Risikostyring. Rune Ask Risk & Compliance Manager Det Norske Veritas. Rune Ask
|
|
- Torbjørn Kleppe
- 8 år siden
- Visninger:
Transkript
1 Risikostyring Rune Ask Risk & Compliance Manager Det Norske Veritas Rune Ask Risk & Compliance Manager i DNV tidligere Chief Specialist Tidligere daglig leder (software-firma), IT-sjef (shipping), sikkerhetskonsulent (revisjons- og konsulentselskaper) og mye mer Sertifiseringer - CISA Certified Information Systems Auditor fra CISM Certified Information Security Manager fra ITIL Certified Foundation in IT-Service Management fra ISSPCS Certified Practitioner fra 2005 Standarder - ISACA Information Systems Audit & Control Association - GITS-2 Tilgangskontroll - GITS-5 Bruk av Internett - ISO International Standards Organization - ISO/IEC ISO/IEC ISO/IEC ISO/IEC Leder av Standard Norges arbeidsgruppe for informasjonssikkerhet (K171) - Norges Head of Delegation til ISO SC27 Tidligere nestleder i IT-SikkerhetsForum i seks år og deltaker i det offentlige Forum for IT-sikkerhet 1
2 Det Norske Veritas - DNV Uavhengig stiftelse etablert i1864 selveid 300 kontorer i 100 land ~9000 ansatte fra 98 nasjoner Head office Local offices Det Norske Veritas - DNV Formål Å arbeide for sikring av liv, verdier og miljø Vår r visjon Global påvirkning p for en trygg og bærekraftig b framtid Maritime Renewable energy Food and beverage Aviation Oil and gas Managing risk ICT Process Automotive Rail General 2
3 Maritime, Energy & Business Assurance DNV is a world leading classification society % of the world fleet to class - 19% of ships ordered in % of maritime fuel testing market - Authorised by 130 national maritime authorities - Continuous high performance in Port State Control worldwide Broad experience in the energy industry - Cross-disciplinary competence within risk, management, technology and operational expertise - Our services and solutions are built on leading edge technology - Offshore pipeline technology leader - DNV Offshore Rules for pipelines recognised as world class - Deep water technology - Providing reliable verification and qualification of unproven technology - Broad experience with LNG / Natural Gas Services to industries - Product certification - Management system certification - More than 80 national accreditations and certificates issued worldwide - Corporate Responsibility - Governance responsibility assessment - Supply chain management - Verification of sustainability reporting - IT risk management services - Business consulting services and solutions - Enterprise risk management - Safety, Health and Environmental (SHE) risk management - Change management - Software products and services - Training IS0/IEC BS ISMS Information Security Management System Planlegg Plan Etablere ISMS-et Interessenter Utfør Do Iverksette og forvalte ISMS-et Kretsløp for utvikling, vedlikehold og forbedring Vedlikeholde og forbedre ISMS-et Forbedre Act Interessenter Overvåke og revidere ISMS-et Krav og forventninger til informasjonssikkerhet Kontroller Check Styrt informasjonssikkerhet 3
4 IS0/IEC BS Planlegg Plan Utfør Do Forbedre Act Kontroller Check Definere ISMS mål Definere ISMS policy Velge metode for risikohåndtering Kartlegge risiko Velge tiltak for å håndtere risikoene Utarbeide anvendelighetserklæring SoA Statement of Applicability Hva er risikostyring? ISO/IEC Guide 73 Risk management Vocabulary Guidelines for use in standards Risiko: Trussel Sårbarhet Konsekvens Sannsynlighet 4
5 Hva er risikostyring? Prosessen for risikostyring Definere omfang Registrere aktiva Definere akseptabelt risikonivå Identifisere trusler Avdekke sårbarheter Utføre risikovurdering Iverksette sikringstiltak Informere interessenter Gjenta ad infinitum ISO/IEC
6 Definere omfang Organisasjon - Hele - Deler - Enkelte avdelinger Fysisk lokalisering - Kontorer - Lokasjoner - Installasjoner - Enheter IT-infrastruktur - Alt - Deler Informasjonsaktiva Produkt Tjeneste Registrere aktiva Informasjonsaktiva Programvare IT-utstyr Market Sectors Service Areas 12. Organising 14. Managing Tjenester Marketing and After sales Sales Production profiling services xxx Menneskelige ressurser xxx customer customer xxxx xxxx Information Research and Human 13. Management handling and development - Ansatte resources support distribution 10. Asset management and financing 11. Purchasing and sub-contracting - Kunnskap Fysiske enheter Kartlegge virksomhetsprosessene - Bygninger - Maskiner Identifisere hvor informasjonsaktiva - Transportmidler - Behandles Immaterielle aktiva - Lagres - Kommuniseres - Omdømme - Image Fokusere på viktige IA 6
7 Registrere aktiva Hvilke aktiva skal registreres? - Av stor verdi - Virksomhetskritisk/viktig - Understøtter lovpålagt aktiviteter - Kontraktuelle forpliktelser - Synliggjør virksomheten Gruppér aktivaene - Understøtter samme virksomhetsprosess - Utsatt for samme trusler - Kan sikres med samme tiltak - «Eies» av samme systemeier Dokumenter aktivaene - Hvilke momenter er lagt til grunn for grupperingen Definere akseptabelt risikonivå Gjøres i forhold til alle aktiva i risikovurderingen Basere seg som et minimum på: - Konfidensialitet - Integritet - Tilgjengelighet Andre aspekter kan være nødvendige å vurdere: - Autentisering - Ansvarlighet - Autorisasjon - Pålitelighet - Sporbarhet - Ekthet - Ikke-benektelse - Tidsriktighet - Identifisering - Personvern 7
8 Definere akseptabelt risikonivå Utføres av ledelsen Nivå Krav til sikkerhet Integritet Konfidensialitet Tilgjengelighet Tap 5. Meget høye Strengt hemmelige Feil må ikke forekomme 30 min. > 5 mill 4. Høye Hemmelige Feil bør unngås 2 timer 1 5 mill 3. Middels Fortrolige Noen få feil kan aksepteres 1 dag mill 2. Lave Forretningsmessige En del feil kan aksepteres 3 dager Ingen Fritt tilgjengelige Feil er uten betydning 1 uke < Identifisere og vurdere trusler Interne trusler Eksterne trusler Teknologiske trusler Juridiske og finansielle trusler Ansatte bevisste & ubevisste aktiviteter Trusler mot data/informasjon Trusler mot informasjonsteknologien Miljømessige trusler Har noen mulighet til å utnytte trusselen? Hvilke evner har trusselkilden til å gjennomføre trusselen? Hvilken motivasjonen har trusselkilden til å utføre trusselen? Hvilke sikringstiltak er allerede iverksatt? Hvor stor er sannsynligheten for at trusselen kan bli realisert? Hvor ofte kan det skje? Gruppér truslene 8
9 Eksempler på trusler Uautoriserte endringer av informasjon blir ikke oppdaget Datakriminelle får tilgang til IT-systemer ved å gjette passord En autorisert bruker benytter privilegier til å utføre uautoriserte aktiviteter i virksomhetens produksjonssystemer En ansatt benytter virksomhetens IT-systemer til å utføre datakriminelle aktiviteter mot andre virksomheter Lekkasjer av kjemiske væsker, giftige gasser eller skadelig industriavfall påvirker arbeidsomgivelsene Feil i program blir ikke oppdaget før programmet settes i produksjon Kraftig regn, hagl, is eller snøstorm ødelegger deler av IT-infrastruktur Feil i maskin- og programvare medfører nedetid i produksjonsutstyr Bærbar pc med sensitiv informasjon blir stjålet Datavirus, ormer og annen destruktiv programvare infiserer nettverket Kablene for virksomhetens eksterne nettforbindelser blir gravd over Avdekke sårbarheter Tekniske: Leverandørenes hjemmesider Nettsteder med sikkerhetsinformasjon Gjennomføre sikkerhetsrevisjoner Gjennomgå sikkerhetslogger Installere sikkerhetsprogramvare Utføre sikkerhetsskanning Utføre penetrasjonstester Delta i sikkerhetsfora Organisatoriske: Sikkerhetsmiljø - Bevissthet - Sikkerhetsdokumentasjon - Kontroller og revisjoner IT-miljø - Homogent vs. Heterogent - Sentralisert vs. Desentralisert Driftsmodell - Intern IT-avdeling - Driftsutsetting hele eller deler 9
