Revisjon av informasjonssikkerhet
|
|
- Gunhild Erlandsen
- 7 år siden
- Visninger:
Transkript
1 Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012
2 2
3 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok ) Revisjon av informasjonssikkerhet knyttet til personopplysningsloven 2010 (Dok ) Oppsummering 3
4 Rammeverk og standarder Organisasjonsnivå Eiere/ Departement Virksomhetsstyring Coso Virksomhetsledelse IT-ledelse IT-ansatte IKTprofil Ledelse av ITIL IT-tjenester IT Governance Cobit Beste praksis/ ISO/ IEC 27001/27002 standarder Aktiviteter Operasjonelt Styring Overvåkning 4
5 Internasjonale revisjonsstandarder ISSAI-rammeverket implementert. Gjennom risikovurderingshandlinger skal revisor opparbeide seg en forståelse av enheten og dens omgivelser, herunder intern kontroll. Revisor skal opparbeide seg en forståelse for de delene av informasjonssystemet som er relevante og prosedyrene innen IT-systemer. Revisor skal opparbeide seg en forståelse for enhetens kontrollaktiviteter og hvordan enheten har håndtert risikoer som følge av bruk av IT. 5
6 IKT-profil 1. IT-miljøets betydning for virksomhetens primærog sekundæroppgaver 2. Organisering og oppgaver 3. Infrastruktur, systemer og applikasjoner 4. Informasjonssikkerhetskriterier 5. Sentrale dokumenter, rutiner og internkontroll 6. Oppsummering 7. Risikovurdering og videre løp 8. Tidligere IT-revisjoner 6
7 Revisjon av informasjonssikkerhet 2009 Revisjonskriterier: Reglement for og bestemmelser om økonomistyring i staten Nasjonale retningslinjer for å styrke informasjonssikkerheten ISO/ IEC og Internasjonale standarder for informasjonssikkerhet 7
8 Revisjonsprogrammet - virksomhet Revisjonsprogram NS-ISO/IEC (deler av kapitlene) Nasjonale retningslinjer Identifisere og klassifisere Kapittel 7 Pkt 3.3 Risikovurderinger Kapittel 4 Pkt 3.4 Organisering Kapittel 5, 6 og 8 Pkt 3.5 Beskyttelse Kapittel 9, 10, 11, 12 og 14 Pkt 3.1 Informasjonssikkerhetsbrudd Kapittel 13 Pkt 3.6 8
9 Identifisering og klassifisering av informasjon og informasjonssystemer Departement: Få hadde besluttet en felles tilnærming på sektornivå eller stilt krav til virksomhetene Virksomhet: Ca 40 % hadde ikke identifisert sine viktigste aktiva Over 50 % hadde ikke et system for å klassifisere informasjon og informasjonssystemer
10 Risikoanalyser Departement: 6 hadde ikke stilt krav til underliggende virksomheter om gjennomføring av risikoanalyser som omfatter samfunns- eller virksomhetskritisk ikt-infrastruktur Virksomhet: Ca 70 % hadde utarbeidet risikoanalyser Halvparten manglet imidlertid risikoanalyser som omfattet de viktigste aktivaene i virksomhetene Halvparten manglet rutiner for jevnlig oppdatering av risikoanalyser 10
11 Organisering - kunnskapsbygging Departement: 50 % hadde ikke stilt krav til underliggende virksomheter om å gjennomføre tiltak for å øke bevisstheten og kompetansen om informasjonssikkerhet Virksomhet: Ca 60 % hadde opplæring og/eller løpende tiltak for bevisstgjøring innen informasjonssikkerhet i egen organisasjon Opplæring og bevisstgjøring av eksterne brukere er svakere enn for egne ansatte 11
12 Organisering videre Virksomhet: Over 80 % hadde utarbeidet en sikkerhetspolicy eller tilsvarende dokument 75 % hadde etablert en egen sikkerhetsorganisasjon 12
13 Beskyttelse Departement: Få har stilt krav til beskyttelse av kritisk iktinfrastruktur 13
14 Beskyttelse - administrasjon av tilganger Virksomhet: De fleste hadde skriftlige rutiner for administrasjon av tilganger Halvparten hadde imidlertid ikke skriftelige rutiner for tildeling av utvidede rettigheter Ca 80 % hadde svakheter i dokumentasjon av at faktiske tilganger var i samsvar med autoriserte tilganger 14
15 Beskyttelse - logging og overvåkning Virksomhet: Revisjonen viste en gjennomgående svakhet på området logging og overvåkning Bruker og systemadministrators aktiviteter blir i liten grad logget eller fulgt opp 15
