ITLED4021: IT og Ledelse Høst Styring av IT Sikkerhet. Audun Jøsang Universitetet i Oslo
|
|
- Hildegunn Malene Eggen
- 5 år siden
- Visninger:
Transkript
1 ITLED4021: IT og Ledelse Høst 2018 Styring av IT Sikkerhet Audun Jøsang Universitetet i Oslo
2 Relevant governance types Corporate Governance GRC IT Governance IT Security Governance Risk Manage ment Compliance Manage ment Security Manage ment ITLED IT Sikkerhetsledelse 2
3 Begreper rundt styring av IT sikkerhet Oppfylle foretakets mål. Definere foretakets visjoner og verdier. Balansere eieres mål og prioriteter. Information Security Governance Strategisk styring av informasjonssikkerhet Information Security Management Ledelse/styring av info. sikkerhet (Internkontroll) IT Security Operations Drift/Administrasjon av informasjonssikkerhet ITLED IT Sikkerhetsledelse 3
4 Information Security Governance Styring/strategist ledelse av informasjonssikkerhet IS governance provides strategic direction, ensures objectives are achieved, manages risk appropriately, uses organizational resources responsibly, and monitors the success or failure of the enterprise security programme. - IT Governance Institute Merk: Begrepet: information security management oversettes offisielt til ledelse av informasjonssikkerhet. Vær oppmerksom på at frem til 2014 ble information security management oversatt til styring av informasjonssikkerhet, og at mange organisasjoner (f.eks. NSM) fortsetter med det. Det særnorske begrepet internkontroll er omtrent ekvivalent med ledelse av informasjonsikkerhet. ITLED IT Sikkerhetsledelse Security 4 Governance
5 Benefits of IT Security Governance Protecting assets = creating value Trust from customers, partners, investors, own staff Reputation, brand, image Competitive advantage Prevention and reduction of losses Business continuity & resilience In case of disasters and major incidents Increase shareholder value ITLED IT Sikkerhetsledelse 5 Security Governance
6 Goals of information security governance as defined by COBIT and ISACA 1. Strategic alignment of the security program 2. Risk management 3. Value delivery 4. Resource management 5. Performance measurement ITLED IT Sikkerhetsledelse 6 Security Governance
7 ISACA - Mål for styring av IT-sikkerhet 1. Strategisk tilpasning av sikkerhetsprogrammet IS-aktiviteter skal støtte organisasjonens helhetlige strategi. 2. Risikohåndtering Avdekke trusler, sårbarheter og risiko. Deretter bruke adekvate virkemidler for å redusere risiko til et akseptabelt nivå. 3. Verdiskapning Søk optimal balanse mellom reduksjon av risiko og tap, og kostnader forbundet med sikkerhetsvirkemidler. 4. Ressursbruk Arbeidet med informasjonssikkerhet skal gjøres effektivt 5. Målbarhet Effekten av sikkerhetsarbeidet skal måles ITLED IT Sikkerhetsledelse Styring av 7 IT-sikkerhet
8 Characteristics of good IS Governance Managed as a business-wide issue Alignment of frameworks, policies and activities Viewed as business requirement Seen as essential for sustainable business operations Leaders are informed Leaders understand security risks and get regular reviews Leaders take responsibility Visible leaders who set clear goals and priorities Risk-based priorities Tolerances to risk understood and established Roles & responsibilities defined Clear segregation of duties ITLED IT Sikkerhetsledelse 8 Security Governance
9 Information security management Ledelse av informasjonssikkerhet (Internkontroll) Includes: Development and maintenance of security policies Documented goals, rules and practice for IS Planning and organisation of the security activities Information Security Management System (ISMS) Inventory and classification of resources and Information Threat and risk assessment Reporting and coordination with top level management Deployment and maintenance of security controls Security education and training Incident response and business continuity planning Security ITLED IT Sikkerhetsledelse Management 9
