Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Transkript

1 Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

2 Internkontroll Intern styring og kontroll internkontroll er aktiviteter som hjelper deg å nå virksomhetens mål. Uansett hvilke mål vi snakker om: Økonomi Informasjonssikkerhet Personvern Datadeling Helse miljø og sikkerhet Gradert informasjon

3 Aktører på internkontroll Direktoratet for økonomistyring (DFØ) Nasjonal sikkerhetsmyndighet (NSM) Datatilsynet Arbeidstilsynet Vi jobber for et helhetlig tilbud til forvaltningen, selv om ansvarsområdene er delt opp.

4 Internkontroll informasjonssikkerhet Difi er statens kompetansemiljø for informasjonssikkerhet. Vi jobber for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Nettsider

5 Internkontroll informasjonssikkerhet

6 Få oversikt og prioritere Et steg i internkontroll på informasjonssikkerhet er å få oversikt og prioritere Synergier med orden i eget hus?

7 Risikovurdering - «Hjertet» i internkontrollen

8 Delaktiviteter under Risikovurdering Risikoeiere og systemeiere fellessystem: Få oversikt og prioritere Analysere eksterne krav Planlegge og gjennomføre risikovurderinger Det «spesielle» Risikovurdere i hendelseshåndteringen Risikovurdere ved anskaffelser og utvikling Her

9 Delaktiviteten Få oversikt og prioritere Nytte for risikoeiere (linjeledere på operativt nivå) Få grunnleggende oversikt over eget ansvarsområde, herunder hvilke arbeidsoppgaver (herunder tjenester) som utføres hvilken type informasjon som behandles i oppgavene og en indikasjon på om de er viktig med hensyn til informasjonssikkerhet hvilke IKT-system som benyttes i oppgavene Anslå høyeste konsekvensnivå på arbeidsoppgaver og IKT-system ved brudd på konfidensialitet, integritet eller tilgjengelighet Med utgangspunkt i informasjonen som behandles Overordnet egenvurdering av sentrale trusler, farer og sårbarheter Gruppere og dele opp eget ansvarsområde i hensiktsmessige delområder Vurdere systematisk behovet for nye/oppdaterte risikovurderinger på de ulike delområdene

10 INNHOLD I AKTIVITETEN

11 Delaktiviteten Få oversikt og prioritere Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risikovurderinger Holde oversikt: Gjennomførte risikovurderinger

12 Delaktiviteten Få oversikt og prioritere Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risikovurderinger Holde oversikt: Gjennomførte risikovurderinger Foranalyse Identifisere arbeidsoppgaver Identifisere informasjonstyper, system mv. Finn høyeste konsekvensnivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Oppsummering: obs-områder

13 Delaktiviteten Få oversikt og prioritere Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risikovurderinger Holde oversikt: Gjennomførte risikovurderinger Mal 4 Foranalyse Identifisere arbeidsoppgaver Identifisere informasjonstyper, system mv. Finn høyeste konsekvensnivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Oppsummering: obs-områder Mal 1 Mal 2 Mal 3

14 Få oversikt og prioritere Arbeidsmengde Hovedjobben ligger i første gangs gjennomføring Da er en prosessleder viktig støtte for linjelederne, spesielt i de første trinnene Senere Er det oftest behov for en årlig avstemming av om noe har endret seg Eventuelt en ny vurdering av enkelte deler når det kommer nye arbeidsoppgaver eller nye system dersom hendelseshåndtering, vurderinger e.l. viser at man må se nærmere på enkelte deler

15 Få oversikt og prioritere Positive sideeffekter Resultatet fra karleggingen kan gi nyttige refleksjoner og innspill til bedre etterlevelse av personvernregelverket utover informasjonssikkerhet prosessforbedringer i den enkelte enhet samordning av prosesser på tvers i virksomheten oversikt over data Felles datakatalog muligheter for datadeling iht. krav i Digitaliseringsrundskrivet Jf. rundskrivets pkt. 1.4 Gjør offentlig informasjon tilgjengelig for viderebruk

16 Delaktiviteten Få oversikt og prioritere Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risikovurderinger Holde oversikt: Gjennomførte risikovurderinger Foranalyse Identifisere arbeidsoppgaver Identifisere informasjonstyper, system mv. Finn høyeste konsekvensnivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Oppsummering: obs-områder Fokus i første workshop Mal 1

17 Foranalyse trinn 1 og 2 Risikoeiere (Del 1 av mal 1) Punkter i listen strykes, tilføres og presiseres ut fra enhetens egenart

18 Foranalyse trinn 1 og 2 Risikoeiere (Del 1 av støtteskjemaet i mal 1) Man tar i hovedsak stilling til eksempler og endrer ut fra behov

19 Foranalyse trinn 1 og 2 Risikoeiere (Del 2 av støtteskjemaet i mal 1) Man endrer og supplerer der det er relevant. Det meste her kan gjøres av linjelederne etter workshopen

20 Delaktiviteten Få oversikt og prioritere Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risikovurderinger Holde oversikt: Gjennomførte risikovurderinger Foranalyse Identifisere arbeidsoppgaver Identifisere informasjonstyper, system mv. Finn høyeste konsekvensnivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Oppsummering: obs-områder Mal 2 a og b

21 Veiledningsmateriellet Internkontroll i praksis informasjonssikkerhet interkontroll.infosikkerhet.difi.no Mer om informasjonssikkerhet infosikkerhet.difi.no Epost infosikkerhet@difi.no