Risikostyring og informasjonssikkerhet i en åpen verden

Størrelse: px
Begynne med side:

Download "Risikostyring og informasjonssikkerhet i en åpen verden www.steria.com"

Transkript

1 Risikostyring og informasjonssikkerhet i en åpen verden Infosikkerhetsarkitektur i et risikostyringsperspektiv Ivar Aasgaard, seniorrådgiver Steria Mobil: LinkedIn: 25/10/2012

2 Innhold Kort introduksjon til risikostyring Introduksjon til sikkerhetsarkitektur med SABSA (Sherwood Applied Business Security Architecture) Hvordan håndtere sikkerhetskrav i The Open Group Architecture Framework (TOGAF) Hvordan håndtere sikkerhetsspørsmål ifm. Cloud mobile dingser tjenesteutsetting 25/10/2012 2

3 Avgrensning Dette er ikke et teknisk foredrag! Vi skal snakke om hvordan styre risiko innenfor (inn under) akseptabelt nivå operasjonell risiko dvs. hvordan unngå uønskede hendelser 25/10/2012 3

4 Risikostyring «Koordinerte aktiviteter for å styre en organisasjon med hensyn til risiko» (ISO) omfatter risikovurdering og risikobehandling hvor risikovurdering omfatter risikoidentifisering risikoanalyse risikoevaluering 25/10/2012 4

5 Virksomhetssystemarkitektur en referansemodell Business Architecture Information Architecture Risk Management Architecture Applications Architecture Infrastructure Architecture Management and Governance Architecture 25/10/2012 5

6 Sikkerhetsarkitektur Hensikten med sikkerhetsarkitektur er å håndtere risiko i et komplekst miljø med mange avhengigheter Øke fleksibilitet og forbedre kommunikasjon redusere risiko ifm. prosjekter og endringer effektivisere hendelseshåndtering Ivareta ulike perspektiv, fra ulike interessenter Eksempel: Byarkitektur; veier, bygninger, broer og sikkerhet 25/10/2012 6

7 SABSA Utarbeidet av John Sherwood 2. halvdel av 1990-tallet Fokus på virksomheten risiko og «muliggjører» Rammeverk for å utarbeide virksomhetssikkerhetsarkitektur Metode og innholdsrammeverk (Content Framework) Mål: Konsistent håndtering av informasjonssikkerhet i hele virksomheten (helhetsbilde) 25/10/2012 7

8 Eksempler virksomhetsdrivere for sikkerhet Beskytte virksomhetens omdømme Sikre at virksomhetssystemer fungerer korrekt Sikre at korrekt informasjon er tilgjengelig på forespørsel Sikre overvåking av etterlevelse av policies og mulighet for oppdagelse, etterforskning og utbedring av sikkerhetsbrudd 25/10/2012 8

9 Eksempler - Business Attributes Operational Attribute: Business Attribute Attribute Explanation Metric Type Suggested Measurement Approach Important events must be Detectable detected and reported Hard Functional testing Risk Management Attribute: Business Attribute Attribute Explanation Metric Type Integrityassured The integrity of information Hard should be protected to provide assurance that it has not suffered unauthorised modification, duplication or deletion. Soft Suggested Measurement Approach Reporting of all incidents of compromise, including number of incidents pr. period, severity and type of compromise. Independant audit and review against <requirement> 25/10/2012 9

10 SABSA -matrisen (Bygge) Assets (What) Motivation (Why) Process (How) People (Who) Location (Where) Time (When) Contextual The Business Business Risk Model Business Process Model Business Organis. and Relationships Business Geography Business Time Dependencies Conceptual Business Attributes Profile Control Objectives Security Strategies and Architectural Layering Security Entity Model and Trust Framework Security Domain Model Security-related Lifetimes and Deadlines Logical Business Information Model Security Policies Security Services Entity Schema and Privilege Profiles Security Domain Definitions and Associations Security Processing Cycle Physical Business Data Model Security Rules, Practices and Procedures Security Mechanisms Users, Applicsand the User Interface Platform and Network Infrastructure Control Structure Execution Component Detailed Data Structures Security Standards Security Products and Tools Identities, Functions, Actions and ACLs Processes, Addresses and Protocols Security Step Timing and Sequencing Operational Assurance of Operational Continuity OperationalRisk Management Security Service Management and Support Application and User Mngt. Support Security of Sites, Networks and Platforms Security Operations Schedule 25/10/

11 SABSA utviklingsprosess - Oversikt Strategy and Concept Phase Define Contextual Security Architecture Define Conceptual Security Architecture Design Phase Define Logical Security Architecture Define Physical Security Architecture Define Component Security Architecture Define Operational Security Architecture in parallell with these Implementation Phase Manage and Measure Phase 25/10/

12 TOGAF Versjon ved The Open Group Basert på TAFIM, utviklet av Department of Defense i USA Rammeverk (metode og verktøy) for utvikling av virksomhetsarkitektur Formål å optimalisere prosesser med ulikt opphav/generasjon støtte fleksibilitet; rask respons på endring av forutsetninger redusert kompleksitet, redusert risiko 25/10/

13 ADM Architecture Development Method ADM-metoden viktig i TOGAF Kan også bruke ADM med andre innholdsrammeverk Viktig å sikre sikkerhetsrelatert informasjon inn i ADM i riktig fase det vil si START I PRELIMINARY Eksempler på anbefalt sikkerhetsinfo inn i og behandlet i ADM kommer; 25/10/

14 TOGAF Content Framework Metamodell 25/10/

15 TOGAF ADM 25/10/

16 Sikkerhet i Preliminary-fasen Viktigste aktiviteter Identifisere myndighetskrav og krav fra sikkerhetspolicy Identifisere foreløpige forutsetninger og eksterne grensesnitt Viktigste leveranser Liste over lover/forskrifter og andre eksterne krav Liste over sikkerhetspolicies Liste over forutsetninger og eksterne grensesnitt 25/10/

17 Sikkerhet i Architecture Vision-fasen Viktigste aktiviteter Etabler støtte i virksomhetsledelsen for sikkerhetstiltak Definer sikkerhetsrelaterte milepeler for sign-off av ledelsen under arkitekturutviklingen Kartlegg og dokumenter hvor kritisk systemene er med hensyn til hhv. liv og helse og for virksomheten Kartlegg og dokumenter katastrofe- og kontinuitetsplaner som kommer til anvendelse Viktigste leveranser: Signert sikkerhetspolicy av virksomhetsleder eller delegert Liste over sign-off av ledelsen ved sikkerhetsrelaterte milepeler Beskrivelse(r) av kritiskhet av systemer/applikasjoner Liste over relevante katastrofe- og kontinuitetsplaner 25/10/

18 Sikkerhet i Virksomhetsarkitektur-fasen (1) Viktigste aktiviteter Kartlegg brukere av systemet (sluttbrukere, applikasjoner, støttesystemer..) Vurder og beskriv sikkerhetsspesifikke virksomhetsprosesser Gjennomfør trusselanalyse med overordnede trusler og sannsynlighet Kartlegg og dokumenter virksomhetsverdier som blir utsatt for risiko gjennom bruk av systemet verditap som følge av uønskede hendelser "eiere" av virksomhetsverdier grad av kritiskhet av tilgjengelighet og korrekt operasjon av systemet 25/10/

19 Sikkerhet i Virksomhetsarkitektur-fasen (2) Viktigste leveranser Liste over nye krav til katastrofe- og kontinuitetsplaner Liste over validerte sikkerhetspolicies Liste over planlagte sikkerhetsprosesser Trusselanalysematrise Liste over aktiva med verdier og eiere Beskrivelse av konsekvenser av utilgjengelighet 25/10/

20 Risikostyring felles for prosjekt/endring med Cloud, mobile dingser og tjenesteutsetting Intern sikkerhetspolicy? Hvilke informasjonsaktiva? Hvem er «eier»? Underlagt eksterne krav til beskyttelse? Hva er beskyttelsesbehovet («KIT»)? Hvilke nye trusler kan informasjonen bli utsatt for? Er virksomheten din sårbar for disse truslene? 25/10/

21 Risikostyring felles for prosjekt/endring med Cloud, mobile dingser og tjenesteutsetting (forts) Viktig å tenke vidt! Hva kan skje som følge av dette prosjektet, endringen eller endrede forutsetninger; Ingeniørarbeid svinger mellom suksess og katastrofe Gjør risikovurdering! 25/10/