10 Who is responsible for ISM? Management CEO, CSO, CIO Allocate resources, endorse and abide security policies IT Security staff General security staff, i.e. guards, janitors etc. Important for physical security IT staff Users Third parties Outsourced information security management Customers, suppliers, business partners Sikkerhetsledelse ITLED IT Sikkerhetsledelse 10
11 Compliance: Following law and regulation Law and regulation, e.g. National laws and regulation International laws and regulation (e.g. GDPR, Basel II) It is mandatory to follow laws and regulation, Breach of compliance is sanctioned by national authorities Explicit company policy Defines who is authorized to do what Defines appropriate use It is good practice to follow company policy, Breach of compliance is sanctioned by company Can lead to liability if incidents result from breach of policy ITLED IT Sikkerhetsledelse 11
12 Norske lover som omhandler IT-sikkerhet Offentleglova Forvaltningsloven eforvaltningsforskriften Sikkerhetsloven Arkivlova Beskyttelsesinstruksen Personopplysningsloven Ekomloven esignaturloven Barnevernloven Familievernkontorloven Helsepersonelloven Helseregisterloven (og «Normen») Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen Forskrift om sikkerhet ved vassdragsanlegg ITLED IT Sikkerhetsledelse 12
13 Personvernforordningen (PVF = GDPR) ITLED IT Sikkerhetsledelse 13
14 Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. ITLED IT Sikkerhetsledelse 14
15 Person(opplysnings)vern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn Sørge for adekvat informasjonssikkerhet (KIT) rundt personinformasjon Definere klar ansvarsfordeling ITLED IT Sikkerhetsledelse 15
16 Personvernforordningen EUs lovtekst oversettes uendret EU 25. mai 2018, Norge/EFTA 20. juli artikler Bøter opp til eller 4% av omsetning (høyeste beløp) Håndheves av Datatilsynet 99 paragrafer, hvorav 25 og 32 er særlig sikkerhetsrelevante Foretak får nye plikter og innbyggere får nye rettigheter Plikt til *god* informasjon om behandling av personopplysn. Plikt til å følge prinsippet om innebygd personvern ( 25) Plikt til risikovurdering av personvernkonsekvenser ( 32) Store foretak må ha egen stilling som personvernombud ITLED IT Sikkerhetsledelse 16
17 PVF 25: Innebygd personvern og personvern som standardinnsstilling 1. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å oppnå et effektivt vern av personopplysninger for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. 2. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. ITLED IT Sikkerhetsledelse 17
18 PVF 32: Sikkerhet ved behandlingen 1. Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er 2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen ITLED IT Sikkerhetsledelse 18
19 Rettigheter og plikter under PVF Plikter Behandlingsansvarlig Databehandler Underleverandører Rettigheter De registrerte ITLED IT Sikkerhetsledelse 19
20 De registrertes rettigheter Informasjon om innsamling og lagring Innsyn Korrigering og sletting Begrensning Dataportabilitet Innsigelse Unngå automatiserte avgjørelser, inkludert profilering ITLED IT Sikkerhetsledelse 20
21 Integrering av prinsippene for innebygd sikkerhet i utvikling av IT-systemer Krav Drift Design Opplæring Produksjonssetting Koding Test ITLED IT Sikkerhetsledelse 21
22 Examples of Management System Standars ISO 9001 (quality) ISO (environment) ISO/IEC (IT service management) ISO (business continuity) ISO/IEC 27001(information security management) ISO (oil and gas management) ISO (road safety management) ISO (energy management) ITLED IT Sikkerhetsledelse 22
23 IS Management Standards ISO/IEC 27K security standards: ISO: International Standards Organization ISO 27001: Information Security Management System (ISMS) ISO 27002: Code of practice for information security controls + many more ISO/IEC standards cost money USA NIST (National Institute for Standards and Technology) Special Publications 800, Cover similar topics as ISO27K NIST standards are free Norge NSM Veileder i sikkerhetsstyring Risikovurdering for sikring ITLED IT Sikkerhetsledelse 23
24 ISO/IEC family of standards and related standards as of Oct Vocabulary Principles and guidelines Risk assessment techniques Guide Overview and vocabulary Code of practice Requirements Risk Management Organizational economics Governance Implementation guidance Conformity Assessment Vocabulary and general principals Conformity assessment Guidelines for auditing management system Business Continuity Certification Requirements for bodies audit and certification Guidelines for ISMS auditing Guidance for auditors on controls - TR Operation Application areas Measurements Inter-sector and Inter organizational Telecommunications Financial services Cyber Security Cloud Computing service Network Security Application Security Incident Management ITLED Digital Evidence Mgmt Data protection control of public cloud computing service Process control system - TR Health IT Sikkerhetsledelse 24
25 Evolution of ISO & Standards 1995 BS 7799: Code of Practice for Information Security Management 1999 BS : Information Security Management System (ISMS) 2001 BS 7799 ISO/IEC BS ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO Management Standards Alignment - ISO/IEC 27001: ISMS - ISO/IEC 27002: Code of Practice for Information Security Controls 2018 Major changes to ISO/IEC 27001: ISMS planned ITLED IT Sikkerhetsledelse 25
26 ISO/IEC 27001:2013- What is it? ISO specifies requirements for establishing, implementing, maintaining and continually improving an information security management system (ISMS) within the context of the organization. ISMS is a holistic approach to IS management not an IT system While the ISO (code of practice) defines a set of security goals and controls, ISO (ISMS) defines how to manage the implementation of security controls. Organizations can be certified against ISO but not against ISO ISO is to be used in conjunction with ISO ITLED IT Sikkerhetsledelse 26
27 NSM Styringshjul for sikkerhet Sikringsrisikovurdering Rapportering Styringshjul for sikkerhet Planlegging Oppfølging og kontroll Tiltak ITLED IT Sikkerhetsledelse 27
28 Abstrakt risikomodell (NSM) Verdier Risiko Trusler Sårbarheter Abstrakt modell for risiko Jo mere verdier du har, jo flere trusler du er utsatt for, og jo mere sårbar du er, desto større risiko har du. Modellen kan ikke brukes til praktisk risikovurdering ITLED IT Sikkerhetsledelse 28
29 Konkret risikomodell Trusselaktør Forklaring: har aspekt bidrar til Enhver risiko er et resultat av et gitt trusselscenario som fører til en hendelse som skader verdier. Motivasjon, kapasitet, sårbarhet og konsekvens bestemmer risikonivået for den konkrete risikoen. Sannsynlighet for (at trusselscenario skal forårsake) hendelse Sårbarhet for trusselscenario Konkret risiko Trusselaktørstyrke Trusselaktørmotivasjon Trusselaktørkapasitet Trusselscenario Hendelsens konsekvens ITLED IT Sikkerhetsledelse 29 Hendelse
30 Ingen sårbarhet uten trusler Ny trussel oppstår i 2016 Sårbarhet fjernet og trussel blokkert ITLED IT Sikkerhetsledelse 30
31 Feilbetegnelsen ROS-analyse ROS-analyse = Risiko- og sårbarhetsanalyse ROS-analyse fokuserer på å identifisere sårbarheter, som typisk gjør at man mister fokus på trusler Det viktigste er å identifisere trusler (trusselscenarier) En sårbarhet er en mangel på sikkerhetstiltak mot trusler Begrepet ROS-analyse brukes ofte på norsk, og er faktisk et særnorsk begrep. Det snakkes det aldri om risk and vulnerability analysis som eget begrep i engelsk faglitteratur. Engelsk faglitteratur bruker threat and risk analysis, som på norsk kan oversettes til TOR-analyse. Sårbarhetsanalyse gjøres typisk med verktøy som scanner systemer og nettverk for sikkerhetshull. ITLED IT Sikkerhetsledelse 31
32 ISO/IEC What is it? Code of practice for information security management ISO provides a checklist of general security controls to be considered implemented/used in organizations Contains 14 categories (control objectives) of security controls Each category contains a set of security controls In total, the standard describes 113 generic security controls Not all controls are relevant to every organisation Objective of ISO 27002: gives guidelines for [ ] information security management practices including the selection, implementation and management of controls taking into consideration the organization s information security risk environment(s). ITLED IT Sikkerhetsledelse 32
33 The 14 Control Objectives of ISO/IEC 27002:2013 Business continuity Incident management Supplier relationships Compliance Information security policy Security Controls Security Organization Human resources security Asset management Access control System acq., develop. & maint. Communications security Operations security Physical and environmental security Cryptography ITLED IT Sikkerhetsledelse 33
34 20 CSC: Critical Security Controls Alternative to ISO/IEC Description of each control: Why control is critical How to implement controls Specific tasks Procedures and tools Advice on implementation Effectiveness metrics Automation metrics How to automate effectiveness metrics Effectiveness tests System entity relationship diagram Relevant architecture integration ITLED IT Sikkerhetsledelse 34
35 Security Awareness Account Control Wireless Access Control Need-to-know Access Control Pentesting Incident Response Application Security Data Protection Boundary Defense Inventory of Hardware Inventory of Software 20 Critical Security Controls Configuration of Firewalls, Routers, and Switches Continuous Vulnerability Management Data Recovery Capabilities Control of Admin. Privileges Secure Configuration Analysis of Audit Logs and Browser Protections Malware Defences Control of Ports, Protocols and Services ITLED IT Sikkerhetsledelse 35
36 Grunnprinsipper for IKT-sikkerhet Oversettelse og sammendrag av ISO/IEC ITLED IT Sikkerhetsledelse 36
37 CMMI Capability Maturity Model Integration Considerable effort and time is required to reach each next level in the maturity model. Managed 5: Optimized / Cultural 4: Managed and measurable 3: Defined processes 2: Repeatable but intuitive processes Chaotic 0: No security processes 1: Initial / Ad Hoc processes ITLED IT Sikkerhetsledelse 37
38 CMM levels Initial / Ad Hoc + Processes are ad-hoc and disorganised. + Risks are considered on an ad hoc basis, but no formal processes exist. 2. Repeatable but intuitive + Processes follow a regular pattern. + Emerging understanding of risk and the need for security 3. Defined process + Processes are documented and communicated. + Company-wide risk management. + Awareness of security and security policy ITLED IT Sikkerhetsledelse 38
39 CMM levels Managed and measurable + Processes are monitored and measured. + Risks assessment standard procedures + Roles and responsibilities are assigned + Policies and standards are in place 5. Optimized + Security culture permeates organisation + Organisation-wide security processes are implemented, monitored and followed ITLED IT Sikkerhetsledelse 39
40 End of lecture
ISO-standarderfor informasjonssikkerhet
Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and
DetaljerISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning
ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til
DetaljerNy personvernlovgivning er på vei
Ny personvernlovgivning er på vei Er du forberedt? 27. september 2017 There are lines you cannot cross. There are rules to the game. But within the lines and following the rules, you are only limited by
DetaljerEn praktisk anvendelse av ITIL rammeverket
NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter
DetaljerAsset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012
Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong
DetaljerHelhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.
Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk
DetaljerDen europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,
Den europeiske byggenæringen blir digital hva skjer i Europa? Steen Sunesen Oslo, 30.04.2019 Agenda 1. 2. CEN-veileder til ISO 19650 del 1 og 2 3. EFCA Guide Oppdragsgivers krav til BIMleveranser og prosess.