10 Alternativ metode Slå sammen trusler og sårbarheter og mulig konsekvens Uønsket hendelse Fordeler - Enklere å forholde seg til - Tidsbesparende Eksempler på uønskede hendelser: - Brev med sensitive persondata blir liggende uavhentet på skriver Uautoriserte får tilgang på konfidensiell informasjon - Ukryptert informasjon om tilbud under utarbeidelse feilsendes via e-post Konfidensiell informasjon blir offentliggjort overfor konkurrenter - Bærbar pc uten krypteringsprogramvare stjeles Uautoriserte får tilgang til konfidensiell informasjon - Kommunikasjonskabler graves over Distriktskontorer mister forbindelse til sentrale servere og tjenester Gjennomføre risikovurdering Gruppearbeid med relevant personell - Toppledelse (fortrinnvis med beslutningsmyndighet) - Fagpersonell (både IT og informasjonssikkerhet) - Representanter fra sentrale brukergrupper 1-2 dager Definere risikonivåer og -matrise Velge verktøy Dokumentere og registrere risikoer Planlegge iverksettelse av risikoreduserende tiltak Akseptere restrisiko 10
11 Definere risikonivåer og -matrise Sannsynlighet vs. Konsekvens Hvor sannsynlig det er at en hendelse skal inntreffe Sannsynlighetsfaktor Konsekvensfaktor Hva blir konsekvensen dersom trusselen inntreffer Ubetydelig skjer antakelig ikke innen 20 år Liten kan skje i løpet av neste 20 år Middels skjer antakelig innen 5 år Skjer antakelig innen 1 år Ubetydelige økonomiske tap Økonomiske tap Lite markedsmessig betydning Betydelige økonomiske tap og markedsmessige konsekvenser Svært alvorlig tap med varige følger 5 Overhengende fare 5 Truer virksomhetens eksistens Definere risikonivåer og -matrise Eksempel 1: Eksempel 2: Eksempel 3: Sannsynlighet Konsekvens Risikonivåer Kritisk Betydelig Ikke vesentlig 11
12 Registrere risikoer Iversette sikringstiltak Forebyggende Prevention Avskrekkende Deterrence Oppdagende Detection Begrensende Limitation Korrigerende Correction Gjenopprettende Recovery Overvåkende Monitoring Bevisstgjørende Awareness Overførende Transfer Basere på tiltak fra ISO/IEC eller andre standarder - Organisatoriske - Tekniske Kost/nytte Lover og regler Avtale-/kontraktsfestet 12
13 Informere interessenter Kommunisere risikobildet - Eiere - Ansatte - Innleid personell - Kunder - Leverandører - Samarbeidspartnere - Offentlige instanser - Andre brukere Informere om iverksatte tiltak Repetere ad infinitum Ved endringer i trusselbildet Ved endringer i IT-infrastrukturen - Omkonfigureringer - Nyinstallasjoner - Oppgraderinger Ved organisatoriske endringer - Bemanning - Driftsutsetting Ved endringer i krav - Lover - Avtaler - Kontrakter Årlig 13
14 Sertifiseringsprosessen (kjørt etter boka) Trusler Sannsynlighet Konsekvenser Velge metodikk Krav til sikring Sårbarheter IS 27001: 133 tiltak Ytterligere tiltak Definere sikkerhetspolicyen Definere omfang for ISMS Gjennomføre risikovurdering Håndtere risikoene Velge mål og tiltak Utarbeide anvendelighetserklæring SoA Godkjennes av ledelsen Godkjennes av ledelsen Akseptabel risiko Godkjennes av ledelsen Planer Budsjetter Retningslinjer Prosedyrer Rutiner Til sertifisering En bedre prosess K a r t l e g g e Aktiva Krav Trusler Sannsynlighet Konsekvenser Sårbarheter Definere sikkerhetspolicyen Definere omfang for ISMS Iverksette strakstiltak Utarbeide sikkerhetshåndbok Iverksette tiltak Gjennomføre risikovurdering Velge mål Avstemme iverksatte tiltak med avdekkede risikoer M a r k e d s f ø r e i n t e r n t Opplæring Bevisstgjøring Kompetansebygging Utarbeide anvendelighetserklæring SoA Sertifisere 14
15 Suksessfaktorer (Forutsetninger) Sterk forankring hos ledelsen ISMS-prosess på plass Organisasjon - Risikoforum - Risikoansvarlige - Risikoeiere Verktøy Kompetanse Budsjett Ressurser God kommunikasjon Endringsvilje Takk for oppmerksomheten! Spørsmål??? Rune.Ask@dnv.com 15
