Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Størrelse: px

Begynne med side:

Download "Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no"

Jorunn Slettebakk
8 år siden
Visninger:

1 Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

2 Difis rolle og mandat informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Være en pådriver på etater/staten når det gjelder å bedre informasjonssikkerheten Gi anbefalinger til stat og kommune (forvaltningsorgan) om internkontroll på informasjonssikkerhetsområdet (jf. eforvaltningsforskriften 15) personer i seksjon for infosikkerhet

3 Internkontroll, styringssystem m.v. - begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!

4 Krav og anbefalinger for stat og kommuner

5 eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet

6 eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko..

7 Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak

8 Struktur på krav i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) Lederskap Planlegging Støtte/support Drift Vurdere ytelse Forbedring

11 Utfordringer ved å basere seg på ISO/IEC 27001:2013 alene Fremdeles krevende å etablere internkontroll/styringssystem infosikkerhet Hvilke prosesser/aktiviteter må/bør etableres? Hvordan kan/bør de implementeres og fungere? Relasjonen/sammenhengen til andre internkontroll-/styringssystem? Difis vurdering: Standarden må suppleres med praktisk rettet veiledningsmateriell

12 Difis veiledningsmateriell Internkontroll i praksis - informasjonssikkerhet Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis informasjonssikkerhet

13 Difis nye veiledningsmateriell Nettbasert Flere iterasjoner og betaversjoner Kommentarfunksjon på de fleste sider En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører

15 Høyremeny «Nyttig»

16 Hovedaktivitetene i internkontrollen/styringssystemet

17 Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger

18 Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov Ved etablering/stor endring/svakheter Årlig kjerneaktivitetene Ved behov

19 Hjernen i internkontrollen

20 Risikovurdering Godt å vite (foreløpig) Hva er risiko? Ulike metoder Kritikalitet og verdi Nivå (arbeidsprosess, system, infrastruktur/plattform) Trusler, farer og sårbarheter Sannsynlighet Konsekvens

21 Risikovurdering Delaktiviteter (foreløpig) Risikovurdering på prosesser/oppgaver Verdi/kritikalitetsvurdering Risikovurdering på IT-system/digitale tjenester Risikovurdering på infrastruktur/teknisk plattform

22 Hjertet i internkontrollen

23 Risikohåndtering Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Andre tiltak Eksisterende tiltak

24 Risikohåndtering Delaktiviteter (foreløpig) Risikohåndteringsplan Fellestiltak Systemspesifikke tiltak Prosesspesifikke tiltak Akseptere restrisiko Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Godkjenne implementering Etterleve sikringstiltak

25 Hendene i internkontrollen

26 Kompetanse- og kulturutvikling Kunnskap Bevisstgjøring Ferdigheter og øving Kompetanseplaner Kulturutvikling

27 Læreren i internkontrollen

28 Overvåking og hendelseshåndtering Overvåking Hendelseshåndtering

29 Vakta i internkontrollen

30 Måling, evaluering og revisjon Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon

31 Kontrolløren i internkontrollen

32 Kommunikasjon Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer

33 Limet i internkontrollen

34 Internkontroll i praksis - informasjonssikkerhet

35 Internkontroll i praksis - informasjonssikkerhet

36 Kontakt oss Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no

Like dokumenter

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering