Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Størrelse: px
Begynne med side:

Download "Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring"

Transkript

1 Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1

2 Oversikt Risikoanalyse Testing Sikkerhet som kriterium for risikoanalyse og testing Sikkerhet vs. Safety & Security Risikoanalyse og testing mht. sikkerhet Kombinasjon av risikoanalyse og testing Test-drevet risikoanalyse Risiko-drevet testing Oppsummering Videre lesning Technology for a better society 2

3 Risikoanalyse Prosess Establishing the context Communication and consultation Risk assessment Risk identification Risk analysis Risk evaluation Risk treatment Monitoring and review ISO 31000:2009 Technology for a better society 3

4 Risikoanalyse Begreper Vulnerability Party Threat Asset Treatment Unwanted incident Likelihood Consequence Risk Technology for a better society 4

5 Testing Prosess Testing innebærer å kjøre et system (exercising a system) for å verifisere at den oppfyller gitte krav, og for å avdekke feil Systemet er ofte referert til som "system under test" (SUT) Test Planning Test Design & Implementation Test Environment Set-up & Maintenance Test Execution Test Incident Reporting Basert på ISO (Draft) Technology for a better society 5

6 Testing - Begreper Test planning Planlegge hva det skal testes for (e.g. funksjonalitet, sikkerhet, ytelse) og hvilke deler av systemet som skal testes Test design & implementation Utvikle test-caser og test-prosedyrer Test environment set-up and maintenance Etablere og vedlikeholde oppsett og omgivelse for testingen Test execution Gjennomføre test-caser og prosedyrer i den etablerte omgivelsen Test incident reporting Rapportering av identifiserte feil eller hendelser Technology for a better society 6

7 Sikkerhet som kvalitetskriterium Både risikoanalyse og testing kan utføres for ulike formål Hva ønsker vi å avdekke? Hva ønsker vi å oppnå? Hva ønsker vi å forstå bedre? Hva er våre kvalitetskriterier? Sikkerhets-risikoanalyse og sikkerhets-testing Spesialiseringer rettet mot å forstå og forbedre sikkerheten til systemer Spesialiseringen av formålet Risikoanalyse: Hva er våre aktiva og risiko-kriterier? Testing: Hva er vår målsetting (test objectives)? Formålet bestemmes av kvalitetskriteriene Technology for a better society 7

8 Hva betyr "sikkerhet"? Informasjonssikkerhet Safety Fysisk sikkerhet Technology for a better society 8

9 Sikkerhet vs. Safety & Security "Sikkerhet" brukes gjerne i betydningen til både "safety" og "security" Safety: Beskytte systemets omgivelser mot fare (hazard) for liv, helse, eiendom eller miljø Security: Beskytte systemet mot skade påført av trusler gjennom utnyttelse av sårbarheter Information security: Beskyttelse av konfidensialitet, integritet og tilgjengelighet av informasjon På norsk opererer man gjerne tilsvarende begrepsskille mellom sikkerhet og trygghet Sikkerhet = Security Trygghet = Safety For mange systemer (f. eks. kritiske infrastrukturer) er kriterier mht. både sikkerhet og trygghet viktig, i tillegg til flere andre kvalitetskriterier Technology for a better society 9

10 Risikoanalyse og testing mht. sikkerhet Risikoanalyse Testing Risiko-kriterier Test objectives Kvalitetskriterier Sikkerhet Trygghet Cybersikkerhet Informasjonssikkerhet Fysisk sikkerhet Helse Miljø Eiendom Konfidensialitet Integritet Tilgjengelighet Technology for a better society 10

11 Kombinasjon av risikoanalyse og testing Risikoanalyse og testing kan kombineres for gjensidig støtte Testdrevet risikoanalyse Systematisk bruk av testing som en del av risikoanalysen Testingen styres av aktiva og kriterier fra risikoanalysen Risikodrevet testing: Systematisk bruk av risikoanalyse som en del av testingen Risikoanalysen styres av test objectives Technology for a better society 11

