SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Størrelse: px

Begynne med side:

Download "SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)"

Elling Langeland
8 år siden
Visninger:

1 SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO)

2 Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre er en gevinst? Måling av effekt av informasjonssikkerhet er ikke alltid like lett Oversikt over tidligere hendelser og evt. tap som følge av dette Etterlevelse (compliance) Unngå overtredelsesgebyr 4. november 2013 SLIDE 2

3 Aktiviteter i sekretariatet ROS hos UH institusjoner Fordeler seg på noen få systemspesifikke, men hoveddelen er generelle Gjennomført 2 ROS for fellessystemer 2 BIA, ISCP (Information Systems Continuity Plan) Under arbeide 1 revisjon 1 policyløp Sikkerhetsforum 2013 Nasjonal sikkerhetsmåned Utdannet 3 nye CRISC UFS 136, klassifisering av informasjon 4. november 2013 SLIDE 3

4 Planer for 2014 Hovedaktivitet ISCP (BIA) Rammeverk utarbeides med prosjektet hos HiOA Fortsette ROS for resten av sektoren Igangsatt prosjekt Styringssystem og internkontroll for informasjonssikkerhet Sikkerhetsforum 2014 (uke 24?) Revisjon av ROS rammeverket Strukturere opp WEB siden, Tettere samarbeid med DIFI son informasjonssikkerhetssatsning ISO 2700X (implementer/auditor) 4. november 2013 SLIDE 4

5 Styringssystem/internkontroll - bakgrunn Riksrevisjonens kritikk av UH sektorens håndtering av informasjonssikkerhet Tilbakemelding fra Sikkerhetsforum 2012/2013 Datatilsynets kontrollrapporter i sektoren Lite ressurser lokalt, vanskelig å etablere egen kompetanse og erfaring Prosjektet er forankret i sekretariatets mandat Institusjonenes tildelingsbrev fra KD, se punkt 4.6 Sikkerhet og beredskap. 4. november 2013 SLIDE 5

6 Prosjektets mål * Dato * Navn / beskrivelse av milepæl Prosjektplan ferdig laget Samarbeidende institusjoner i UH sektoren er avklart Prosjektet skal levere en oversikt over hvilke regulatoriske krav som foreligger og hvordan Kartlegging av rettslige krav for UH foreligger disse best kan ivaretas av den enkelte institusjon i sektoren Plan for kartleggings- og intervjurunder av status og utfordringer foreligger Etablere et rammeverk for styringssystem og internkontroll som er tilpasset UH sektoren Rapport: Status og utfordringer i UH sektoren foreligger Foreslå hvilke virkemidler som kan bidra til å styrke informasjonssikkerheten i sektoren Forslag til metodikk og rammeverk for UH sektoren foreligger i 1. utkast Internkontrollsystem for informasjonssikkerhet etablert i minst 2 av de Utvikle et standard styrings- og rapporteringsverktøy som samarbeidende institusjonene institusjoner skal anvende for å sikre en felles metode for rapportering av arbeid og status på informsasjonssikkerhet Metode og skjematikk for rapportering til Kunnskapsdepartementet foreligger Endelig metodikk og rammeverk for innføring av et styringssystem i UH sektoren foreligger Håndbok/veilleder i internkontrol for informasjonssikkerhet, manuskript ferdig til korrektur og språkvask Håndbok/veileder definert av KD som gjeldende styringssystem for informasjonssikkerhet i UH sektoren. 4. november 2013 SLIDE 6

7 Vi tror Mye snakk om standarder og rammeverk, men lite om den praktiske utformingen av dem Utvikling av et tilpasset styringssystem krever systematisk kunnskap om utfordringer og behov i sektoren Sekretariatet har behov for systematisk kunnskap om effekten av virkemiddelbruk overfor sektoren for å stadig kunne bli bedre Ikke gjort før, verken nasjonalt eller internasjonalt Gode erfaringer med denne metodikken fra tidligere prosjekter 4. november 2013 SLIDE 7

8 Hva ønsker vi svar på? Rettsregler: Hvilke rettslige krav til sikring av informasjonsverdier gjelder for institusjoner i UH-sektoren? Regelkompetanse: Hvordan forstås og tolkes kravene til sikring av informasjonsverdier av aktørene og institusjonene i sektoren? Etterlevelsesutfordringer: Hvilke praktiske utfordringer står universiteter og høyskoler overfor når de skal etablere og drifte styringssystemer for informasjonssikkerhet? Implementering: Hvilken virkemiddelbruk kan bidra til at universiteter og høyskoler ivaretar sine rettslige plikter på området, og høyner informasjonssikkerheten? 4. november 2013 SLIDE 8

Like dokumenter

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013 Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig