Hva er et styringssystem?

Transkript

1 Hva er et styringssystem? Og forholdet mellom ISO og Seminar 12. april 2012 Ingvild Høvik Kiland

2 Riksrevisjonens Dok 1 ( ) Revisjonen var basert på Nasjonale retningslinjer for å styrke informasjonssikkerheten (FAD, JD, FD, SD Økonomiregelverket (bestemmelsene) NS-ISO/IEC 27002:2005 Informasjonsteknologi Sikkerhetsteknikk Administrasjon av informasjonssikkerhet (gamle ISO 17799:2005)

3 Informasjonssikkerhet Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjon som behandles i systemet og systemet i seg selv. Fra Nasjonale retningslinjer for å styrke informasjonssikkerheten Direktoratet for forvaltning og IKT

4 HVA ER ET STYRINGSSYSTEM FOR INFORMASJONSSIKKERHET? Direktoratet for forvaltning og IKT

5 Hva ligger foran oss? Utviklingen av en elektronisk forvaltning vil være en av de store effektiviserings- og fornyingstiltakene i årene som kommer Direktoratet for forvaltning og IKT

6 Dato Direktoratet for forvaltning og IKT

7 Hvorfor ISO 27001/27002? Nasjonale retningslinjer for å styrke informasjonssikkerhet (Ny versjon på vei) Vurdere krav om bruk av standarder Standarder for informasjonssikkerhet Referansekatalogen v 3.1 høringsfrist 24/ Direktoratet for forvaltning og IKT

8 ISO/IEC 27001:2005 Standard for et styringssystem for informasjonssikkerhet Information Security Management Systems (ISMS) Plan Do Check Act Direktoratet for forvaltning og IKT

9 11 områder, 39 sikringsmål og 133 sikringstiltak Utdyping av 133 sikringstiltak Direktoratet for forvaltning og IKT

10 Forholdet mellom regelverk og ISO/IEC Regelverk gjelder Standarden kan utfylle Vi må avstemme Direktoratet for forvaltning og IKT

11 Et kort overblikk Pof 2-1 Forholdsmessige krav om sikring av personopplysninger ISO Krav til risikotilnærming 2-3 Sikkerhetsledelse Management 2-4 Risikovurdering Risk management 2-5 Sikkerhetsrevisjon Internal audit 2-6 Avvik Corrective and preventive action 2-16 Dokumentasjon Documentation requirements Direktoratet for forvaltning og IKT

12 PLAN ACT DO CHECK Dato Direktoratet for forvaltning og IKT

13 Du skal planlegge det du skal gjøre P FOR PLAN Dato Direktoratet for forvaltning og IKT

14 PLAN Hva skal styringssystemet gjelde for? ISMS-policy (Mål og strategi) Risikovurdering og -tilnærming Ut fra risikovurderingen skal vi velge sikringsmål og tiltak for håndtering av risiko (Annex A) Få ledelsens godkjennelse for foreslåtte restrisiko Direktoratet for forvaltning og IKT

15 Ivaretakelse av rettslige krav Skal vurdere de rettslige krav i planleggingsfasen Vedlegg A A.15 compliance Mål: Å unngå brudd på lover, forskrifter og kontraktsforpliktelser A.15.1 Compliance with legal requirements Kontraktsforpliktelser Opphavsrettigheter Personvern og personopplysningsvern Med mer Direktoratet for forvaltning og IKT

16 PLAN overgang til neste fase Få ledelsens godkjenning til å implementere og drifte ISMS Forberede SoA sikkerhetstiltak..og deretter starter DO-fasen PLAN ACT DO CHECK Direktoratet for forvaltning og IKT

17 Du skal gjøre det du planla å gjøre D FOR DO Dato Direktoratet for forvaltning og IKT

18 D for DO Utarbeide risikohåndteringsplan ( prosjektplan ) Gjennomføre planen Definere hvordan man skal måle virkningen av sikringstiltak Utarbeide og implementere prosedyrer og rutiner Gjennomføre opplæring Styre ressurser Implementere prosedyrer/tiltak for å oppdage og håndtere avvik Dato Direktoratet for forvaltning og IKT

19 Du skal sjekke at du gjør det du planla å gjøre C FOR CHECK Dato Direktoratet for forvaltning og IKT

20 C for check Tiltak for å overvåke og revidere ISMS Undersøke om sikkerhetskrav blir oppfylt Revidere risikovurderingen(e) Revidere restrisiko Revidere akseptabelt risikonivå Gjennomføre intern revisjon Gjennomføre ledelsens gjennomgang Oppdatere planer Dokumentasjon på isms-hendelser og tiltak Dato Direktoratet for forvaltning og IKT

21 Du skal korrigere og forbedre P-D-C A for act Dato Direktoratet for forvaltning og IKT

22 Dokumentasjonskrav den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene pol 13 Mer spesifisert i pof ISO kap. 4.3 Documentation requirements Dato Direktoratet for forvaltning og IKT

23 ISO/IEC ISO/IEC 27002:2005 Administrasjon av informasjonssikkerhet Veiledning til generelt aksepterte sikringstiltak Retningslinjer og generelle prinsipper for planlegge, implementere, vedlikeholde og forbedre styringssystem for informasjonssikkerhet i en virksomhet (anbefalt praksis) Dato Direktoratet for forvaltning og IKT

24 ISO/IEC Sikringstiltak Ofte kun en setning Retningslinjer for iverksettelse Råd/veiledning om hvordan tiltaket kan etableres Andre opplysninger Ytterligere råd/henvisning til annen informasjon/standarder Direktoratet for forvaltning og IKT

25 Du skal planlegge Du skal jobbe systematisk Du skal ha tilfredsstillende informasjonssikkerhet Du skal dokumentere Du har ansvaret for eksterne

26