dokumenter - Det «gamle» Code of Practice - Sammenstilling av sikringsmålene Noe oppdatering av dokumentet - Nøkkelområdene fjernet Foreslått som ISO-standard Ny versjon i Dokument 1 noe oppdatert - Dokument 2 ink. Struktur for arbeid med informasjonssikkerhet Dokument 1 foreslått som ISO-standard via Fast-Track
10 ISO/IEC Vedtatt 8. august 2000 i Tokyo Publisert 1. desember 2000
11 ISO/IEC Norsk standard i mai 2001 NS-ISO/IEC Sertifisering gjøres etter BS :2002 (NS 7799) - Baserer seg på tiltakene i ISO/IEC 17799:2000 Revisjon av ISO/IEC vedtatt 24. oktober 2001 Arbeidsmøter i ISO/IEC JTC1/SC27 WG1 - Berlin, mai 2002, ~750 endringsforslag - Warszawa, oktober 2002, ~650 endringsforslag - Quebec, april endringsforslag - Paris, oktober 2003, ~1000 endringsforslag - Singapore, mai 2004, ~700 endringsforslag - Berlin, juni 2004 Ad-hoc-møte 0 endringsforslag - Fortaleza, oktober Wien, april Kuala Lumpur, november 2005
12 Nyere historie Ønske om internasjonal standard for sertifisering av informasjonssikkerhet Krav om bakoverkompatibilitet pga. eksisterende sertifikater Storbritannia tilbyr BS Kjøres gjennom Fast Track med enkelte endringer Vedtatt som ISO/IEC i 2005 April 2007: ISO/IEC skifter navn til ISO/IEC : Det vedtas at ISO/IEC & skal revideres 2010: Samkjøring av styringssystemer - ISO 9000, ISO 14000, ISO/IEC 20000, ISO 22000,... - ISO/IEC er annerledes
13 SC27 Platinum Book For mer historie om arbeidet med sikkerhetsstandardene last ned SC27 Platinum Book
14 ISO/IEC 27xxx-familien
15 ISO/IEC 27xxx-familien ISO/IEC Information security management system Overview and vocabulary (2009. Under revisjon) ISO/IEC Information security management system Requirements (2005. Under revisjon) ISO/IEC Code of practice for information security management (2005. Under revisjon) ISO/IEC Information security management system implementation guidance (2010) ISO/IEC Information security management Measurements (2009) ISO/IEC Information security risk management (2008, FDIS) ISO/IEC Requirements for bodies providing audit and certification of information security management systems (2007. Under revisjon) ISO/IEC Guidelines for information security management system auditing (FCD) ISO/IEC Guidelines for auditors on information security controls (DTR)
16 ISO/IEC 27xxx-familien ISO/IEC Information security management for inter-sector and interorganisational communications (CD) ISO/IEC Information security management guidelines for telecommunications organizations based on ISO/IEC (2008) ISO/IEC Information security management systems guidelines for electronic government (Cancelled) ISO/IEC Guidelines on the integrated implementation of ISO/IEC and ISO/IEC (WD) ISO/IEC Governance of information security (CD) ISO/IEC Information security management systems guidelines for financial services (WD)
17 ISO/IEC 27xxx-familien ISO/IEC Guidelines for ICT Readiness for Business Continuity (Draft) ISO/IEC Guidelines for cybersecurity (WD) ISO/IEC Network security (MultiPart) ISO/IEC Application security (FCD) ISO/IEC Information security incident management (FDIS) ISO/IEC Guidelines for security of outsourcing (WD) ISO/IEC Guidelines for identification, collection and/or acquisition and preservation of digital evidence (WD) ISO Information security management in health using ISO/IEC (2008) Pekere:
18 ISO/IEC Information technology Security techniques Information security management systems Overview and vocabulary Inneholder rester fra ISO/IEC og definisjoner fra ISO/IEC 27001/2/5 Hva er et styringssystem for informasjonssikkerhet (ISMS) Hvorfor er et det viktig med et ISMS Prosesstilnærming - Plan, Do, Check, Act Etablere, monitorere, vedlikeholde og forbedre et ISMS - Identifiser krav til informasjonsikkerhet - Vurder informasjonsikkerhetsrisikoene - Velg og implementer sikringstiltak - Overvåking, oppfølging og forbedring Kritiske suksessfaktorer ved implementering av et ISMS Overordnet innføring i familien Standarden vil bli revidert relativt ofte
19 ISO/IEC Information security management systems Requirement Planlegg Plan Etablere ISMS-et Interessenter Utfør Do Iverksette og forvalte ISMS-et Kretsløp for utvikling, vedlikehold og forbedring Vedlikeholde og forbedre ISMS-et Korrigere Act Interessenter Overvåke og revidere ISMS-et Krav og forventninger til informasjonssikkerhet Kontroller Check Styrt informasjonssikkerhet
20 ISO/IEC Etablere et ISMS Definere omfanget til ISMS Definere en ISMS-policy Definere tilnærmingsmåte for risikovurderinger Identifisere risikoene Analysere og evaluere risikoene Identifisere og evaluere alternativer for håndtering av risikoene Velge mål for tiltakene og tiltak for å behandle risikoene Innhente ledelsens godkjenning for restrisikoene Innhente ledelsens godkjenning til å iverksette og drifte ISMS Utarbeide anvendelighetserklæringen (SoA - Statement of Applicability) Do Plan Check Act
21 ISO/IEC Implementere og forvalte ISMS Formulere en handlingsplan for risiko Implementere handlingsplanen for risiko Implementere valgte sikringstiltak som oppfyller målet for informasjonssikkerhet Do Plan Check Definere hvordan effektiviteten på tiltakene skal måles, og spesifisere hvordan målingene skal benyttes til å avdekke tiltakenes virkningsgrad på en måte som kan repeteres og sammenliknes Iverksette bevisstgjørings- og opplæringsprogrammer Administrere oppgavene i styringssystemet Administrere ressursene i styringssystemet Implementere prosedyrer og andre tiltak for raskt å kunne oppdage og håndtere sikkerhetsbrudd Act
22 ISO/IEC Monitorere og revidere ISMS Gjennomføre prosedyrer for overvåking Gjennomføre regelmessig gjennomganger av effektiviteten til styringssystemet Måle effektiviteten på sikringstiltakene for å verifisere at kravene til sikkerhet oppfylles Jevnlig gjennomføre risikovurderinger og vurdere om nivået på restrisiko og akseptabel risiko er riktig Jevnlig gjennomføre interne revisjoner av styringssystemet Jevnlig gjennomføre ledelsens gjennomgang av ISMS for å verifisere at omfanget er riktig og at forbedringer av styringssystemet kan identifiseres Oppdatere planer sikring basert på observasjoner gjort under revisjoner og gjennomganger Dokumentere aktiviteter og hendelser som kan påvirke egnetheten og effektiviteten til styringssystemet Do Plan Check Act
23 ISO/IEC Vedlikeholde og forbedre ISMS Implementere de identifiserte forbedringene i styringssystemet Iverksette dekkende korrektive og preventive tiltak og aktiviteter Kommunisere aktivitetene og forbedringene til alle interessenter og dersom det er relevant, innhente samtykke til videre aktiviteter Sikre at forbedringene oppnår de forventede målene Do Plan Check Act
24 ISO/IEC Vedlegg A 11 områder 39 sikringsmål 133 sikringstiltak 5 Sikkerhetspolicy 5.1 Informasjonssikkerhetspolicy Mål: Å gi rettledning og støtte fra ledelsen i forbindelse med informasjonssikkerhet i overensstemmelse med virksomhetskravene og relevante lover og forskrifter Dokumentasjon av informasjonssikkerhetspolicyen Revisjon av informasjonssikkerhetspolicyen Dokumentasjon av informasjonssikkerhetspolicyen skal godkjennes av ledelsen og offentliggjøres og formidles på en hensiktsmessig måte til alle ansatte og relevante eksterne interessenter. Informasjonssikkerhetspolicyen skal revideres med planmessige mellomrom eller hvis det oppstår betydelige endringer, for å sikre at policyen er egnet, passende og effektiv.