Standarder for informasjonssikkerhet Rune Ask
Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC 27000 Oversikt
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerISO-standarderfor informasjonssikkerhet
Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and
DetaljerHelhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.
Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk
DetaljerNye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen
Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene
DetaljerRune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet.
Rune Ask Tittel: Seniorrådgiver - Informasjonssikkerhet Utdanningsnivå: Ingeniør Født: 1957 OPPSUMMERING AV KOMPETANSE- OG FAGOMRÅDER Rune har 35 års erfaring innen informasjonssikkerhet og IT. Han har
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerEndringer i ISO-standarder
Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter
DetaljerISOs styringssystemstandarder et verktøy for forenkling
2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig
DetaljerKJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?
KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerDE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015
DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 Oddmund Wærp Teknologisk Institutt email owa@ti.no Tlf. 934 60 292 TEKNOLOGISK INSTITUTT - HVEM VI ER Landsdekkende kompetansebedrift med hovedkontor
DetaljerErfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerStrategi med kunden i fokus
Strategi med kunden i fokus 4. November 2016 Trond Winther, Head of Department SAFER, SMARTER, GREENER Innhold 1 Bakgrunn og utfordring 2 Strategi 3 Læringer 2 Our vision: global impact for a safe and
DetaljerPAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK
PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon
DetaljerISO 55000-serien Asset management
Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -
DetaljerAsset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012
Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong
DetaljerEDB Business Partner. Sikkerhetskontroller / -revisjoner
EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerRisikoanalysemetodikk
Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering
DetaljerDet 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016
Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern
DetaljerEtablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard
Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland
ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland Introduksjon Arnfinn Roland CISSP PECB Professional Trainer Certified ISO Lead Auditor, Lead Implementer ISO 27001 ISO 22301
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerIntegrering av IT i virksomhetens helhetlige risikostyring
Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs
DetaljerKontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,
Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerHMS og IKT-sikkerhet i integrerte operasjoner
HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO) 2 Eller historien
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerErfaringer fra en Prosjektleder som fikk «overflow»
Erfaringer fra en Prosjektleder som fikk «overflow» Per Franzén, Project Manager August 30 th, 2017 ERFARINGER FRA EN PROSJEKTLEDER SOM FIKK «OVERFLOW» AV GDPR BEGREPER OG INSTRUKSER Purpose limitation
DetaljerE-navigasjon 12-13 Juni 2014
E-navigasjon 12-13 Juni 2014 SIKKER NAVIGERING Classification: Internal 2014-06-11 E-NAVIGASJON Introduksjon, Tor Arne Tønnessen Statoil hvem er vi E-navigasjon, hvorfor er det viktig for Statoil ECDIS,
DetaljerSØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON
SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.