12 Testdrevet risikoanalyse Risk analysis Testing Bruk av testing for å støtte risikoidentifikasjon Sårbarheter, trusler, scenarier og uønskede hendelser, Establishing the context Risk identification Testing process Bruk av testing for å validere/korrigere analysen Sårbarheter, sannsynligheter, konsekvenser, Risk estimation Risk evaluation Risk treatment Testing process Technology for a better society 12

13 Risikodrevet testing Testing Test Planning Risk analysis Risikoanalyse for å identifisere hvilke deler av systemet som bør testes Prioriterte risikoer for å optimalisere testdesign Identifisere test-caser Test Design & Implementation Test Environment Set-up & Maintenance Risk analysis Risk analysis Risikoanalyse for å prioritere testcaser Test Execution Test Incident Reporting Technology for a better society 13

14 Oppsummering Aktiva og risikokriterier Establishing the context Kvalitetskriterier Test Test Planning objectives Communication and consultation Risk assessment Risk identification Risk estimation Risk evaluation Risikoer og Risk treatment behandlinger Monitoring and review Responstid Sikkerhet Trygghet Informasjonssikkerhet Tillit Fysisk sikkerhet Konfidensialitet Ytelse Pålitelighet Test Design & Implementation Test Environment Set-up & Maintenance Test Execution Rapportering av feil/hendelser Test Incident Reporting Technology for a better society 14

15 Videre lesning Gencer Erdogan, Yan Li, Ragnhild Kobro Runde, Fredrik Seehusen, Ketil Stølen: Conceptual framework for the DIAMONDS project. Technical report, SINTEF A22798, SINTEF ICT, 2012 International Organization for Standardization: ISO Risk management Principles and guidelines, 2009 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC Information technology Security techniques Information security management systems, 2005 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC Information technology Security techniques Information security risk management, 2011 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC 9126 Software engineering Product quality Part 1-4, International Organization for Standardization / International Electrotechnical Commission / Institute of Electrical and Electronics Engineers: ISO/IEC/IEEE Software and systems engineering Software testing (under development) Technology for a better society 15

16 Relaterte prosjekter Technology for a better society 16

Komposisjon av risikomodeller:

Komposisjon av risikomodeller: Komposisjon av risikomodeller: Bruksscenarier og noen grunnleggende retningslinjer Seminar om hvordan aggregere risiko og risikoanalyser Bjørnar Solhaug SINTEF, 7. november, 2013 Technology for a better

Detaljer

Cyberspace og implikasjoner for sikkerhet

Cyberspace og implikasjoner for sikkerhet Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker

Detaljer

Hvordan teste en risikomodell

Hvordan teste en risikomodell Hvordan teste en risikomodell Fredrik Seehusen Technology for a better society 1 Oversikt Når teste en risikomodell? Hvorfor teste en risikomodell? Hvordan teste en risikomodell? Hva kan testes i en risikomodell?

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Modelldrevet risikoanalyse med CORAS

Modelldrevet risikoanalyse med CORAS Modelldrevet risikoanalyse med CORAS Bjørnar Solhaug Seminar om risikostyring SINTEF, 27. januar 2011 1 Oversikt Hva er CORAS? Sentrale begreper Risikoanalyseprosessen Risikomodellering Oversettelse av

Detaljer

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05 ROS analyse for samfunnskritiske IKT systemer Utfordringer og muligheter 24/11-05 Hermann Steen Wiencke Proactima/Universitetet i Stavanger 1 Et samarbeid mellom Universitetet i Stavanger og Rogalandsforskning

Detaljer

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA, Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1 Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF, 2014-06-18 1 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen

Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen BegrensSkade fagdag 26.november 2015 Bjørn Kalsnes, NGI, DP 5 leder Torgeir Haugen, NCC 2015-11-26 BS fagdag 1 Innhold Hva er risiko?

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor

Detaljer

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo, Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet

Detaljer

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo, Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling

Detaljer

IEC 61508. Hovedprinsipper og veiledning

IEC 61508. Hovedprinsipper og veiledning IEC 61508 Hovedprinsipper og veiledning Stein Hauge SINTEF Tlf: 75 17 33 70 / 930 18 395 haustein@online.no / stein.hauge@sintef.no 1 Bare måtte bruke IEC 61508 1 2 3 4 5 6 7 8 9 1010 1 1212 1313 1414

Detaljer

Erfaringer fra en Prosjektleder som fikk «overflow»

Erfaringer fra en Prosjektleder som fikk «overflow» Erfaringer fra en Prosjektleder som fikk «overflow» Per Franzén, Project Manager August 30 th, 2017 ERFARINGER FRA EN PROSJEKTLEDER SOM FIKK «OVERFLOW» AV GDPR BEGREPER OG INSTRUKSER Purpose limitation

Detaljer

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo, Den europeiske byggenæringen blir digital hva skjer i Europa? Steen Sunesen Oslo, 30.04.2019 Agenda 1. 2. CEN-veileder til ISO 19650 del 1 og 2 3. EFCA Guide Oppdragsgivers krav til BIMleveranser og prosess.

Detaljer

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016 Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern

Detaljer

Med kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON

Med kvalitet menes:   WIKIPEDIA.   STORE NORSKE LEKSIKON Med kvalitet menes: https://no.wikipedia.org/wiki/kvalitet WIKIPEDIA Kvalitet (av latin qualitas, 'egenskap' fra qualis, 'hvordan, av hvilket slag') viser til hvordan noe er. I dagligtale kan det særlig

Detaljer

Hvilken standard angår oss i arkivdanningen?

Hvilken standard angår oss i arkivdanningen? Hvilken standard angår oss i arkivdanningen? Frokostmøte DOGA Geir Magnus Walderhaug regionsleder Norsk Arkivråd Region øst 29. februar 2012 ISO Standard Norge - andre ISO ikke eneste aktør Mange IT-standarder

Detaljer

Welcome to RiskNet open workshop

Welcome to RiskNet open workshop Welcome to RiskNet open workshop Norsk Regnesentral 2. April 2009 Ved prosjektleder RiskNet: Dag Haug. epost: dag.haug@nr.no Norwegian Computing Center Norwegian Computing Center is a private independent

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001, INNHOLD OG STRUKTUR Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001:2016 Occupational health and safety managment systems Requirements with guidance for use Overordnet mål: forebygge

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

ISO 55000-serien Asset management

ISO 55000-serien Asset management Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -

Detaljer

RS402 Revisjon i foretak som benytter serviceorganisasjon

RS402 Revisjon i foretak som benytter serviceorganisasjon Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet

Detaljer

Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?

Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet? Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet? Lars Erik Jensen, prosjektleder, Standard Norge Bilde: NordForsk 2 Hvordan kan vi best påvirke internasjonale standarder

Detaljer

Risikostyring og systemsikkerhet i bygninger teori og praksis

Risikostyring og systemsikkerhet i bygninger teori og praksis Risikostyring og systemsikkerhet i bygninger teori og praksis Henrik Bjelland Ph.D., Seniorrådgiver Seksjon HMS- og Risikostyring Bakgrunn Bygninger er avanserte systemer Flere delsystemer skal virke sammen

Detaljer

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse Audun Jøsang SINTEF, mars 2014 God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet

Detaljer

Følger sikkerhet med i digitaliseringen?

Følger sikkerhet med i digitaliseringen? Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over

Detaljer

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018 Trondheim, 2019-01-28 SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018 AGENDA Standard Norge Privat, uavhengig, medlemsorganisasjon, non-profit Etablert 2003, røtter til 1923 Standarder på de fleste

Detaljer

Nye standarder for risikoanalyse/-styring Revisjon av Norsok Z-013

Nye standarder for risikoanalyse/-styring Revisjon av Norsok Z-013 Nye standarder for risikoanalyse/-styring Revisjon av Norsok Z-013 Jan Erik Vinnem AS ESRA seminar 24.11.2009 Pres Z-013 jev 1 Oversikt Arbeidsprosessen & -gruppen Oversikt over standarden Innhold og omfang