25 ISO/IEC Code of practice for information security management Neste versjon: Code of practice for information security controls En katalog med forslag til sikringstiltak 11 områder Security areas 5 Informasjonssikkerhetspolicy 6 Organisering av informasjonssikkerhet 7 Administrasjon av aktiva 8 Personellsikkerhet 9 Fysisk og miljømessig sikkerhet 10 Kommunikasjons- og driftsadministrasjon 11 Aksesskontroll 12 Anskaffelse, utvikling og vedlikehold av informasjonssystemer 13 Administrasjon av informasjonssikkerhetsbrudd 14 Kontinuitetsplanlegging 15 Samsvar 39 mål Security Objectives 133 tiltak Security Controls
26 ISO/IEC Control objective Sikringsmål for området Control Krav til sikringstiltak Én setning Organisasjonen bør iverksette tiltak for informasjonssikkerhet Implementation guidance Omfattende råd om hvordan sikringstiltaket kan innføres Other information Ytterligere råd Pekere til andre standarder og relevant informasjon
27 Eksempel fra ISO/IEC 27002
28 ISO/IEC Information security management Measurements Måling av informasjonssikkerhet Effektiviteten til ett enkelt sikringstiltak eller til en gruppe av tiltak - Effectivness not efficiency Hvordan sette opp et regime for måling - Måleprogram - Repeterbarhet Hvordan målinger kan gjennomføres - Kvantitative - Kvalitative - Frekvens Hvilke typer elementer finnes - Basismålinger - Avledede målinger - Skalaer - Vekting - Indikatorer
29 ISO/IEC Information security risk management Beskrivelse av prosessen for risikostyring - Definere omfang - Registrere aktiva - Definere akseptabelt risikonivå - Identifisere trusler - Avdekke sårbarheter - Utføre risikovurdering - Iverksette sikringstiltak - Informere interessenter - Gjenta ad infinitum Vedlegg - Liste over sårbarheter - Liste over trusler - Verdifastsetting av aktiva
30 Forretningsvirksomhet ISO/IEC Governance of Information Security Styring/Strategi Virksomhetsstrategi Virksomhetsforvaltning Strategitilpasning Verdileveranse Informasjonssikkerhetsstrategi Forvaltning av informasjonssikkerhet Ledelse/Forvaltning Informasjonssikkerhet
31 ISO/IEC Prinsipper for god virksomhetsstyring av informasjonssikkerhet 1. Innfør informasjonssikkerhet i hele organisasjonen 2. Innfør en risikobasert tilnærming 3. Bestem målsetning for investeringer 4. Påse etterlevelse med interne og eksterne krav 5. Tilstrebe en bedriftskultur som er positiv til informasjonssikkerhet 6. Vurder ytelsen relatert til virksomhetens mål
32 ISO/IEC Modell for virksomhetsstyring av informasjonssikkerhet Styre Overvåke Evaluere Rapportere Forsikre
33 Spørsmål? Takk for oppmerksomheten!
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerRisikostyring. Rune Ask Risk & Compliance Manager Det Norske Veritas. Rune Ask
Risikostyring Rune Ask Risk & Compliance Manager Det Norske Veritas Rune Ask Risk & Compliance Manager i DNV tidligere Chief Specialist Tidligere daglig leder (software-firma), IT-sjef (shipping), sikkerhetskonsulent
DetaljerErfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerISO-standarderfor informasjonssikkerhet
Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerHelhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.
Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk
DetaljerRune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet.