DetaljerNorsk Bryggerlaug Prinsipper og krav i standarder for Trygg mat sertifisering. ISO 22000 BRC.
Norsk Bryggerlaug Prinsipper og krav i standarder for Trygg mat sertifisering. ISO 22000 BRC. Jøran Laukholm DNV - Introduction The Company An independent foundation established 1864 Objective To Safeguard
DetaljerISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri
ISO/DIS 45001, INNHOLD OG STRUKTUR Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001:2016 Occupational health and safety managment systems Requirements with guidance for use Overordnet mål: forebygge
DetaljerSafe, efficient and profitable operations
Safe, efficient and profitable operations 1 MACONDO Macondo- ulykken, også kalt Deepwater Horizon- ulykken (BP operert), utblåsningsulykke 20 april 2010 i Mexicogulfen 11 personer omkom 650.000 liter råolje
DetaljerInformasjonssikkerhet
Informasjonssikkerhet med spesielt blikk på administrative funksjoner Ingvild Stock-Jørgensen Juridisk seniorrådgiver UiT Norges arktiske universitet Innledning Om meg Tema for dagen Hva er informasjonssikkerhet
DetaljerRISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET
RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling
DetaljerSterk global konkurranse, raske teknologiskift og det grønne skiftet utfordrer dagens løsninger og produksjonsmetoder.
Sterk global konkurranse, raske teknologiskift og det grønne skiftet utfordrer dagens løsninger og produksjonsmetoder. Evnen til raskt å ta i bruk ny teknologi og nye metoder er avgjørende for bedriftens
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerGjermund Vidhammer Avdelingsleder Governance, risk & compliance
VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerLicense Management Morten A. Steien EDB Business Partner Industri
License Management Morten A. Steien EDB Business Partner Industri 2009-02-04 EDB Business Partner organisasjon Bank & Finance Public sector Telecom Industry 1000 FTE s 1600 MNOK revenue Application Services
DetaljerHva kjennetegner god Risikostyring?
Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over
DetaljerGuri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK
Guri Kjørven, Standard Norge NS-ISO 45001 LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK ISO/PC 283 Occupational health and safety management systems 70 Participating Countries, 16 Observing
DetaljerMARITIME SIMULATORER. AV Ove A Bentsen TRANSAS NORGE AS
MARITIME AV Ove A Bentsen TRANSAS NORGE AS ANNERKJENTE KVALITETS KRITERIER Maritime simulatorer: Dekker minimum alle essensielle områder innen maritim trening i henhold til STCW '95 krav. Konstruert for
DetaljerAibel Vår tilnærming til GDPR. Elin H Madell HR System Owner
Aibel Vår tilnærming til GDPR Elin H Madell HR System Owner About Aibel Aibel AS is a leading supplier of services related to oil, gas and renewable energy Around 4,000 employees More than a hundred years
Detaljer1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2
Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område
DetaljerSecurity events in Norway
Security events in Norway Threats, risk and event handling Stig Haugdahl, CISO DSS Sikkerhed og revision 2013 Who am I? Master of Science in Engineering Civilingeniør kybernetik CISM ISACA SSCP (ISC)²
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
DetaljerIKT-revisjon som del av internrevisjonen
IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi
DetaljerKort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no
Kort om IPnett - Hvem er vi? - Trapeze vs. Juniper - Uninett avtalen Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no IPnett AS Vollsveien 2b Pb 118 1325 LYSAKER
