Risikostyring og informasjonssikkerhet i en åpen verden
|
|
- Johanne Eggen
- 8 år siden
- Visninger:
Transkript
1 Risikostyring og informasjonssikkerhet i en åpen verden Infosikkerhetsarkitektur i et risikostyringsperspektiv Ivar Aasgaard, seniorrådgiver Steria ivaa@steria.no, Mobil: LinkedIn: 25/10/2012
2 Innhold Kort introduksjon til risikostyring Introduksjon til sikkerhetsarkitektur med SABSA (Sherwood Applied Business Security Architecture) Hvordan håndtere sikkerhetskrav i The Open Group Architecture Framework (TOGAF) Hvordan håndtere sikkerhetsspørsmål ifm. Cloud mobile dingser tjenesteutsetting 25/10/2012 2
3 Avgrensning Dette er ikke et teknisk foredrag! Vi skal snakke om hvordan styre risiko innenfor (inn under) akseptabelt nivå operasjonell risiko dvs. hvordan unngå uønskede hendelser 25/10/2012 3
4 Risikostyring «Koordinerte aktiviteter for å styre en organisasjon med hensyn til risiko» (ISO) omfatter risikovurdering og risikobehandling hvor risikovurdering omfatter risikoidentifisering risikoanalyse risikoevaluering 25/10/2012 4
5 Virksomhetssystemarkitektur en referansemodell Business Architecture Information Architecture Risk Management Architecture Applications Architecture Infrastructure Architecture Management and Governance Architecture 25/10/2012 5
6 Sikkerhetsarkitektur Hensikten med sikkerhetsarkitektur er å håndtere risiko i et komplekst miljø med mange avhengigheter Øke fleksibilitet og forbedre kommunikasjon redusere risiko ifm. prosjekter og endringer effektivisere hendelseshåndtering Ivareta ulike perspektiv, fra ulike interessenter Eksempel: Byarkitektur; veier, bygninger, broer og sikkerhet 25/10/2012 6
7 SABSA Utarbeidet av John Sherwood 2. halvdel av 1990-tallet Fokus på virksomheten risiko og «muliggjører» Rammeverk for å utarbeide virksomhetssikkerhetsarkitektur Metode og innholdsrammeverk (Content Framework) Mål: Konsistent håndtering av informasjonssikkerhet i hele virksomheten (helhetsbilde) 25/10/2012 7
8 Eksempler virksomhetsdrivere for sikkerhet Beskytte virksomhetens omdømme Sikre at virksomhetssystemer fungerer korrekt Sikre at korrekt informasjon er tilgjengelig på forespørsel Sikre overvåking av etterlevelse av policies og mulighet for oppdagelse, etterforskning og utbedring av sikkerhetsbrudd 25/10/2012 8
9 Eksempler - Business Attributes Operational Attribute: Business Attribute Attribute Explanation Metric Type Suggested Measurement Approach Important events must be Detectable detected and reported Hard Functional testing Risk Management Attribute: Business Attribute Attribute Explanation Metric Type Integrityassured The integrity of information Hard should be protected to provide assurance that it has not suffered unauthorised modification, duplication or deletion. Soft Suggested Measurement Approach Reporting of all incidents of compromise, including number of incidents pr. period, severity and type of compromise. Independant audit and review against <requirement> 25/10/2012 9
10 SABSA -matrisen (Bygge) Assets (What) Motivation (Why) Process (How) People (Who) Location (Where) Time (When) Contextual The Business Business Risk Model Business Process Model Business Organis. and Relationships Business Geography Business Time Dependencies Conceptual Business Attributes Profile Control Objectives Security Strategies and Architectural Layering Security Entity Model and Trust Framework Security Domain Model Security-related Lifetimes and Deadlines Logical Business Information Model Security Policies Security Services Entity Schema and Privilege Profiles Security Domain Definitions and Associations Security Processing Cycle Physical Business Data Model Security Rules, Practices and Procedures Security Mechanisms Users, Applicsand the User Interface Platform and Network Infrastructure Control Structure Execution Component Detailed Data Structures Security Standards Security Products and Tools Identities, Functions, Actions and ACLs Processes, Addresses and Protocols Security Step Timing and Sequencing Operational Assurance of Operational Continuity OperationalRisk Management Security Service Management and Support Application and User Mngt. Support Security of Sites, Networks and Platforms Security Operations Schedule 25/10/
11 SABSA utviklingsprosess - Oversikt Strategy and Concept Phase Define Contextual Security Architecture Define Conceptual Security Architecture Design Phase Define Logical Security Architecture Define Physical Security Architecture Define Component Security Architecture Define Operational Security Architecture in parallell with these Implementation Phase Manage and Measure Phase 25/10/
12 TOGAF Versjon ved The Open Group Basert på TAFIM, utviklet av Department of Defense i USA Rammeverk (metode og verktøy) for utvikling av virksomhetsarkitektur Formål å optimalisere prosesser med ulikt opphav/generasjon støtte fleksibilitet; rask respons på endring av forutsetninger redusert kompleksitet, redusert risiko 25/10/
13 ADM Architecture Development Method ADM-metoden viktig i TOGAF Kan også bruke ADM med andre innholdsrammeverk Viktig å sikre sikkerhetsrelatert informasjon inn i ADM i riktig fase det vil si START I PRELIMINARY Eksempler på anbefalt sikkerhetsinfo inn i og behandlet i ADM kommer; 25/10/
14 TOGAF Content Framework Metamodell 25/10/
15 TOGAF ADM 25/10/
16 Sikkerhet i Preliminary-fasen Viktigste aktiviteter Identifisere myndighetskrav og krav fra sikkerhetspolicy Identifisere foreløpige forutsetninger og eksterne grensesnitt Viktigste leveranser Liste over lover/forskrifter og andre eksterne krav Liste over sikkerhetspolicies Liste over forutsetninger og eksterne grensesnitt 25/10/
17 Sikkerhet i Architecture Vision-fasen Viktigste aktiviteter Etabler støtte i virksomhetsledelsen for sikkerhetstiltak Definer sikkerhetsrelaterte milepeler for sign-off av ledelsen under arkitekturutviklingen Kartlegg og dokumenter hvor kritisk systemene er med hensyn til hhv. liv og helse og for virksomheten Kartlegg og dokumenter katastrofe- og kontinuitetsplaner som kommer til anvendelse Viktigste leveranser: Signert sikkerhetspolicy av virksomhetsleder eller delegert Liste over sign-off av ledelsen ved sikkerhetsrelaterte milepeler Beskrivelse(r) av kritiskhet av systemer/applikasjoner Liste over relevante katastrofe- og kontinuitetsplaner 25/10/
18 Sikkerhet i Virksomhetsarkitektur-fasen (1) Viktigste aktiviteter Kartlegg brukere av systemet (sluttbrukere, applikasjoner, støttesystemer..) Vurder og beskriv sikkerhetsspesifikke virksomhetsprosesser Gjennomfør trusselanalyse med overordnede trusler og sannsynlighet Kartlegg og dokumenter virksomhetsverdier som blir utsatt for risiko gjennom bruk av systemet verditap som følge av uønskede hendelser "eiere" av virksomhetsverdier grad av kritiskhet av tilgjengelighet og korrekt operasjon av systemet 25/10/
19 Sikkerhet i Virksomhetsarkitektur-fasen (2) Viktigste leveranser Liste over nye krav til katastrofe- og kontinuitetsplaner Liste over validerte sikkerhetspolicies Liste over planlagte sikkerhetsprosesser Trusselanalysematrise Liste over aktiva med verdier og eiere Beskrivelse av konsekvenser av utilgjengelighet 25/10/
20 Risikostyring felles for prosjekt/endring med Cloud, mobile dingser og tjenesteutsetting Intern sikkerhetspolicy? Hvilke informasjonsaktiva? Hvem er «eier»? Underlagt eksterne krav til beskyttelse? Hva er beskyttelsesbehovet («KIT»)? Hvilke nye trusler kan informasjonen bli utsatt for? Er virksomheten din sårbar for disse truslene? 25/10/
21 Risikostyring felles for prosjekt/endring med Cloud, mobile dingser og tjenesteutsetting (forts) Viktig å tenke vidt! Hva kan skje som følge av dette prosjektet, endringen eller endrede forutsetninger; Ingeniørarbeid svinger mellom suksess og katastrofe Gjør risikovurdering! 25/10/