22 Eksempel på risikomatrise Meget høy Sannsynlighet Risikoprodukt = sannsynlighet x konsekvens Meget lav Ubetydelig Konsekvens Virksomhetskritisk Rød farge: Tiltak må iverksettes Grønn farge: Akseptabel risiko Gul farge: Tiltak skal vurderes Akseptabel risiko? 25/10/

23 Risikostyring ifm. vurdering av bruk av Cloud (1) Hva mener jeg med Cloud-tjenester? National Institute of Science and Technology (NIST), USA; Cloud karakteristika: Broad Network access Rapid Elasticity Measured Service On-Demand Self-Service Resource Pooling Cloud Security Alliance legger til: Multi-kunde (Multi-Tenancy) 25/10/

24 Risikostyring ifm. vurdering av bruk av Cloud (2) Avtaletekst? Henvisninger til «nettet»? Avtale med et norsk(registrert) selskap? Oversikt over lover og regler i landet hvor du vil benytte tjeneste? Garantier fra leverandøren om integritet og konfidensialitet? Erstatning i kroner vil du motta ved en alvorlig hendelse mht. utilgjengelighet? Driftskostnad vs. risiko 3. parts revisjon? Geografisk plassering av informasjon? Ny informasjon fra Datatilsynet! Les bl.a. om Narvik og Moss kommune, 25/10/

25 Risikostyring ifm. vurdering av bruk av mobile dingser Mobile dingser er vanskeligere å beskytte Hva er mulig å lagre av virksomhetsinformasjon på mobildingsen? Kan man klare seg med terminaltilgang? Tekniske tiltak? (Autentisering, kryptering, AV, sletting..) Policy/instruks for akseptabel bruk av mobile dingser? Skal virksomheten eie dingsen eller tillates ansattes egne? Behov for kunnskap om mange plattformer? Risiko ved å tillate lagring mm. - vs. ikke tilgang til informasjonen 25/10/

26 Risikostyring ifm. vurdering av tjenesteutsetting (1) Ansvar ref. IKT-forskriften, Personopplysningsforskriften, PCI DSS Viktig - avtale rett til innsyn og revisjon Viktig - avtale detaljerte krav til basis sikkerhet. Målbare! Gjør revisjoner av leverandøren, evt. ved 3. part ISO-standard under utarbeidelse 25/10/

27 Risikostyring ifm. vurdering av tjenesteutsetting (2) ISO App. A gir struktur men se til ISO for detaljer SLA for annet enn tilgjengelighet? Konsekvenser for leverandøren om sikkerhetstiltak ikke på plass? Avtalefestet frist for utbedring? Dog; høyere sikkerhetsnivå høyere kostnader 25/10/

28 Mulig påvirkning ved Cloud, dingser og tj.utsetting Assets (What) Motivation (Why) Process (How) People (Who) Location (Where) Time (When) Contextual The Business Business Risk Model Business Process Model Business Organisation and Relationships Business Geography Business Time Dependencies Conceptual Business Attributes Profile Control Objectives Security Strategies and Architectural Layering Security Entity Model and Trust Framework Security Domain Model Security-related Lifetimes and Deadlines Logical Business Information Model Security Policies Security Services Entity Schema and Privilege Profiles Security Domain Definitions and Associations Security Processing Cycle Physical Business Data Model Security Rules, Practices and Procedures Security Mechanisms Platform and Users, Applications Network and the User InterfaceInfrastructure Control Structure Execution Component DetailedData Structures Security Standards Security Products and Tools Identities, Functions, Actions and ACLs Etc. Processes, Modes, Addressesand Protocols Security Step Timing and Sequencing Operational Assurance of Operational Continuity OperationalRisk Management Security Service Management and Support Security of Sites, Application and User Networks and Management Support Platforms Security Operations Schedule 25/10/

29 OPPSUMMERING Etabler sikkerhetsarkitektur iht. standarder minimum ha struktur i løsninger og fullstendig og oppdatert dokumentasjon Innfør prosjekt- og endringsstyring med risikovurderinger Samarbeid mellom virksomhet/systemeier og IKT/forvalter Sørg for tilgang på kompetanse på risikovurdering og teknologier++ Behandle risiko og iverksett sikkerhetstiltak Internkontroll! Ivar Aasgaard Mobil: /10/

30 Spørsmål? 25/10/2012

31 25/10/

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk Logica 2012. All rights reserved No. 3 Logica 2012. All rights reserved No. 4 Logica 2012. All rights reserved

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016 Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

RS402 Revisjon i foretak som benytter serviceorganisasjon

RS402 Revisjon i foretak som benytter serviceorganisasjon Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet

Detaljer

Sykehuspartner HF En partner for helsetjenester i utvikling. Hvordan bygge et sykehus ved å bruke TOGAF rammeverk. En praktisk tilnærming

Sykehuspartner HF En partner for helsetjenester i utvikling. Hvordan bygge et sykehus ved å bruke TOGAF rammeverk. En praktisk tilnærming Sykehuspartner HF En partner for helsetjenester i utvikling Hvordan bygge et sykehus ved å bruke TOGAF rammeverk. En praktisk tilnærming 1 Agenda Bakgrunn TOGAF : organisering & leverabler Gjennomgang

Detaljer

Cyberspace og implikasjoner for sikkerhet

Cyberspace og implikasjoner for sikkerhet Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker

Detaljer

Standarder med relevans til skytjenester

Standarder med relevans til skytjenester Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid! Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid! Peter Flem Forretnings rådgiver @ Cartagena peter@cartagena.no Mobil: 93477148 Leder for faggruppen

Detaljer

System integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås,

System integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås, System integration testing Forelesning Systems Testing UiB Høst 2011, Ina M. Espås, Innhold Presentasjon Hva er integration testing (pensum) Pros og cons med integrasjonstesting Når bruker vi integration

Detaljer

www.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt

www.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt En praktisk tilnærming til tjenestekatalog Svein Erik Schnell, Senior Consultant Steria AS Tine Hedelund Nielsen, Consultant Steria AS Steria Agenda

Detaljer

Internasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no

Internasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering SN/K186 Standard Norge, Komite 186 Norsk skyggekomite: ISO IEC/JTC1/SC36 CEN TC353 ISO/IEC JTC1/SC36 (ITLET)

Detaljer

NIRF Finansnettverk. Trond Erik Bergersen 24.1.2013

NIRF Finansnettverk. Trond Erik Bergersen 24.1.2013 NIRF Finansnettverk Trond Erik Bergersen 24.1.2013 Trond Erik Bergersen Hvem er det? IT revisor hva er det? 2 Rollefordeling Hovedstyret Sentralbankledelsen Hovedstyrets revisjonsutvalg Linjeorganisasjon

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Jarle Langeland. Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern

Detaljer

Invitation to Tender FSP FLO-IKT /2013/001 MILS OS

Invitation to Tender FSP FLO-IKT /2013/001 MILS OS Invitation to Tender FSP FLO-IKT /2013/001 MILS OS April 15th 2013 Forfatter Prosjektittel 19.04.2013 19.04.2013 1 Introduction AGENDA Important aspects regarding the competition and Invitation to tender

Detaljer

Styring og ledelse av informasjonssikkerhet

Styring og ledelse av informasjonssikkerhet Styring og ledelse av informasjonssikkerhet SUHS-konferansen 30. oktober 2013 Øivind Høiem, CISA CRISC Seniorrådgiver UNINETT AS Mål for styring informasjonssikkerhet Målene for styring av informasjonssikkerhet

Detaljer

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1 Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF, 2014-06-18 1 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering

Detaljer

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Virksomhetsarkitektur (VA) og rammeverk

Virksomhetsarkitektur (VA) og rammeverk Virksomhetsarkitektur (VA) og rammeverk Tom A. Heiberg Capgemini Norway / Oslo Principal / Enterprise Architecture Mobil: + 47 932 21 704 Tom-Andre.Heiberg@Capgemini.no Anne Lise Furmyr Capgemini Norway

Detaljer

Distributed object architecture

Distributed object architecture Forelesning IMT2243 6. April 2010 Tema: forts. arkitektur og design av programvare Prosjektstatus Programvarearkitektur Oppsummering fra før påske Distribuerte objektarkitektur MDA - Model Driven Architecture

Detaljer

EXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON

EXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON Side 1 av 5 NTNU Norges teknisk-naturvitenskapelige universitet Institutt for telematikk EXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON Contact person /

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet

Detaljer

KIS - Ekspertseminar om BankID

KIS - Ekspertseminar om BankID www.nr.no KIS - Ekspertseminar om BankID Dr. Ing. Åsmund Skomedal Forsknings sjef, DART, Norsk Regnesentral asmund.skomedal@nr.no 18. mars 2009 Tema til diskusjon Agenda punkter Kritisk analyse av digitale

Detaljer

A Study of Industrial, Component-Based Development, Ericsson

A Study of Industrial, Component-Based Development, Ericsson A Study of Industrial, Component-Based Development, Ericsson SIF8094 Fordypningsprosjekt Ole Morten Killi Henrik Schwarz Stein-Roar Skånhaug NTNU, 12. des. 2002 Oppgaven Studie av state-of-the-art : utviklingsprosesser

Detaljer

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet

Detaljer

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA, Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work

Detaljer

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? HelsIT 2011 Roar Engen Leder for arkitekturseksjonen,teknologi og ehelse, Helse Sør-Øst RHF Medforfatter: Jarle

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Hva betyr tjenesteorientert arkitektur for sikkerhet?

Hva betyr tjenesteorientert arkitektur for sikkerhet? Hva betyr tjenesteorientert arkitektur for sikkerhet? Torbjørn Staff Architecture Innovation Group Accenture, its logo, and High Performance Delivered are trademarks of Accenture. Agenda Arkitekturevolusjonen

Detaljer

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.

Detaljer

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Paul Torgersen Leder Metier Consulting 20. oktober 2014 Side 2 Innhold Hva er prosjektsuksess? Hva kjennetegner de beste? Mine

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Lukkede pasientgrupper på sosiale medier en utfordring for personvernet. Hvor er løsningene?

Lukkede pasientgrupper på sosiale medier en utfordring for personvernet. Hvor er løsningene? Lukkede pasientgrupper på sosiale medier en utfordring for personvernet. Hvor er løsningene? Anbefalt av flere Mange tjenester - ulike konsepter Personvernutfordringene Observasjoner fra bruk Program for

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Hvordan kontrollere det ukontrollerte? Et ledelsesperspektiv. Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02.

Hvordan kontrollere det ukontrollerte? Et ledelsesperspektiv. Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02. Hvordan kontrollere det ukontrollerte? Et ledelsesperspektiv Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02. Februar 2011 Innledning 2 KPMG Norge Geir Arild Engh-Hellesvik er leder for informasjonssikkerhetstjenesten

Detaljer

Internationalization in Praxis INTERPRAX

Internationalization in Praxis INTERPRAX Internationalization in Praxis The way forward internationalization (vt) : to make international; also: to place under international control praxis (n) : action, practice: as exercise or practice of an

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

INF 5120 Obligatorisk oppgave Nr 2

INF 5120 Obligatorisk oppgave Nr 2 INF 5120 Obligatorisk oppgave Nr 2 Vigdis Bye Kampenes Stein Grimstad Gruppe 26 INF 5120 Obligatorisk oppgave Nr 2... 1 1 Business model... 2 Innledende kommentarer... 2 Andre avgrensninger... 2 Scoping

Detaljer

Europeiske standarder -- CIM og ENTSO-E CGMES. Svein Harald Olsen, Statnett Fornebu, 11. september 2014

Europeiske standarder -- CIM og ENTSO-E CGMES. Svein Harald Olsen, Statnett Fornebu, 11. september 2014 Europeiske standarder -- CIM og ENTSO-E CGMES. Svein Harald Olsen, Statnett Fornebu, 11. september 2014 Tema: CIM & ENTSO-E CGMES Standarder for utveksling av kraftnettrelatert data Motivasjon Introduksjon

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen?

Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen? Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen? Risikoidentifikasjon - IT Bjørn Jonassen Finansnettverket NIRF Agenda 1. Litt om meg 2. IT-Risiko bakgrunn 3. Risikoidentifikasjon

Detaljer

Nettskyen, kontroll med data og ledelsens ansvar

Nettskyen, kontroll med data og ledelsens ansvar Nettskyen, kontroll med data og ledelsens ansvar SUHS-konferansen 2011 Per Arne Enstad, CISA,CISM 2 Hva kjennetegner en nettsky? Behovsbasert selvbetjening Høy konnektivitet Deling av ressurser Kapasitet

Detaljer

Erfaringer med innføring av styringssystemer

Erfaringer med innføring av styringssystemer Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av