Rune Ask Tittel: Seniorrådgiver - Informasjonssikkerhet Utdanningsnivå: Ingeniør Født: 1957 OPPSUMMERING AV KOMPETANSE- OG FAGOMRÅDER Rune har 35 års erfaring innen informasjonssikkerhet og IT. Han har
DetaljerNye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen
Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene
DetaljerISO 55000-serien Asset management
Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -
DetaljerGuri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK
Guri Kjørven, Standard Norge NS-ISO 45001 LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK ISO/PC 283 Occupational health and safety management systems 70 Participating Countries, 16 Observing
DetaljerBerit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK
Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO 45001 LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK Historien bak ISO 45001 2000 2007 2018 1. utgave OHSAS 18001:1999 Ny
DetaljerPAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK
PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerEDB Business Partner. Sikkerhetskontroller / -revisjoner
EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate
DetaljerISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland
ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland Introduksjon Arnfinn Roland CISSP PECB Professional Trainer Certified ISO Lead Auditor, Lead Implementer ISO 27001 ISO 22301
DetaljerISOs styringssystemstandarder et verktøy for forenkling
2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig
DetaljerEndringer i ISO-standarder
Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri
ISO/DIS 45001, INNHOLD OG STRUKTUR Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001:2016 Occupational health and safety managment systems Requirements with guidance for use Overordnet mål: forebygge
DetaljerStyringssystem basert på ISO 27001
Styringssystem basert på ISO 27001 Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerAsset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012
Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong
DetaljerISMS for Offentlig sektor Dataforum
for Offentlig sektor Dataforum 6.12.12 Tone Thingbø Tel: 908 89 571 E-post: tone.thingbo@no.ey.com Tone Thingbø Samfunnsviter, cand.philol Lang erfaring fra virksomheter med høye krav til sikkerhet: Etterretningstjenesten
DetaljerKort om Veriscan Security
Verifying security since 1999 Kort om Veriscan Security Etablert i Karlstad i 1999 Spesialkompetanse innen o måling av informasjonssikkerhet o implementering av styringssystem for informasjonssikkerhet
DetaljerGuri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ
Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Historie ISO 45001 2000 2007 2016 1. utgave OHSAS 18001:1999 Ny BS standard Oversatt til norsk Helse er tatt med Mer forenlig
DetaljerNS-EN ISO/IEC 17021-1
Guri Kjørven, 2015-12-02 NS-EN ISO/IEC 17021-1 SAMSVARSVURDERING - KRAV TIL ORGANER SOM TILBYR REVISJON OG SERTIFISERING AV LEDELSESSYSTEMER - DEL 1: KRAV Historikk ISO/IEC 17021:2006 Erstattet Guides
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerKontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,
Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work
DetaljerDE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015
DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 Oddmund Wærp Teknologisk Institutt email owa@ti.no Tlf. 934 60 292 TEKNOLOGISK INSTITUTT - HVEM VI ER Landsdekkende kompetansebedrift med hovedkontor
DetaljerEndringer i revidert ISO 50001
Endringer i revidert ISO 50001 Hans Even Helgerud Norsk Energi Miniseminar energiledelse Standard Norge (SN/K 295) Clarion Hotel & Congress, Trondheim 29. januar 2018 En ledelse ett system Integrering
DetaljerISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning
ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til
DetaljerKJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?
KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning
DetaljerErfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerNS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge
NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerStandarder med relevans til skytjenester
Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerEtablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard
Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur
DetaljerRevisjon av IT-sikkerhetshåndboka
Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte
DetaljerMåling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling
DetaljerISO standard for vurderingssprosesser
Internasjonal kvalitetssikring innen det arbeidspsykologiske ISO standard for vurderingssprosesser Norsk Standards Frokostmøte 07.05.2013 v/sverre L. Nielsen Seniorrådgiver Norsk Psykologforening Norsk
DetaljerNeste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER
Neste generasjon ISO standarder ISO 9001 og ISO 14001 Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerNorsox. Dokumentets to deler
Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.
DetaljerDet 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016
Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerStyringssystem for informasjonssikkerhet et topplederansvar
Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering
DetaljerEn praktisk anvendelse av ITIL rammeverket
NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerErfaringer fra en Prosjektleder som fikk «overflow»
Erfaringer fra en Prosjektleder som fikk «overflow» Per Franzén, Project Manager August 30 th, 2017 ERFARINGER FRA EN PROSJEKTLEDER SOM FIKK «OVERFLOW» AV GDPR BEGREPER OG INSTRUKSER Purpose limitation
DetaljerE-navigasjon 12-13 Juni 2014
E-navigasjon 12-13 Juni 2014 SIKKER NAVIGERING Classification: Internal 2014-06-11 E-NAVIGASJON Introduksjon, Tor Arne Tønnessen Statoil hvem er vi E-navigasjon, hvorfor er det viktig for Statoil ECDIS,
DetaljerStandarder for Asset management ISO 55000/55001/55002
Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby
DetaljerHMS og IKT-sikkerhet i integrerte operasjoner
HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO) 2 Eller historien
DetaljerVeileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013
Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerForelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet Oppgave 1 Se
DetaljerHva kjennetegner god Risikostyring?
Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over
DetaljerStandarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10
Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10 Fagforbundet, 2010-03-10 1 Standarder Beskriver o et produkt, o en arbeidsprosess o et system Gir forslag
DetaljerNS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester
NS-EN 15224 Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester NS-EN 15224 LEDELSESSYSTEMER FOR KVALITET NS-EN ISO 9001 FOR HELSE- OG OMSORGSTJENESTER Krav til systematiske metoder
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerC L O U D S E C U R I T Y A L L I A N C E
C L O U D S E C U R I T Y A L L I A N C E Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no
DetaljerNeste generasjon ISO standarder ISO 9001
Neste generasjon ISO standarder ISO 9001 DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir sett på som mer enn bare sertifisering...
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerGuri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET
Guri Kjørven, 2015-12-02 ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET ISO 9001 hadde behov for endring for å: tilpasse seg til en verden i endring forbedre en organisasjons evne til å tilfredsstille kundens
DetaljerSafe, efficient and profitable operations
Safe, efficient and profitable operations 1 MACONDO Macondo- ulykken, også kalt Deepwater Horizon- ulykken (BP operert), utblåsningsulykke 20 april 2010 i Mexicogulfen 11 personer omkom 650.000 liter råolje
DetaljerREVISJON AV COMPLIANCE-PROGRAMMER
REVISJON AV COMPLIANCEPROGRAMMER NIRF Årskonferanse 2017 Mads Blomfeldt BDO compliance og gransking 1 AGENDA Hva er et complianceprogram? Aktuelle standarder og beskrivelser av «beste praksis» Forventninger
DetaljerIT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no
IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens
DetaljerRolls-Royce` globale strategi og maritimsatsingen
Rolls-Royce` globale strategi og maritimsatsingen på Sunnmøre Knut Johan Rønningen 2011 Rolls-Royce plc The information in this document is the property of Rolls-Royce plc and may not be copied or communicated
DetaljerStrategi med kunden i fokus
Strategi med kunden i fokus 4. November 2016 Trond Winther, Head of Department SAFER, SMARTER, GREENER Innhold 1 Bakgrunn og utfordring 2 Strategi 3 Læringer 2 Our vision: global impact for a safe and
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerSterk global konkurranse, raske teknologiskift og det grønne skiftet utfordrer dagens løsninger og produksjonsmetoder.
Sterk global konkurranse, raske teknologiskift og det grønne skiftet utfordrer dagens løsninger og produksjonsmetoder. Evnen til raskt å ta i bruk ny teknologi og nye metoder er avgjørende for bedriftens
DetaljerDigital Grid: Powering the future of utilities
Digital Grid: Powering the future of utilities Will digital help us do less or be more? Gunnar Westgaard September 2017 In response to the lightning quick pace of change, businesses are asking, What is
DetaljerCITY OF OCEANSIDE JUNE 30, 2018 SINGLE AUDIT REPORT
CITY OF OCEANSIDE JUNE 30, 2018 SINGLE AUDIT REPORT CITY OF OCEANSIDE, CALIFORNIA JUNE 30, 2018 TABLE OF CONTENTS Independent Auditors Report on Internal Control Over Financial Reporting and on Compliance
DetaljerIT-forum våren 2004. ITIL et rammeverk for god IT-drift
IT-forum våren 2004 ITIL et rammeverk for god IT-drift Jon Iden, dr. polit Institutt for prosessutvikling og arbeidsflyt AS Institutt for informasjons- og medievitenskap, UiB Institutt for Prosessutvikling
DetaljerFellestrekk og forskjeller i de ulike akkrediteringsstandardene
Fellestrekk og forskjeller i de ulike akkrediteringsstandardene NS-EN ISO/IEC 17020, NS-EN ISO/IEC 17021-1,NS-EN ISO/IEC 17025, NS-EN ISO/IEC 17024, NS-EN ISO/IEC 17065 Beate Hellerud Akkrediteringsstandardene
DetaljerTrondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018
Trondheim, 2019-01-28 SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018 AGENDA Standard Norge Privat, uavhengig, medlemsorganisasjon, non-profit Etablert 2003, røtter til 1923 Standarder på de fleste
DetaljerKrav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal
Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Seniorrådgiver Knut Lindelien, Standard Norge Bakgrunn Stort informasjonsbehov mye informasjon
DetaljerSustainability Programme
Sustainability Programme Even Wiger, 9. Februar 2012 Norway shall be a leader in environmental issues. Rally Norway is one of the best environmental pioneers in any sports- and cultural activities in
DetaljerFremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no C L O U D S E C U R I T Y A L L I A
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
Detaljer1. FORMÅL 2. PROFESJONELT GRUNNLAG
Vedlikeholdes av: Chief Compliance Officer Side: 1 av 5 1. FORMÅL Internrevisjonen skal fremme og beskytte GIEKs verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Den skal bidra
DetaljerDifis veiledningsmateriell, ISO 27001 og Normen
Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser
DetaljerForvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter
Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter Mai 2017 «Forvaltningsrevisjon av effektivitet og kvalitet i internkontrollen» Mai 2017 Prosjektplan
DetaljerCSR i Norden hvor er vi, og hvor går vi?
CSR i Norden hvor er vi, og hvor går vi? Maria Gjølberg Seniorrådgiver, Det Norske Veritas DNV Sustainability Risk Management Sustainability Strategy and Governance Sustainability in Corporate Governance
DetaljerStyringssystem for informasjonssikkerhet
Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser
DetaljerNy ISO 9001:2015. Disclaimer:
Ny ISO 9001:2015 Disclaimer: Presentasjon basert på draft versjon Subjektiv vurdering av endringer Subjektiv vurdering av hva som oppfattes som viktig Representerer ikke et sertifiseringsorgan Ny ISO 9001:2015
DetaljerNS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)
NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert
DetaljerRicoh Norge. Rådsmøte 5 juni Petter Lien Salgsdirektør MA Gøran Alstedt National Account Manager Tor-Einar Fremstad Contract Manager
Ricoh Norge Rådsmøte 5 juni 2014 Petter Lien Salgsdirektør MA Gøran Alstedt National Account Manager Tor-Einar Fremstad Contract Manager 05/06/2014 Version: [###] Classification: Internal Owner: [Insert
DetaljerISO27001 som del av forvaltningen
ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor
DetaljerSchlumberger Norge AS Tilsynserfaring
Schlumberger Norge AS Tilsynserfaring Ptil Entreprenørseminar 31. oktober 2006 QHSE Coordinator Tore Nyegaard 1 Ptil tilsyn med HMS styring av Schlumberger Reservoir Evaluation Wireline 22.3.2006-23.3.2006
DetaljerMarin Prosjektering. IMT linjevalg 2012
1 Marin Prosjektering IMT linjevalg 2012 2 Marin prosjektering er å; Skape morgendagens marine systemer, og Forbedre dagens marine systemer. 3 Sentrale ferdigheter Analysere 4 Prosjektere marine systemer
DetaljerDen europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,
Den europeiske byggenæringen blir digital hva skjer i Europa? Steen Sunesen Oslo, 30.04.2019 Agenda 1. 2. CEN-veileder til ISO 19650 del 1 og 2 3. EFCA Guide Oppdragsgivers krav til BIMleveranser og prosess.
DetaljerNorges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)
Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål
Detaljer