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerNIRF Finansnettverk. Trond Erik Bergersen 24.1.2013
NIRF Finansnettverk Trond Erik Bergersen 24.1.2013 Trond Erik Bergersen Hvem er det? IT revisor hva er det? 2 Rollefordeling Hovedstyret Sentralbankledelsen Hovedstyrets revisjonsutvalg Linjeorganisasjon
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerVedlegg V MILJØTILTAK VED VRAKET AV U-864 Mulighetsstudier av alternative metoder for heving av last DNV GL AS
Vedlegg V3.05.0 MILJØTILTAK VED VRAKET AV U-864 Mulighetsstudier av alternative metoder for heving av last DNV GL AS Project name: Miljøtiltak ved vraket av U-864 DNV GL AS Report title: Customer: Contact
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerGuri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ
Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Historie ISO 45001 2000 2007 2016 1. utgave OHSAS 18001:1999 Ny BS standard Oversatt til norsk Helse er tatt med Mer forenlig
DetaljerStandarder med relevans til skytjenester
Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler
DetaljerWORLD CLASS INTEGRITY SOLUTIONS. Børge Gjeldvik Axess
WORLD CLASS INTEGRITY SOLUTIONS Børge Gjeldvik Axess Slik ser vi ut i juli 2014 Employees: 357 Revenues: 100 mill USD 2014 Per June 2014: 30% of revenues and 40% of EBIT from international offices World
DetaljerFremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no C L O U D S E C U R I T Y A L L I A
DetaljerC L O U D S E C U R I T Y A L L I A N C E
C L O U D S E C U R I T Y A L L I A N C E Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerBruk av ucmdb til SLM og Change Management EDB Business Partner Industri 2009-02-04
Bruk av ucmdb til SLM og Change Management EDB Business Partner Industri 2009-02-04 EDB Business Partner organisasjon Bank & Finance Public sector Telecom Industry 1000 FTE s 1600 MNOK revenue Application
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerSecode sikkerhetsklarering
Secode sikkerhetsklarering Secode og Secodes ansatte kan håndtere informasjon gradert STRENGT FORTROLIG iht. Beskyttelsesinstruksen av 1.7.1972:»Alle ansatte hos Secode har gyldig sikkerhetsklarering t.o.m
DetaljerEn praktisk anvendelse av ITIL rammeverket
NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerStyringssystem for informasjonssikkerhet i Arbeidstilsynet
2 Styringssystem for informasjonssikkerhet i Arbeidstilsynet 11. Juni 2014 Bjørn S. Larsen Direktoratet for arbeidstilsynet bjorn.larsen@arbeidstilsynet.no 3 Drivere Riksrevisjonen 17-18 oktober 2011 Riksrevisjonen
DetaljerNS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester
NS-EN 15224 Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester NS-EN 15224 LEDELSESSYSTEMER FOR KVALITET NS-EN ISO 9001 FOR HELSE- OG OMSORGSTJENESTER Krav til systematiske metoder
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerStyringssystem basert på ISO 27001
Styringssystem basert på ISO 27001 Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerCyber Risk Mapping Kartlegging av cyberrisiko
Cyber Risk Mapping Kartlegging av cyberrisiko v/andreas Vabø 26.10.2016 Utfordring Malicious attacks Interne trusler Ikkefysisk skade Avbrudd Fysisk skade Non malicious failures Konstant endring Cyberrisiko
DetaljerBerit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK
Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO 45001 LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK Historien bak ISO 45001 2000 2007 2018 1. utgave OHSAS 18001:1999 Ny
Detaljerwww.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt
08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt En praktisk tilnærming til tjenestekatalog Svein Erik Schnell, Senior Consultant Steria AS Tine Hedelund Nielsen, Consultant Steria AS Steria Agenda