Detaljer

Marin Prosjektering. IMT linjevalg 2012

Marin Prosjektering. IMT linjevalg 2012 1 Marin Prosjektering IMT linjevalg 2012 2 Marin prosjektering er å; Skape morgendagens marine systemer, og Forbedre dagens marine systemer. 3 Sentrale ferdigheter Analysere 4 Prosjektere marine systemer

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

Hvordan lage og bruke policyer i tillitshåndtering

Hvordan lage og bruke policyer i tillitshåndtering Hvordan lage og bruke policyer i tillitshåndtering Bjørnar Solhaug Seminar: Håndtering av tillit i elektronisk samvirke SINTEF, 5. november 2009 ICT 1 Oversikt Policy-basert tillitshåndtering Tillit Tillit

Detaljer

BUSINESS SERVICE MANAGEMENT

BUSINESS SERVICE MANAGEMENT Sykehuspartner BUSINESS SERVICE MANAGEMENT SQS Software Quality Systems Agenda Innledning Om Sykehuspartner Prosjektoversikt Ende til ende målinger Initielle behov og krav Business Service Management og

Detaljer

Technology for a better society

Technology for a better society Technology for a better society Research Director Eldfrid Ø. Øvstedal 1 SINTEF - Security Security and the society Risk- and vulnerability analysis of technical systems Evaluation of technical, human and

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

Common Safety Methods

Common Safety Methods Common Safety Methods Johan L. Aase Sikkerhets- og Kvalitetssjef Utbyggingsdivisjonen Jernbaneverket ESRA - 11.11.09 Foto: RuneFossum,Jernbanefoto.no CSM Common Safety methods Common Safety Method on Risk

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Hvilke utfordringer med det digitale kraftsystem kan IEC-standarder hjelpe med?

Hvilke utfordringer med det digitale kraftsystem kan IEC-standarder hjelpe med? Hvilke utfordringer med det digitale kraftsystem kan IEC-standarder hjelpe med? The pillars of International Standardisation International Standardization International Electrotechnical Commission (IEC)

Detaljer

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 Oddmund Wærp Teknologisk Institutt email owa@ti.no Tlf. 934 60 292 TEKNOLOGISK INSTITUTT - HVEM VI ER Landsdekkende kompetansebedrift med hovedkontor

Detaljer

Når bør cyberrisiko forsikres?

Når bør cyberrisiko forsikres? Når bør cyberrisiko forsikres? Fredrik Seehusen 14. April, 2016 1 Oversikt Innledning Hvorfor er cyberrisiko viktig? Hvordan håndtere cyberrisiko? Når bør cyberrisiko forsikres? Hvordan gjøre kost-nytte

Detaljer

ISO 9001:2015 Endringer i ledelsesstandarder

ISO 9001:2015 Endringer i ledelsesstandarder ISO 9001:2015 Endringer i ledelsesstandarder 210 kollegaer Oslo (HK) Bergen / Ågotnes Stavanger Haugesund Trondheim Göteborg VÅRE VERDIER HENSIKT MED STANDARD REVISJONER

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Bedre prosjektvirksomhet med gode veiledere for prosjektledelse

Bedre prosjektvirksomhet med gode veiledere for prosjektledelse Bedre prosjektvirksomhet med gode veiledere for prosjektledelse Håvard O. Skaldebø, director, Metier AS 31.10. 2014 Litt prosjekthistorie på 4:14 min http://www.youtube.com/watch?v=vt3y2vd7348 Study reveals

Detaljer

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse BRUK AV VERKTØY OG METODER I RISIKOSTYRING Kort om meg Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse 5 år i mnemonic,

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet Oppgave 1 Se

Detaljer

Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety

Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety KHMS dokumentasjon Kapittel 1 QHSE documentation Chapter 1 Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety Denne håndboken er / This manual is:

Detaljer

LC-NO seminar «Hvilke barrierer møter vi på vår vei mot industrialisering, og hva gjør industrialisering interessant» LC-NO seminar

LC-NO seminar «Hvilke barrierer møter vi på vår vei mot industrialisering, og hva gjør industrialisering interessant» LC-NO seminar LC-NO seminar Tema: «Hvilke barrierer møter vi på vår vei mot industrialisering, og hva gjør industrialisering interessant» 2018-05-31 LC-NO seminar 1 2018-05-31 LC-NO årsmøte og seminar 2 2018-05-31 LC-NO

Detaljer

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra

Detaljer

Cyber-forsikring til hvilken pris?

Cyber-forsikring til hvilken pris? Cyber-forsikring til hvilken pris? Hva betyr cyber-sikkerhet og cyber-risiko i kroner og øre? Bjørnar Solhaug Seminar om kost-nytte-analyse i en risikoevaluering SINTEF, 18. februar, 2015 1 Cyberspace

Detaljer

ISOs styringssystemstandarder et verktøy for forenkling

ISOs styringssystemstandarder et verktøy for forenkling 2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig

Detaljer

Internasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no

Internasjonal standardisering. Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering Erlend Øverby erlend.overby@hypatia.no Internasjonal standardisering SN/K186 Standard Norge, Komite 186 Norsk skyggekomite: ISO IEC/JTC1/SC36 CEN TC353 ISO/IEC JTC1/SC36 (ITLET)

Detaljer

Hacking av MU - hva kan Normen bidra med?

Hacking av MU - hva kan Normen bidra med? Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, 24.4.2019 Side 1 Litt bakgrunn og oppdatering Personvern og informasjonssikkerhet to siste år https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c

Detaljer

ISMS for Offentlig sektor Dataforum

ISMS for Offentlig sektor Dataforum for Offentlig sektor Dataforum 6.12.12 Tone Thingbø Tel: 908 89 571 E-post: tone.thingbo@no.ey.com Tone Thingbø Samfunnsviter, cand.philol Lang erfaring fra virksomheter med høye krav til sikkerhet: Etterretningstjenesten

Detaljer

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI) Det handler om å vite 06.03.2014 Christopher Kiønig KAM (ISO27001 LI) Intro Watchcom Aktuelt trusselbilde Finger på pulsen Samarbeidet Watchcom og Cegal Q & A Watchcom Vi hjelper våre kunder med å forvalte

Detaljer

Rutiner for samhandling mellom Mattilsynet og VKM vedlegg I sist revidert 12.10.2009

Rutiner for samhandling mellom Mattilsynet og VKM vedlegg I sist revidert 12.10.2009 Vedlegg I Regelverkets beskrivelse av risikoanalyse Matloven fastslår at I Norge skal risikovurderinger foretas av en uavhengig vitenskapskomité, som administrativt skal ligge under Helsedepartementet

Detaljer

Oppdatert NORSOK N-005

Oppdatert NORSOK N-005 Oppdatert NORSOK N-005 Gerhard Ersdal Ptil Medvirkende Leder: Nils-Christian Hellevik, AkerSolutions Deltakere: Michael E Hall, ConnocoPhillips Tor Inge Fossan, Statoil Terje Nybø, Statoil Jørunn Osnes,

Detaljer

Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar v Livar Haga

Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar v Livar Haga Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar 051109 v Livar Haga Quarters Drilling Process Wellhead Injection Valhall Platforms 2 Hvordan skrive en god

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

INFORMASJONSSIKKERHET

INFORMASJONSSIKKERHET INFORMASJONSSIKKERHET 20170912 Folke Haugland Instituttleder IKT, Fakultet for teknologi og realfag Introduction University of Agder: 2 Campuses Campus Kristiansand Campus Grimstad Faculty of Engineering

Detaljer

Standarder med relevans til skytjenester

Standarder med relevans til skytjenester Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ

Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Historie ISO 45001 2000 2007 2016 1. utgave OHSAS 18001:1999 Ny BS standard Oversatt til norsk Helse er tatt med Mer forenlig

Detaljer

Nyttestyring og viktigheten av den gode kunde

Nyttestyring og viktigheten av den gode kunde 1/3/18 Nyttestyring og viktigheten av den gode kunde Magne Jørgensen Hva er et vellykket IT-prosjekt? Suksess er kontekstavhengig, men bør minimum inkludere: Oppnådd nytte (gevinster, verdi, måloppnåelse,

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Nyttestyring og viktigheten av den gode kunde. Magne Jørgensen

Nyttestyring og viktigheten av den gode kunde. Magne Jørgensen Nyttestyring og viktigheten av den gode kunde Magne Jørgensen Hva er et vellykket IT-prosjekt? Suksess er kontekstavhengig, men bør minimum inkludere: Oppnådd nytte (gevinster, verdi, måloppnåelse, ROI)

Detaljer

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra

Detaljer

Oversikt over standarder for. Kvalitetsstyring

Oversikt over standarder for. Kvalitetsstyring Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med

Detaljer

SIKRING i et helhetsperspektiv

SIKRING i et helhetsperspektiv SIKRING i et helhetsperspektiv Semac er eid av Nokas Group. Nokas er Nordens ledende sikkerhetskonsern med virksomhet i Norge, Sverige og Danmark. Konsernet leverer sikkerhetsløsninger til over 150.000

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

Strategi med kunden i fokus

Strategi med kunden i fokus Strategi med kunden i fokus 4. November 2016 Trond Winther, Head of Department SAFER, SMARTER, GREENER Innhold 1 Bakgrunn og utfordring 2 Strategi 3 Læringer 2 Our vision: global impact for a safe and

Detaljer

Hvordan oppnå forbedret risikobasert beslutningsunderlag i prosjekter?

Hvordan oppnå forbedret risikobasert beslutningsunderlag i prosjekter? Sikkerhet under ulike regimer hva betyr det? ESRA-seminar på Scandic Stavanger Airport Hotel den 20. november 2018. Hvordan oppnå forbedret risikobasert beslutningsunderlag i prosjekter? Tore Sagvolden

Detaljer

Oppsummering av State-of-theart artikler fra International Conference on Landslide Risk management, Vancouver. Presentert av Unni K.

Oppsummering av State-of-theart artikler fra International Conference on Landslide Risk management, Vancouver. Presentert av Unni K. Oppsummering av State-of-theart artikler fra International Conference on Landslide Risk management, Vancouver Presentert av Unni K. Eidsvig Bakgrunn for konferansen Skred er en av hovedtypene av naturlige

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

ISO standard for vurderingssprosesser

ISO standard for vurderingssprosesser Internasjonal kvalitetssikring innen det arbeidspsykologiske ISO standard for vurderingssprosesser Norsk Standards Frokostmøte 07.05.2013 v/sverre L. Nielsen Seniorrådgiver Norsk Psykologforening Norsk

Detaljer

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet

Detaljer

Seminar om Samfunnssikkerhet og diskusjon av forskningsresultater

Seminar om Samfunnssikkerhet og diskusjon av forskningsresultater Seminar om Samfunnssikkerhet og diskusjon av forskningsresultater Tirsdag 6. oktober kl 09.30 16.00 Sted: S. P. Andersens v 5, Trondheim Program Møteleder: Lars Bodsberg, SINTEF 09.30 Velkommen, hvorfor

Detaljer

Sykehusutbyggingskonferansen 2018 Hvordan oppnår vi forutsigbarhet i byggeprosesser? Dato: Skanska Norge AS: Kristian Brende

Sykehusutbyggingskonferansen 2018 Hvordan oppnår vi forutsigbarhet i byggeprosesser? Dato: Skanska Norge AS: Kristian Brende Sykehusutbyggingskonferansen 2018 Hvordan oppnår vi forutsigbarhet i byggeprosesser? Dato: 15.03.2018 Skanska Norge AS: Kristian Brende Sykehusutbyggingskonferansen 2018 1 Kort om Skanska Grunnlagt i 1887

Detaljer

Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius?

Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius? VA-dagene Midt-Norge 2018 Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius? Martin Gilje Jaatun http://images.businessweek.com/ss/10/10/1014_cyber_attacks/8.htm Februar 2000 - Maroochy Shire,

Detaljer

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak?

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak? Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak? Aida Omerovic Seminar om kost-nytte analyse i en risikoevaluering 18. Feb. 2015 SINTEF Technology for a better

Detaljer

Hvordan håndheve sikkerhet med hensyn til endring

Hvordan håndheve sikkerhet med hensyn til endring Hvordan håndheve sikkerhet med hensyn til endring DeSPoT Tormod Vaksvik Håvaldsrud SINTEF April 19, 2012 1 Mitt doktorgradsarbeid Motivasjon Begrepsavklaring Eksempel DeSPoT : A Method for the Development

Detaljer

Risikofokus - også på de områdene du er ekspert

Risikofokus - også på de områdene du er ekspert Risikofokus - også på de områdene du er ekspert - hvordan kan dette se ut i praksis? - Ingen er for gammel til å begå nye dumheter Nytt i ISO 9001:2015 Vokabular Kontekst Dokumentasjonskrav Lederskap Stategi-politikk-mål

Detaljer

Hvordan predikere sikkerhet mht. endring

Hvordan predikere sikkerhet mht. endring Hvordan predikere sikkerhet mht. endring Seminar om sikkerhetsstyring 19. april 2012 Aida Omerovic SINTEF IKT Nettbaserte systemer og tjenester aida.omerovic@sintef.no 1 Agenda Hvorfor predikere PREDIQT

Detaljer

Kvalitetssikringssystemer i IKT Agder

Kvalitetssikringssystemer i IKT Agder 9.4.2015 Kvalitetssikringssystemer i IKT Agder Kvalitetssikringssystemer 1 Innholdsfortegnelse 1 KVALITETSSIKRINGSSYSTEMER I IKT AGDER... 3 1.1 INCIDENT MANAGEMENT...3 1.2 CHANGE MANAGEMENT...3 1.3 PROBLEM

Detaljer

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT Oversikt over metodar og teknikkar for å beskrive truslar Mass Soldal Lund SINTEF IKT Kva er trusselmodellering? Trusselmodellering kan sjåast som to ting: Metodar og teknikkar for å identifisere truslar

Detaljer

Status for IMOs e-navigasjon prosess. John Erik Hagen, Regiondirektør Kystverket

Status for IMOs e-navigasjon prosess. John Erik Hagen, Regiondirektør Kystverket Status for IMOs e-navigasjon prosess John Erik Hagen, Regiondirektør Kystverket E-Navigasjoner skal føre til: - økt navigasjonssikkerhet - økt effektivitet i shipping - enklere adgang til havner og farvann,

Detaljer

Velkommen til RiskNets åpne arbeidsmøte om VoIP

Velkommen til RiskNets åpne arbeidsmøte om VoIP Velkommen til RiskNets åpne arbeidsmøte om VoIP Norsk Regnesentral 24. juni 2009 Agenda for the kickoff meeting Agenda: 0900 0910 Velkommen v/ forskningssjef Åsmund Skomedal, NR 0910 0935 Kort telehistorikk

Detaljer

Brother original fargekassett Testmetode for å fastslå oppgitt sideytelse basert på ISO/IEC24711-standarden

Brother original fargekassett Testmetode for å fastslå oppgitt sideytelse basert på ISO/IEC24711-standarden Brother original fargekassett Testmetode for å fastslå oppgitt sideytelse basert på ISO/IEC24711-standarden Innholdsfortegnelse 1. Forord 2. ISO/IEC-standarden, generelt 3. ISO/IEC24711-standarden for

Detaljer

Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS

Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS Sammendrag I EU-prosjektet "A Framework for electrical power systems vulnerability identification, defence and Restoration" (AFTER) skal ny metodikk og

Detaljer