Detaljer

HMS og IKT-sikkerhet i integrerte operasjoner

HMS og IKT-sikkerhet i integrerte operasjoner HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO) 2 Eller historien

Detaljer

mnemonic frokostseminar

mnemonic frokostseminar SIKRING AV SKYTJENESTER mnemonic frokostseminar 07.06.2016 trond@mnemonic.no Me % whoami trond % cat /etc/passwd grep trond trond:x:2147:10000:trond Tolnæs:/home/trond:/usr/bin/bash % ls -ltd /home/trond/.[^.]*

Detaljer

NOVUG 3 februar 2009

NOVUG 3 februar 2009 NOVUG 3 februar 2009 Tjenestekatalog og CMDB En kombinasjon som fungerer i praksis 2008 Prosesshuset AS All tillhørende informasjon kan bli endret uten varsel 1 Introduksjon Stig Bjørling Ellingsen Gründer

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Kort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no

Kort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no Kort om IPnett - Hvem er vi? - Trapeze vs. Juniper - Uninett avtalen Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no IPnett AS Vollsveien 2b Pb 118 1325 LYSAKER

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene

Detaljer

Beskrivelse av informasjonssystemet

Beskrivelse av informasjonssystemet Beskrivelse av informasjonssystemet Side 1 av 5 Beskrivelse av informasjonssystemet NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Security events in Norway

Security events in Norway Security events in Norway Threats, risk and event handling Stig Haugdahl, CISO DSS Sikkerhed og revision 2013 Who am I? Master of Science in Engineering Civilingeniør kybernetik CISM ISACA SSCP (ISC)²

Detaljer

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 Oddmund Wærp Teknologisk Institutt email owa@ti.no Tlf. 934 60 292 TEKNOLOGISK INSTITUTT - HVEM VI ER Landsdekkende kompetansebedrift med hovedkontor

Detaljer

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra

Detaljer

Kontinuitet for IKT systemer

Kontinuitet for IKT systemer Kontinuitet for IKT systemer Innledning til kontinuitetsplanlegging for IKT Rolf Sture Normann, CSO UNINETT AS Introduksjon IKT og andre automatiserte systemer er sentrale i de fleste organisasjoner i

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Rammeverk for anskaffelse av tjenester i skyen.

Rammeverk for anskaffelse av tjenester i skyen. Rammeverk for anskaffelse av tjenester i skyen. Et porteføljeperspektiv Ivar Aune 19. januar 2012 2010 Dobbelt så bra, på halv tid, til halv pris.. 2 Mitt Transportselskap AS Lagerstyring (WMS) i skyen

Detaljer

Neste Generasjon Datanett

Neste Generasjon Datanett Neste Generasjon Datanett Wolfgang Leister Project ENNCE A holistic view of the system End System QoS architecture QoS Negotiation and Connection Management Service Agent - Service Agent Control Protocol

Detaljer

Cloud Computing. Monaco 26.05.2014. Dette bør være forsiden på din presentasjon. Et lybilde med program etc. Kan komme før Ola prater.

Cloud Computing. Monaco 26.05.2014. Dette bør være forsiden på din presentasjon. Et lybilde med program etc. Kan komme før Ola prater. Cloud Computing Monaco 26.05.2014 Dette bør være forsiden på din presentasjon. Et lybilde med program etc. Kan komme før Ola prater. Dette fikser jeg i morgen 2 Agenda: Paradigmeskiftet Hva er Cloud Computing?

Detaljer

Risiko og sårbarhetsanalyser

Risiko og sårbarhetsanalyser Risiko og sårbarhetsanalyser Et strategisk verktøy i sertifiseringsprosessen ISO 14001 Nasjonal miljøfaggruppe 30.05.13 Miljørådgiver Birte Helland Gjennomgang Teoretisk gjennomgang av hva risiko er Hvorfor

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Gruppetime INF3290. Onsdag 23. september

Gruppetime INF3290. Onsdag 23. september Gruppetime INF3290 Onsdag 23. september Dagens plan 1. Gå gjennom ukens artikler a. Reflexive integration in the development and implementation of an Electronic Patient Record system (Hanseth, Jacucci,

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn Har du kontroll med din databehandler? En utro elsker Annikken Seip Seniorrådgiver IT-tilsyn DIFI 1.9 2011 Det jeg skal snakke om Tilsyn etter 5, 3 og 12/ regelverk Vi har regelverk som påpeker kontroll

Detaljer

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse BRUK AV VERKTØY OG METODER I RISIKOSTYRING Kort om meg Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse 5 år i mnemonic,

Detaljer

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes Kort presentasjon til NFR WS.mars 005 NTNU Forskningsprogram for informasjonssikkerhet Stig F. Mjølsnes Utfordring and response Vårt samfunn krever i økende grad at IKT-systemer for seriøs virksomhet er

Detaljer

Design, gjennomføring og viderebruk av risikoanalyser. Per Myrseth 7. november 2013

Design, gjennomføring og viderebruk av risikoanalyser. Per Myrseth 7. november 2013 Design, gjennomføring og viderebruk av risikoanalyser Per Myrseth Agenda Intro Design og gjennomføring Viderebruk av risikoanalyser Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier Oppsummering

Detaljer

Hvordan lykkes med et digitalt taktskifte?

Hvordan lykkes med et digitalt taktskifte? Hvordan lykkes med et digitalt taktskifte? Ragnvald Sannes Senter for Digitalisering og Institutt for Strategi Handelshøyskolen BI ragnvald.sannes@bi.no Digitalisering i Norge: Hva er status 20.03.2017

Detaljer

Risikoanalyse i arkivarbeidet Ta sjansen?

Risikoanalyse i arkivarbeidet Ta sjansen? Risikoanalyse i arkivarbeidet Ta sjansen? Jorunn Bødtker, 23. mars 2010 1 Risikoanalyse - NA 23.3.2010 - Jorunn Bødtker Begreper Norsk standard 5814:2005 og ISO 27002 Risiko: Muligheten for å lide tap

Detaljer

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør Skytjenester regler, sårbarheter, tiltak i finanssektoren v/ Atle Dingsør Skytjenester regler, risiko, tiltak Skytjenester regler, risiko, tiltak Atle Dingsør, Tilsynsrådgiver, seksjon for tilsyn med IT

Detaljer

ARK 2014 Arkitekturfaget - observasjon fra en tjenesteleverandør

ARK 2014 Arkitekturfaget - observasjon fra en tjenesteleverandør ARK 2014 Arkitekturfaget - observasjon fra en tjenesteleverandør www.steria.com Stein Aarum Leder for arkitekturfagområdet Steria www.steria.com Innhold Hva vi mener med arkitektur Vår viktigste rolle

Detaljer

Prosess til folket! AICIT work in progress. Copyright 2012 Accenture All Rights Reserved

Prosess til folket! AICIT work in progress. Copyright 2012 Accenture All Rights Reserved Prosess til folket! AICIT work in progress AICIT Oslo er et innovasjonssenter innen Business Process Management (BPM) og Mobil Accenture Innovation Center for IBM Technologies Samarbeid mellom Accenture,

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Technical Integration Architecture Teknisk integrasjonsarkitektur

Technical Integration Architecture Teknisk integrasjonsarkitektur Kap. 6 Technical Integration Architecture Studentpresentasjon av Cato Haukeland Oversikt Introduksjon -spesifikasjon Krav Beskrivelse Servicenivå Sikkerhet Plan Best practices Introduksjon Masterdokument

Detaljer

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER Neste generasjon ISO standarder ISO 9001 og ISO 14001 Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir

Detaljer

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) Ragnvald Sannes (ragnvald.sannes@bi.no) Institutt for ledelse og organisasjon, Handelshøyskolen BI Hva er IT Governance

Detaljer

IT-ledelse 25.jan - Dagens

IT-ledelse 25.jan - Dagens IT-ledelse 25.jan - Dagens 1. Virksomheters anvendelse av IT-baserte informasjonssystemer 2. Alle nivåer i bedriftshierarkier støttes av informasjonssystemer Operasjonelt nivå, Mellomleder nivå, Toppledelse

Detaljer

Delt opp i tre strategier: forretningststrategi, organisasjonsstrategi og informasjonstrategi.

Delt opp i tre strategier: forretningststrategi, organisasjonsstrategi og informasjonstrategi. Oppsummering infosys Strategier Delt opp i tre strategier: forretningststrategi, organisasjonsstrategi og informasjonstrategi. Forretningststrategi Porters modell - konkurransefordel Bedriften oppnår konkurransefordel

Detaljer