DetaljerRicoh Norge. Rådsmøte 5 juni Petter Lien Salgsdirektør MA Gøran Alstedt National Account Manager Tor-Einar Fremstad Contract Manager
Ricoh Norge Rådsmøte 5 juni 2014 Petter Lien Salgsdirektør MA Gøran Alstedt National Account Manager Tor-Einar Fremstad Contract Manager 05/06/2014 Version: [###] Classification: Internal Owner: [Insert
DetaljerVeien til ISO 20000 sertifisering
Mål: 41 40 39 38 37 36 Veien til ISO 20000 sertifisering Forretningsidé Forbedringer 29 Definere kunder/pros. i verktøy 30 30 31 Mister ansatte Branding 32 Satsningsområde 33 Syneligjøre KPI er 34 ITIL
DetaljerMål med prosjektet. proactima.com. Utvikle, markedsføre og selge den beste løsningen for Risikostyring og HMS ledelse for det globale markedet
UXRisk PREPARED. Tema Målet med prosjektet hvilke utfordringer skulle løses Erfaringer fra samarbeid med et internasjonalt selskap Involvering av kunder Hvor er dere i dag. Erfaringer med Innovasjon Norge
DetaljerErfaringer med internasjonalisering fra Kongsberg industrien. Hva vil studentene møte? / 1 / Min bakgrunn
Erfaringer med internasjonalisering fra Kongsberg industrien Hva vil studentene møte? Torfinn Kildal Siv.øk / 1 / Min bakgrunn Siv.øk NHH 25 år operativ ledererfaring i norskbaserte internasjonale teknologi
DetaljerDigital Grid: Powering the future of utilities
Digital Grid: Powering the future of utilities Will digital help us do less or be more? Gunnar Westgaard September 2017 In response to the lightning quick pace of change, businesses are asking, What is
DetaljerHorisont 2020 EUs forsknings- og innovasjonsprogram. Brussel, 6. oktober 2014 Yngve Foss, leder, Forskningsrådets Brusselkontor
Horisont 2020 EUs forsknings- og innovasjonsprogram Brussel, 6. oktober 2014 Yngve Foss, leder, Forskningsrådets Brusselkontor Min presentasjon Bakgrunn for Horisont 2020 Oppbygning Prosjekttyper Muligheter
DetaljerHvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund
Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hva skal vi snakke om? IT-sikkerhet et ledelsesansvar Trusler KRAV/BIA Kontinuitet og ROS Håndtering av IT-kriser
DetaljerISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning
ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til
DetaljerISO Sammen skal vi gå gjennom. 12 October en gjennomgang av innholdet
- en gjennomgang av innholdet INGEBJØRG GRAVLIEN Sammen skal vi gå gjennom Introduksjon til standarden 7 Kjerneområder 7 Prinsipper Hvordan integrere Still spørsmål - Ingen spørsmål er for dumme - Ingen
DetaljerNorsox. Dokumentets to deler
Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.
DetaljerGjennomføring av sikringsrisikoanalyser og iverksetting av tiltak
Sikring en naturlig del av virksomhetens risikostyring? Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak Anne Egeli, Sikkerhetsrådgiver 17/11/2016 Hvem er vi? Safetec er en ledende tilbyder
DetaljerDet handler om å vite Christopher Kiønig KAM (ISO27001 LI)
Det handler om å vite 06.03.2014 Christopher Kiønig KAM (ISO27001 LI) Intro Watchcom Aktuelt trusselbilde Finger på pulsen Samarbeidet Watchcom og Cegal Q & A Watchcom Vi hjelper våre kunder med å forvalte
DetaljerNeste generasjon ISO standarder ISO 9001
Neste generasjon ISO standarder ISO 9001 DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir sett på som mer enn bare sertifisering...
DetaljerNS-EN ISO/IEC 17021-1
Guri Kjørven, 2015-12-02 NS-EN ISO/IEC 17021-1 SAMSVARSVURDERING - KRAV TIL ORGANER SOM TILBYR REVISJON OG SERTIFISERING AV LEDELSESSYSTEMER - DEL 1: KRAV Historikk ISO/IEC 17021:2006 Erstattet Guides
DetaljerForelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet Oppgave 1 Se
Detaljer