DetaljerDet 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016
Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern
DetaljerErfaringer fra en Prosjektleder som fikk «overflow»
Erfaringer fra en Prosjektleder som fikk «overflow» Per Franzén, Project Manager August 30 th, 2017 ERFARINGER FRA EN PROSJEKTLEDER SOM FIKK «OVERFLOW» AV GDPR BEGREPER OG INSTRUKSER Purpose limitation
DetaljerINF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet
INF37000 Informasjonsteknologi og samfunn Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo Vår 2018 Personvern i grunnloven 102:
DetaljerTrust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting
Trust in the Personal Data Economy Nina Chung Mathiesen Digital Consulting Why does trust matter? 97% of Europeans would be happy for their personal data to be used to inform, make recommendations or add
DetaljerIN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28. februar 2018 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerRS402 Revisjon i foretak som benytter serviceorganisasjon
Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet
DetaljerPublic roadmap for information management, governance and exchange. 2015-09-15 SINTEF david.norheim@brreg.no
Public roadmap for information management, governance and exchange 2015-09-15 SINTEF david.norheim@brreg.no Skate Skate (governance and coordination of services in egovernment) is a strategic cooperation
DetaljerNår beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS
Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:
DetaljerRisikofokus - også på de områdene du er ekspert
Risikofokus - også på de områdene du er ekspert - hvordan kan dette se ut i praksis? - Ingen er for gammel til å begå nye dumheter Nytt i ISO 9001:2015 Vokabular Kontekst Dokumentasjonskrav Lederskap Stategi-politikk-mål
DetaljerGjermund Vidhammer Avdelingsleder Governance, risk & compliance
VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste
DetaljerLovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014
Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerREVISJON AV COMPLIANCE-PROGRAMMER
REVISJON AV COMPLIANCEPROGRAMMER NIRF Årskonferanse 2017 Mads Blomfeldt BDO compliance og gransking 1 AGENDA Hva er et complianceprogram? Aktuelle standarder og beskrivelser av «beste praksis» Forventninger
DetaljerKontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,
Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerFremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder
Standard Norge, Oslo 2018-06-05 Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder Eldar Lillevik Director Cyber Security
DetaljerStyring og ledelse av informasjonssikkerhet
Styring og ledelse av informasjonssikkerhet SUHS-konferansen 30. oktober 2013 Øivind Høiem, CISA CRISC Seniorrådgiver UNINETT AS Mål for styring informasjonssikkerhet Målene for styring av informasjonssikkerhet
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerLovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC
Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC 13.02.2013 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen
DetaljerROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05
ROS analyse for samfunnskritiske IKT systemer Utfordringer og muligheter 24/11-05 Hermann Steen Wiencke Proactima/Universitetet i Stavanger 1 Et samarbeid mellom Universitetet i Stavanger og Rogalandsforskning
DetaljerNy personvernlovgivning er på vei
Ny personvernlovgivning er på vei Er du forberedt? 23. august 2017 There are lines you cannot cross. There are rules to the game. But within the lines and following the rules, you are only limited by your
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene
DetaljerItled 4021 IT Governance Governance, COBIT og ITIL
Itled 4021 IT Governance Governance, COBIT og ITIL September 2018 Bendik Bygstad Forskjellen mellom ledelse og styring Ledelse (management) og styring (governance) er forskjellige displiner Ledelse dreier
DetaljerGDPR. Advokat Kari Gimmingsrud
GDPR Advokat Kari Gimmingsrud Velkommen! Agenda 1. EUs nye forordning sentrale endringer og hva betyr det for virksomhetene v/haavind 2. Adeccos erfaringer fra arbeidet med implementeringen 3. Vesentlige
DetaljerRoller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder
Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder Temaer: Hvorfor er roller og ansvar viktig? Behandlingsansvarlig Databehandler og forholdet
DetaljerFM kompetanseutvikling i Statoil
FM kompetanseutvikling i Statoil Erick Beltran Business developer Statoil FM FM konferansen Oslo, 13 Oktober 2011 Classification: Internal (Restricted Distribution) 2010-06-06 Erick Beltran Ingenierio
DetaljerFM kompetanseutvikling i Statoil
FM kompetanseutvikling i Statoil Erick Beltran Business developer Statoil FM Kompetanse for bedre eiendomsforvaltning Trondheim, 6 Januar 2010 Classification: Internal (Restricted Distribution) 2010-06-06
DetaljerInvitation to Tender FSP FLO-IKT /2013/001 MILS OS
Invitation to Tender FSP FLO-IKT /2013/001 MILS OS April 15th 2013 Forfatter Prosjektittel 19.04.2013 19.04.2013 1 Introduction AGENDA Important aspects regarding the competition and Invitation to tender
DetaljerVurdering av risiko og sikkerhet i skytjenester. Håvard Reknes
Vurdering av risiko og sikkerhet i skytjenester Håvard Reknes hmr@difi.no +47 469 28 494 LinkedIn Password Hack 2012 Hva skjedde? ENISA - Top security risks CSA - En praktisk veiledning for vurdering av
DetaljerIN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21. februar 2019 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerNy personvernforordning Hvordan reguleres informasjonssikkerhet
Ny personvernforordning Hvordan reguleres informasjonssikkerhet Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 41 medarbeidere Faggruppe 1 (justis,
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
DetaljerThe Union shall contribute to the development of quality education by encouraging cooperation between Member States and, if necessary, by supporting
The Union shall contribute to the development of quality education by encouraging cooperation between Member States and, if necessary, by supporting and supplementing their action, while fully respecting
DetaljerSamfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?
Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet? Lars Erik Jensen, prosjektleder, Standard Norge Bilde: NordForsk 2 Hvordan kan vi best påvirke internasjonale standarder
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerHacking av MU - hva kan Normen bidra med?
Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, 24.4.2019 Side 1 Litt bakgrunn og oppdatering Personvern og informasjonssikkerhet to siste år https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c
DetaljerCyberspace og implikasjoner for sikkerhet
Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker
DetaljerCapturing the value of new technology How technology Qualification supports innovation
Capturing the value of new technology How technology Qualification supports innovation Avanserte Marine Operasjoner - Fra operasjon til skip og utstyr Dag McGeorge Ålesund, 1 Contents Introduction - Cheaper,
DetaljerPAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK
PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerJeanette Wheeler, C-TAGME University of Missouri-Kansas City Saint Luke s Mid America Heart Institute
Jeanette Wheeler, C-TAGME University of Missouri-Kansas City Saint Luke s Mid America Heart Institute I have no disclosures Objectives: Assessing yourself in a new way Setting competencies for program
DetaljerPRINCE2. Projects In Controlled Environments v2
PRINCE2 Projects In Controlled Environments v2 A temporary organization that is created for the purpose of delivering one or more business s according to an agreed Business Case Time = Days, weeks, months
DetaljerInnebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?
Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet
DetaljerNytt fra INTOSAI. CAS Oslo October
Nytt fra INTOSAI Konsekvenser for offentlig revisjon Nasjonal fagkonferanse i offentlig revisjon, Oslo 25-26 Oktober 2010 Ekspedisjonssjef Jens Gunvaldsen Riksrevisjonen CAS Oslo 4.- 5.October 2010 1 In
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerFM strategi: Bruk av standarder for sourcing, effektivisering og dialog
April 2015 FM strategi: Bruk av standarder for sourcing, effektivisering og dialog MERETE HOLMEN MURVOLD En standard er en frivillig akseptert måte å gjøre det på og en harmonisering av beste praksis Foto:
DetaljerFremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no C L O U D S E C U R I T Y A L L I A
DetaljerISO 9001:2015 Endringer i ledelsesstandarder
ISO 9001:2015 Endringer i ledelsesstandarder 210 kollegaer Oslo (HK) Bergen / Ågotnes Stavanger Haugesund Trondheim Göteborg VÅRE VERDIER HENSIKT MED STANDARD REVISJONER
DetaljerNye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen
Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene
DetaljerFrom Policy to personal Quality
part of Aker From Policy to personal Quality Aker Solutions Bjørn Lende VP Quality Management MMO October 2011 2011 Aker Solutions Our vision and values Built on more than 170 years of industrial tradition
DetaljerNye personvernregler
Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til
DetaljerInternasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no
Internasjonal standardisering Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering SN/K186 Standard Norge, Komite 186 Norsk skyggekomite: ISO IEC/JTC1/SC36 CEN TC353 ISO/IEC JTC1/SC36 (ITLET)
DetaljerStandarder med relevans til skytjenester
Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler
DetaljerKIS - Ekspertseminar om BankID
www.nr.no KIS - Ekspertseminar om BankID Dr. Ing. Åsmund Skomedal Forsknings sjef, DART, Norsk Regnesentral asmund.skomedal@nr.no 18. mars 2009 Tema til diskusjon Agenda punkter Kritisk analyse av digitale
DetaljerMåling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling
DetaljerKontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.
Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning 6. Mars 2018 NARMA Av Åshild M. Revhaug, NTNU GDPR ny personvernforordning Personvernforordningen ( 2016/679)
DetaljerForelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet Oppgave 1 Se
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerCYBER SECURITY AUTONOME SYSTEMER. Marie Moe, forskningsleder for Cyber Security,
CYBER SECURITY AUTONOME SYSTEMER Marie Moe, forskningsleder for Cyber Security, SINTEF Digital @MarieGMoe @SINTEF_Infosec 2 Noen av våre prosjekter 3 SoS-Agile Secure software development IRIS Evolution
DetaljerRapporterer norske selskaper integrert?
Advisory DnR Rapporterer norske selskaper integrert? Hvordan ligger norske selskaper an? Integrert rapportering er å synliggjøre bedre hvordan virksomheten skaper verdi 3 Norske selskaper har en lang vei
DetaljerHva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1
Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF, 2014-06-18 1 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering
DetaljerC L O U D S E C U R I T Y A L L I A N C E
C L O U D S E C U R I T Y A L L I A N C E Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no
DetaljerJarle Langeland. Mellom IT-sikkerhet og personvern 2
Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern
DetaljerHvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk
Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk Logica 2012. All rights reserved No. 3 Logica 2012. All rights reserved No. 4 Logica 2012. All rights reserved
DetaljerISMS for Offentlig sektor Dataforum
for Offentlig sektor Dataforum 6.12.12 Tone Thingbø Tel: 908 89 571 E-post: tone.thingbo@no.ey.com Tone Thingbø Samfunnsviter, cand.philol Lang erfaring fra virksomheter med høye krav til sikkerhet: Etterretningstjenesten
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerBrukers Arbeidsflate. Tjeneste Katalog. Hva vi leverer... Presentasjon Administrasjon Automatisering
Tjeneste Katalog Kunde Sluttbruker Hva vi leverer... Kjøkken IT Avdeling Presentasjon Administrasjon Automatisering Brukers Arbeidsflate Fast tidsramme Prosjektutfordringer + Fast budsjett Dårlig kvalitet
DetaljerEG-leder konferanse 2017
09.11. 2017 EG-leder konferanse 2017 PER-ARNE RØSTADSAND, LEDER SEKTORSTYRET PETROLEUM I STANDARD NORGE Sektorstyret petroleum i Standard Norge -Leder -Nestleder 2 Standard Norge NORSOK OG INTERNASJONAL
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerLecture 05: - Information Security Management - Human Factors for Information Security
INF2120 Information Security Lecture 05: - Information Security Management - Human Factors for Information Security Audun Jøsang University of Oslo, Autumn 2019 Security Management Levels Achieve enterprise
DetaljerEXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON
Side 1 av 5 NTNU Norges teknisk-naturvitenskapelige universitet Institutt for telematikk EXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON Contact person /
DetaljerHVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?
HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR? FROKOSTSEMINAR GDPR I SKYEN DAGFINN BUSET 9. NOVEMBER 2017 Alt innhold, inkludert, men ikke begrenset til metoder og analyser i denne presentasjonen
DetaljerStandarder for Asset management ISO 55000/55001/55002
Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby
DetaljerLuftfartstilsynets funn under virksomhetstilsyn.
Luftfartstilsynets funn under virksomhetstilsyn. Inkludert funn ifm EASA standardiseringspeksjon av Luftfartstilsynet. Luftfartstilsynet T: +47 75 58 50 00 F: +47 75 58 50 05 postmottak@caa.no Postadresse:
DetaljerInnovasjonsvennlig anskaffelse
UNIVERSITETET I BERGEN Universitetet i Bergen Innovasjonsvennlig anskaffelse Fredrikstad, 20 april 2016 Kjetil Skog 1 Universitetet i Bergen 2 Universitetet i Bergen Driftsinntekter på 4 milliarder kr
DetaljerIEA PVPS. Trond Moengen. Global co-operation towards sustainable deployment of photovoltaic power systems
IEA PVPS Global co-operation towards sustainable deployment of photovoltaic power systems Trond Moengen PVPS general presentation, date, place The IEA PVPS Mission To enhance the international collaboration
DetaljerNy personvernlovgivning er på vei
Ny personvernlovgivning er på vei Hvordan forbereder du din virksomhet? 16. mai 2017 Hva betyr endringene? Ny personvernforordning endrer det europeiske personvernlandskapet og norske virksomheter må tenke
DetaljerEndringer i revidert ISO 50001
Endringer i revidert ISO 50001 Hans Even Helgerud Norsk Energi Miniseminar energiledelse Standard Norge (SN/K 295) Clarion Hotel & Congress, Trondheim 29. januar 2018 En ledelse ett system Integrering
DetaljerNeste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER
Neste generasjon ISO standarder ISO 9001 og ISO 14001 Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir
DetaljerSecurity events in Norway
Security events in Norway Threats, risk and event handling Stig Haugdahl, CISO DSS Sikkerhed og revision 2013 Who am I? Master of Science in Engineering Civilingeniør kybernetik CISM ISACA SSCP (ISC)²
DetaljerDumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester
Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester Inge Os, Sales Consulting Director, Oracle Norway 31/10-2018 Oracle 18.4 SaaS PaaS ERP HR
DetaljerEU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?
EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling? Nettverksmøte 25. januar 2017 i Oslo Kim Knudsen Continuous Delivery
DetaljerKort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no
Kort om IPnett - Hvem er vi? - Trapeze vs. Juniper - Uninett avtalen Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no IPnett AS Vollsveien 2b Pb 118 1325 LYSAKER
DetaljerSustainability Programme
Sustainability Programme Even Wiger, 9. Februar 2012 Norway shall be a leader in environmental issues. Rally Norway is one of the best environmental pioneers in any sports- and cultural activities in
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerNye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017
Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerMED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017
INNOVASJON OG MULIGHETER MED PUBLIC CLOUD Altinn Servicelederseminar - 21. September 2017 Geir Morten Allum geir.morten.allum@basefarm.com Product Development Basefarm AGENDA ALTINN SERVICELEDERSEMINAR
DetaljerVeileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013
Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.
DetaljerRisikostyring og informasjonssikkerhet i en åpen verden www.steria.com
Risikostyring og informasjonssikkerhet i en åpen verden Infosikkerhetsarkitektur i et risikostyringsperspektiv Ivar Aasgaard, seniorrådgiver Steria ivaa@steria.no, Mobil: 992 82 936 LinkedIn: http://www.linkedin.com/pub/ivar-aasgaard/0/255/639
DetaljerGDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft
DetaljerISO 55000-serien Asset management
Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -
DetaljerManaging Risk in Critical Railway Applications
Managing Risk in Critical Railway Applications Topics Railway signalling Real projects Regulator, standards and the law Acceptance criteria for signalling systems (SIL) Risk analysis a special case The
Detaljer