22 Eksempel på risikomatrise Meget høy Sannsynlighet Risikoprodukt = sannsynlighet x konsekvens Meget lav Ubetydelig Konsekvens Virksomhetskritisk Rød farge: Tiltak må iverksettes Grønn farge: Akseptabel risiko Gul farge: Tiltak skal vurderes Akseptabel risiko? 25/10/
23 Risikostyring ifm. vurdering av bruk av Cloud (1) Hva mener jeg med Cloud-tjenester? National Institute of Science and Technology (NIST), USA; Cloud karakteristika: Broad Network access Rapid Elasticity Measured Service On-Demand Self-Service Resource Pooling Cloud Security Alliance legger til: Multi-kunde (Multi-Tenancy) 25/10/
24 Risikostyring ifm. vurdering av bruk av Cloud (2) Avtaletekst? Henvisninger til «nettet»? Avtale med et norsk(registrert) selskap? Oversikt over lover og regler i landet hvor du vil benytte tjeneste? Garantier fra leverandøren om integritet og konfidensialitet? Erstatning i kroner vil du motta ved en alvorlig hendelse mht. utilgjengelighet? Driftskostnad vs. risiko 3. parts revisjon? Geografisk plassering av informasjon? Ny informasjon fra Datatilsynet! Les bl.a. om Narvik og Moss kommune, 25/10/
25 Risikostyring ifm. vurdering av bruk av mobile dingser Mobile dingser er vanskeligere å beskytte Hva er mulig å lagre av virksomhetsinformasjon på mobildingsen? Kan man klare seg med terminaltilgang? Tekniske tiltak? (Autentisering, kryptering, AV, sletting..) Policy/instruks for akseptabel bruk av mobile dingser? Skal virksomheten eie dingsen eller tillates ansattes egne? Behov for kunnskap om mange plattformer? Risiko ved å tillate lagring mm. - vs. ikke tilgang til informasjonen 25/10/
26 Risikostyring ifm. vurdering av tjenesteutsetting (1) Ansvar ref. IKT-forskriften, Personopplysningsforskriften, PCI DSS Viktig - avtale rett til innsyn og revisjon Viktig - avtale detaljerte krav til basis sikkerhet. Målbare! Gjør revisjoner av leverandøren, evt. ved 3. part ISO-standard under utarbeidelse 25/10/
27 Risikostyring ifm. vurdering av tjenesteutsetting (2) ISO App. A gir struktur men se til ISO for detaljer SLA for annet enn tilgjengelighet? Konsekvenser for leverandøren om sikkerhetstiltak ikke på plass? Avtalefestet frist for utbedring? Dog; høyere sikkerhetsnivå høyere kostnader 25/10/
28 Mulig påvirkning ved Cloud, dingser og tj.utsetting Assets (What) Motivation (Why) Process (How) People (Who) Location (Where) Time (When) Contextual The Business Business Risk Model Business Process Model Business Organisation and Relationships Business Geography Business Time Dependencies Conceptual Business Attributes Profile Control Objectives Security Strategies and Architectural Layering Security Entity Model and Trust Framework Security Domain Model Security-related Lifetimes and Deadlines Logical Business Information Model Security Policies Security Services Entity Schema and Privilege Profiles Security Domain Definitions and Associations Security Processing Cycle Physical Business Data Model Security Rules, Practices and Procedures Security Mechanisms Platform and Users, Applications Network and the User InterfaceInfrastructure Control Structure Execution Component DetailedData Structures Security Standards Security Products and Tools Identities, Functions, Actions and ACLs Etc. Processes, Modes, Addressesand Protocols Security Step Timing and Sequencing Operational Assurance of Operational Continuity OperationalRisk Management Security Service Management and Support Security of Sites, Application and User Networks and Management Support Platforms Security Operations Schedule 25/10/
29 OPPSUMMERING Etabler sikkerhetsarkitektur iht. standarder minimum ha struktur i løsninger og fullstendig og oppdatert dokumentasjon Innfør prosjekt- og endringsstyring med risikovurderinger Samarbeid mellom virksomhet/systemeier og IKT/forvalter Sørg for tilgang på kompetanse på risikovurdering og teknologier++ Behandle risiko og iverksett sikkerhetstiltak Internkontroll! Ivar Aasgaard ivaa@steria.no, Mobil: /10/
30 Spørsmål? 25/10/2012
31 25/10/
KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?
KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning
DetaljerHelhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.
Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk
DetaljerEn praktisk anvendelse av ITIL rammeverket
NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter
DetaljerDen europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,
Den europeiske byggenæringen blir digital hva skjer i Europa? Steen Sunesen Oslo, 30.04.2019 Agenda 1. 2. CEN-veileder til ISO 19650 del 1 og 2 3. EFCA Guide Oppdragsgivers krav til BIMleveranser og prosess.
DetaljerISO-standarderfor informasjonssikkerhet
Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and
DetaljerHvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk
Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk Logica 2012. All rights reserved No. 3 Logica 2012. All rights reserved No. 4 Logica 2012. All rights reserved
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerC L O U D S E C U R I T Y A L L I A N C E
C L O U D S E C U R I T Y A L L I A N C E Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerVurdering av risiko og sikkerhet i skytjenester. Håvard Reknes
Vurdering av risiko og sikkerhet i skytjenester Håvard Reknes hmr@difi.no +47 469 28 494 LinkedIn Password Hack 2012 Hva skjedde? ENISA - Top security risks CSA - En praktisk veiledning for vurdering av
DetaljerGjermund Vidhammer Avdelingsleder Governance, risk & compliance
VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste
DetaljerLovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014
Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er
DetaljerCyberspace og implikasjoner for sikkerhet
Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker
DetaljerFremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no C L O U D S E C U R I T Y A L L I A
DetaljerSykehuspartner HF En partner for helsetjenester i utvikling. Hvordan bygge et sykehus ved å bruke TOGAF rammeverk. En praktisk tilnærming
Sykehuspartner HF En partner for helsetjenester i utvikling Hvordan bygge et sykehus ved å bruke TOGAF rammeverk. En praktisk tilnærming 1 Agenda Bakgrunn TOGAF : organisering & leverabler Gjennomgang
DetaljerRS402 Revisjon i foretak som benytter serviceorganisasjon
Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet
DetaljerStandarder med relevans til skytjenester
Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerLovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC
Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC 13.02.2013 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen
DetaljerDet 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016
Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern
DetaljerSystem integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås,
System integration testing Forelesning Systems Testing UiB Høst 2011, Ina M. Espås, Innhold Presentasjon Hva er integration testing (pensum) Pros og cons med integrasjonstesting Når bruker vi integration
DetaljerInternasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no
Internasjonal standardisering Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering SN/K186 Standard Norge, Komite 186 Norsk skyggekomite: ISO IEC/JTC1/SC36 CEN TC353 ISO/IEC JTC1/SC36 (ITLET)
DetaljerAsset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012
Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong
DetaljerNye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen
Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene
DetaljerDataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!
Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid! Peter Flem Forretnings rådgiver @ Cartagena peter@cartagena.no Mobil: 93477148 Leder for faggruppen
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
Detaljerwww.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt
08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt En praktisk tilnærming til tjenestekatalog Svein Erik Schnell, Senior Consultant Steria AS Tine Hedelund Nielsen, Consultant Steria AS Steria Agenda
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerNår beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS
Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:
DetaljerNIRF Finansnettverk. Trond Erik Bergersen 24.1.2013
NIRF Finansnettverk Trond Erik Bergersen 24.1.2013 Trond Erik Bergersen Hvem er det? IT revisor hva er det? 2 Rollefordeling Hovedstyret Sentralbankledelsen Hovedstyrets revisjonsutvalg Linjeorganisasjon
DetaljerErfaringer fra en Prosjektleder som fikk «overflow»
Erfaringer fra en Prosjektleder som fikk «overflow» Per Franzén, Project Manager August 30 th, 2017 ERFARINGER FRA EN PROSJEKTLEDER SOM FIKK «OVERFLOW» AV GDPR BEGREPER OG INSTRUKSER Purpose limitation
DetaljerDistributed object architecture
Forelesning IMT2243 6. April 2010 Tema: forts. arkitektur og design av programvare Prosjektstatus Programvarearkitektur Oppsummering fra før påske Distribuerte objektarkitektur MDA - Model Driven Architecture
DetaljerIT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no
IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens
DetaljerIT Service Management
IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service
DetaljerReferansearkitektur sikkerhet
NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?
DetaljerJarle Langeland. Mellom IT-sikkerhet og personvern 2
Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern
DetaljerInvitation to Tender FSP FLO-IKT /2013/001 MILS OS
Invitation to Tender FSP FLO-IKT /2013/001 MILS OS April 15th 2013 Forfatter Prosjektittel 19.04.2013 19.04.2013 1 Introduction AGENDA Important aspects regarding the competition and Invitation to tender
DetaljerSkytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE
Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet
DetaljerStyring og ledelse av informasjonssikkerhet
Styring og ledelse av informasjonssikkerhet SUHS-konferansen 30. oktober 2013 Øivind Høiem, CISA CRISC Seniorrådgiver UNINETT AS Mål for styring informasjonssikkerhet Målene for styring av informasjonssikkerhet
DetaljerItled 4021 IT Governance Fra IT-strategi til digital forretningsstrategi og plattformer
Itled 4021 IT Governance Fra IT-strategi til digital forretningsstrategi og plattformer September 2018 Bendik Bygstad Læringsmål Kunne definere IT-strategi, og forholdet til forretningsstrategi? Kunne
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerHva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1
Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF, 2014-06-18 1 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering
DetaljerISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning
ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til
DetaljerRisikoanalysemetodikk
Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering
DetaljerMåling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerStandarder for Asset management ISO 55000/55001/55002
Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby
DetaljerHva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?
Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? HelsIT 2011 Roar Engen Leder for arkitekturseksjonen,teknologi og ehelse, Helse Sør-Øst RHF Medforfatter: Jarle
DetaljerVirksomhetsarkitektur (VA) og rammeverk
Virksomhetsarkitektur (VA) og rammeverk Tom A. Heiberg Capgemini Norway / Oslo Principal / Enterprise Architecture Mobil: + 47 932 21 704 Tom-Andre.Heiberg@Capgemini.no Anne Lise Furmyr Capgemini Norway
DetaljerKontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,
Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work
DetaljerLukkede pasientgrupper på sosiale medier en utfordring for personvernet. Hvor er løsningene?
Lukkede pasientgrupper på sosiale medier en utfordring for personvernet. Hvor er løsningene? Anbefalt av flere Mange tjenester - ulike konsepter Personvernutfordringene Observasjoner fra bruk Program for
DetaljerHva betyr tjenesteorientert arkitektur for sikkerhet?
Hva betyr tjenesteorientert arkitektur for sikkerhet? Torbjørn Staff Architecture Innovation Group Accenture, its logo, and High Performance Delivered are trademarks of Accenture. Agenda Arkitekturevolusjonen
DetaljerEDB Business Partner. Sikkerhetskontroller / -revisjoner
EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate
DetaljerA Study of Industrial, Component-Based Development, Ericsson
A Study of Industrial, Component-Based Development, Ericsson SIF8094 Fordypningsprosjekt Ole Morten Killi Henrik Schwarz Stein-Roar Skånhaug NTNU, 12. des. 2002 Oppgaven Studie av state-of-the-art : utviklingsprosesser
DetaljerCloud Computing. Monaco 26.05.2014. Dette bør være forsiden på din presentasjon. Et lybilde med program etc. Kan komme før Ola prater.
Cloud Computing Monaco 26.05.2014 Dette bør være forsiden på din presentasjon. Et lybilde med program etc. Kan komme før Ola prater. Dette fikser jeg i morgen 2 Agenda: Paradigmeskiftet Hva er Cloud Computing?
DetaljerEXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON
Side 1 av 5 NTNU Norges teknisk-naturvitenskapelige universitet Institutt for telematikk EXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON Contact person /
DetaljerInnebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?
Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet
DetaljerRisiko og sårbarhetsanalyser
Risiko og sårbarhetsanalyser Et strategisk verktøy i sertifiseringsprosessen ISO 14001 Nasjonal miljøfaggruppe 30.05.13 Miljørådgiver Birte Helland Gjennomgang Teoretisk gjennomgang av hva risiko er Hvorfor
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerNIFS 9.september 2015
NIFS 9.september 2015 Sikkerhet i innbyggertjenester Balansen mellom tilgjengelighet, integritet og konfidensialitet Dato Dagens agenda Tid Agendapunkt Ansvarlig 09:00 Velkommen Thorbjørn Ellefsen 09:05
DetaljerMED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017
INNOVASJON OG MULIGHETER MED PUBLIC CLOUD Altinn Servicelederseminar - 21. September 2017 Geir Morten Allum geir.morten.allum@basefarm.com Product Development Basefarm AGENDA ALTINN SERVICELEDERSEMINAR
DetaljerHacking av MU - hva kan Normen bidra med?
Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, 24.4.2019 Side 1 Litt bakgrunn og oppdatering Personvern og informasjonssikkerhet to siste år https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c
DetaljerEn monopolvirksomhets sikkerhetsferd mot den offentlige skyen
En monopolvirksomhets sikkerhetsferd mot den offentlige skyen Om Lånekassen Etablert i 1947 Utlånsportefølje 173,8 milliarder Kunder 1 087 500 Tildelt studiestøtte 28,7 milliarder Innlogginger Dine Sider
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerErfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerKIS - Ekspertseminar om BankID
www.nr.no KIS - Ekspertseminar om BankID Dr. Ing. Åsmund Skomedal Forsknings sjef, DART, Norsk Regnesentral asmund.skomedal@nr.no 18. mars 2009 Tema til diskusjon Agenda punkter Kritisk analyse av digitale
DetaljerTjenester i skyen hva må vi tenke på?
Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet
DetaljerPAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK
PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon
DetaljerCapturing the value of new technology How technology Qualification supports innovation
Capturing the value of new technology How technology Qualification supports innovation Avanserte Marine Operasjoner - Fra operasjon til skip og utstyr Dag McGeorge Ålesund, 1 Contents Introduction - Cheaper,
DetaljerVeileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013
Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerHvordan kontrollere det ukontrollerte? Et ledelsesperspektiv. Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02.
Hvordan kontrollere det ukontrollerte? Et ledelsesperspektiv Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02. Februar 2011 Innledning 2 KPMG Norge Geir Arild Engh-Hellesvik er leder for informasjonssikkerhetstjenesten
DetaljerRammeverk for anskaffelse av tjenester i skyen.
Rammeverk for anskaffelse av tjenester i skyen. Et porteføljeperspektiv Ivar Aune 19. januar 2012 2010 Dobbelt så bra, på halv tid, til halv pris.. 2 Mitt Transportselskap AS Lagerstyring (WMS) i skyen
DetaljerInternationalization in Praxis INTERPRAX
Internationalization in Praxis The way forward internationalization (vt) : to make international; also: to place under international control praxis (n) : action, practice: as exercise or practice of an
DetaljerINF 5120 Obligatorisk oppgave Nr 2
INF 5120 Obligatorisk oppgave Nr 2 Vigdis Bye Kampenes Stein Grimstad Gruppe 26 INF 5120 Obligatorisk oppgave Nr 2... 1 1 Business model... 2 Innledende kommentarer... 2 Andre avgrensninger... 2 Scoping
DetaljerEuropeiske standarder -- CIM og ENTSO-E CGMES. Svein Harald Olsen, Statnett Fornebu, 11. september 2014
Europeiske standarder -- CIM og ENTSO-E CGMES. Svein Harald Olsen, Statnett Fornebu, 11. september 2014 Tema: CIM & ENTSO-E CGMES Standarder for utveksling av kraftnettrelatert data Motivasjon Introduksjon
DetaljerKort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no
Kort om IPnett - Hvem er vi? - Trapeze vs. Juniper - Uninett avtalen Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no IPnett AS Vollsveien 2b Pb 118 1325 LYSAKER
Detaljermnemonic frokostseminar
SIKRING AV SKYTJENESTER mnemonic frokostseminar 07.06.2016 trond@mnemonic.no Me % whoami trond % cat /etc/passwd grep trond trond:x:2147:10000:trond Tolnæs:/home/trond:/usr/bin/bash % ls -ltd /home/trond/.[^.]*
DetaljerMindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen?
Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen? Risikoidentifikasjon - IT Bjørn Jonassen Finansnettverket NIRF Agenda 1. Litt om meg 2. IT-Risiko bakgrunn 3. Risikoidentifikasjon
DetaljerEndringsdyktige og troverdige systemer
Endringsdyktige og troverdige systemer Modellering av avhengigheter for å evaluere systemkvalitet 15. jan. 2009 Aida Omerovic SINTEF IKT/UiO 1 Outline Motivation PREDIQT method Practical application of
DetaljerHMS og IKT-sikkerhet i integrerte operasjoner
HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO) 2 Eller historien
DetaljerHva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014
Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Paul Torgersen Leder Metier Consulting 20. oktober 2014 Side 2 Innhold Hva er prosjektsuksess? Hva kjennetegner de beste? Mine
DetaljerHvordan gjennomføre og dokumentere risikovurderingen i en mindre bank
Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring
DetaljerNettskyen, kontroll med data og ledelsens ansvar
Nettskyen, kontroll med data og ledelsens ansvar SUHS-konferansen 2011 Per Arne Enstad, CISA,CISM 2 Hva kjennetegner en nettsky? Behovsbasert selvbetjening Høy konnektivitet Deling av ressurser Kapasitet
DetaljerARK 2014 Arkitekturfaget - observasjon fra en tjenesteleverandør
ARK 2014 Arkitekturfaget - observasjon fra en tjenesteleverandør www.steria.com Stein Aarum Leder for arkitekturfagområdet Steria www.steria.com Innhold Hva vi mener med arkitektur Vår viktigste rolle
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerStyrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro
Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene
DetaljerBeskrivelse av informasjonssystemet
Beskrivelse av informasjonssystemet Side 1 av 5 Beskrivelse av informasjonssystemet NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerNOVUG 3 februar 2009
NOVUG 3 februar 2009 Tjenestekatalog og CMDB En kombinasjon som fungerer i praksis 2008 Prosesshuset AS All tillhørende informasjon kan bli endret uten varsel 1 Introduksjon Stig Bjørling Ellingsen Gründer
DetaljerIT-ledelse 25.jan - Dagens
IT-ledelse 25.jan - Dagens 1. Virksomheters anvendelse av IT-baserte informasjonssystemer 2. Alle nivåer i bedriftshierarkier støttes av informasjonssystemer Operasjonelt nivå, Mellomleder nivå, Toppledelse
DetaljerNettskyen utfordringer og muligheter
Nettskyen utfordringer og muligheter Hello..Hello? I want my data back. Is there anybody out there? Hello.? 01.06.2011 Side 2 Datatilsynet 1 Personvern med korte ord Informasjon om håndtering Rettslig
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
DetaljerSecurity events in Norway
Security events in Norway Threats, risk and event handling Stig Haugdahl, CISO DSS Sikkerhed og revision 2013 Who am I? Master of Science in Engineering Civilingeniør kybernetik CISM ISACA SSCP (ISC)²
DetaljerSamfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?
Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet? Lars Erik Jensen, prosjektleder, Standard Norge Bilde: NordForsk 2 Hvordan kan vi best påvirke internasjonale standarder
Detaljer