16 Beskyttelse - kontinuitetsplanlegging Virksomhet: Ca 80% hadde enten en kontinuitetsplan eller en prosess for kontinuitetsplanlegging De fleste kontinuitetsplaner var imidlertid ikke oppdaterte Omtrent halvparten manglet oversikt over hvilke systemer som skal prioriteres i en avbruddssituasjon Kun 3 hadde gjennomført øvelser i kontinuitetsplanen 16
17 Beskyttelse - fysisk sikkerhet Virksomhet: Revisjonen viste at de fleste datarom var sikret mot fysiske farer 17
18 Informasjonssikkerhetsbrudd Departement: Få hadde gitt føringer for rapportering av sikkerhetshendelser til fagdepartementet og til relevante sektormyndigheter Virksomhet: Ca 60 % hadde etablert rutiner for å rapportere og håndtere sikkerhetsbrudd. Omtrent halvparten hadde imidlertid ikke konkretisert hvilke typer hendelser som skal loggføres og rapporteres 18
19 Bruk av standarder for informasjonssikkerhet Departement: Få hadde stilt krav til underliggende virksomheter om å ta i bruk standarder for informasjonssikkerhet 19
20 Dokument 1 ( ) 11 departementer har vesentlige mangler i sin styring av underlagte virksomheters informasjonssikkerhet 10 virksomheter har fått revisjonsbrev med merknader knyttet til vesentlige mangler ved informasjonssikkerheten FAD har samordningsansvaret for IKT-politikken, og revisjonen peker på mangler i departementets oppfølging av dette ansvaret 20
21 Revisjon av informasjonssikkerhet 2010 Revisjon av utvalgte virksomheter på UHsektoren Videreføring av revisjonen for 2009, men med større vekt på personopplysningsloven Vurderingsgrunnlag bl.a. ISO/IEC
22 Funn: Identifisere aktiva Utfordrende å holde oversikt sentralt over hvilke systemer som forvalter personopplysninger (både sensitive og ikkesensitive) Prosjektleder synes å ha oversikt for egne prosjekter, men det fremgår ikke av sentrale føringer hvilke rutiner eller prosedyrer som skal være styrende for dette 22
23 Funn: Risiko- og sårbarhetsanalyser Liten grad av systematiserte ROS-analyser på overordnet nivå, men for enkelte forskningsprosjekter var det gjort slike vurderinger Foreligger ikke føringer fra ledelsen, og mye av arbeidet delegeres til avdeling, fakultet eller den enkelte prosjektleder 23
24 Funn: Sikkerhetspolicy Det var utarbeidet sikkerhetspolicyer, men det var svakheter i implementeringen 24
25 Funn: Informasjonssikkerhetsbrudd Manglende rutiner eller prosedyrer for hvordan brudd skal behandles Medfører økt sannsynlighet for at alvorlige hendelser ikke rapporteres og at korrigerende tiltak ikke blir iverksatt 25
26 Funn: Håndtering av personopplysninger i utvalgte prosjekter Fullmakter og ansvar er delegert til de enkelte prosjektledere, uten at det er etablert tilfredsstillende internkontrollsystemer Det eksisterer ikke systemer som fanger opp brudd f.eks. pga. mangelfull kunnskap og forståelse hos prosjektleder 26
27 Dokument 1 ( ) Forholdene ble tatt opp Dokument 1, der det blant annet ble stilt spørsmål ved om KD har sikret seg at personopplysninger som virksomhetene innhenter og benytter, behandles på en tilfredsstillende måte 27
28 Avslutningsvis Oppfølging av revisjonsfunn fra sikkerhetsrevisjonen i 2009 viser økt fokus på området i forvaltningen. Sikkerhet er ikke et produkt, men en prosess. Det som blir målt blir gjort. 28
29 Spørsmål 29
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerErfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen
Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014 Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk.
DetaljerOlje- og energidepartementet
Olje- og energidepartementet 1 Olje- og energidepartementets forvaltning og gjennomføring av budsjettet for 2009 1.1 Generelt om resultatet av revisjonen Tabell 1.1 (tall i mill. kroner)* Utgifter Inntekter
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerForvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter
Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter Prosjektplan/engagement letter September 2013 Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier...
DetaljerStyresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon
Møtedato: 14. desember 2016 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen, 75 51 29 00 Bodø, 2.12.2016 Styresak 157-2016/4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2015
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerInternkontroll og avvikshåndtering
FORVALTNINGSREVISJON Internkontroll og avvikshåndtering PROSJEKTPLAN Hemne kommune Juni 2018 Prosjekt id: FR 1045 1 SAMMENDRAG PROSJEKTPLAN Problemstilling Har Hemne kommune etablert et internkontrollsystem
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerInformasjonssikkerhet i UH-sektoren
Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet
DetaljerSamlet bevilgning. neste år Utgifter 103 8593 8695 8566 116 Inntekter 1047 1074
Kulturdepartementet 1 Kulturdepartementets forvaltning og gjennomføring av budsjettet for 2011 1.1 Generelt om resultatet av revisjonen Tabell 1 (tall i mill. kroner)* Overført fra forrige år Bevilgning
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerMalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF
MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerOppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden
Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet
DetaljerInternkontroll i Gjerdrum kommune
Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet
DetaljerHelhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.
Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerForvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter
Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap Prosjektplan/engagement letter September 2013 Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål
DetaljerMøtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015
Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerRevisjon av IT-sikkerhetshåndboka
Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte
DetaljerNærings- og handelsdepartementet
Nærings- og 1 Nærings- og s forvaltning og gjennomføring av budsjettet for 2010 1.1 Generelt om resultatet av revisjonen Tabell 1 (tall i mill. kroner)* Utgifter Inntekter Overført fra forrige år Bevilgning
DetaljerSikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013
Sikkerhetsforum 2014 Styring og kontroll av informasjonssikkerhet 19. desember 2013 Årets forum har påmeldingsrekord! Ca. 50 deltakere Takk til UiT for gjestfrihet og stille lokaler til rådighet Viktig
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerRutinebeskrivelse for regnskapsføring i Olje- og energidepartementet. Instruks
Rutinebeskrivelse for regnskapsføring i Olje- og energidepartementet Instruks 1 Innhold 1 INNLEDNING... 3 2 Myndighet og ansvar... 3 2.1 Virksomhetens ledelse... 3 2.2 Oppdragsbrev... 4 3 Regnskapsføring...
DetaljerVeiledning- policy for internkontroll
Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerAkkrediteringsdagen Vanlige avvik hos akkrediterte systemsertifiseringsorganer NORSK AKKREDITERING TRYGGHET OG ANERKJENNELSE
Akkrediteringsdagen 016 Vanlige avvik hos akkrediterte systemsertifiseringsorganer Fordeling av type avvik gitt i 015 16 14 14 1 10 8 8 6 6 4 1 1 4 1 1 1 1 3 3 1 3 1 1 4 0 1 Fordeling av type avvik gitt
DetaljerNærings- og fiskeridepartementet
Nærings- og fiskeridepartementet 1 Nærings- og fiskeridepartementets budsjett og regnskap for 2014 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2014 Samlet bevilgning Regnskap Overført til
Detaljer1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2
Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerTeknisk kontrollorgan. SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT
statens jernbanetilsyn ;ernoa', : :;,3,1,-,Æ,,E; Teknisk kontrollorgan SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT Rapport nr. 2012-30 Teknisk kontrollorgan SINTEF IKT, Senter for jernbanesertifisering
DetaljerPersonvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?
Personalledernettverket Trøndelag Ørland 22.-23.8. 2018 Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla? En enkel prosessplan (nov 2017) Enkelhet, helhetlig og synergier:
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerRevisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Arbeidstilsynet
Revisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Arbeidstilsynet Mottaker: Arbeids- og sosialdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold
DetaljerSaksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen
DetaljerSikkerhetsforum 2018
Sikkerhetsforum 2018 Kunnskapsdepartementets tjenesteorgan Sekretariat for informasjonssikkerhet I UH-sektoren Rolf Sture Normann Litt status fra 2017 GDPR Veileder om krav til informasjonssikkerhet I
DetaljerOrientering fra Riksrevisjonen på UH-sektorens økonomiseminar 2017 Bernt Nordmark og Thorgunn Nordstrand
Orientering fra Riksrevisjonen på UH-sektorens økonomiseminar 2017 Bernt Nordmark og Thorgunn Nordstrand Oslo 17. oktober, Gardermoen 24. oktober, Bergen 31. oktober 2017 Orientering fra Riksrevisjonen
DetaljerNKRF Årsmøte 2009 Revisors vurdering av internkontroll
NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerStatus Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak
Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak 153-2016 Styring og kontroll av tilgang til helseopplysninger i elektroniske
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerPrinsipper for virksomhetsstyring i Oslo kommune
Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres
DetaljerÅrsrapport 2014 Internrevisjon Pasientreiser ANS
Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert
Detaljer3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.
1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av
DetaljerPraktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen
Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen Nasjonal fagkonferanse i offentlig revisjon 2014 Agenda Bakgrunn Internkontroll ISSAI Risikobildet Vurderinger mht revisjonshandlinger
DetaljerInformasjonssikkerhetsprinsipper
Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer
DetaljerFra sikkerhetsledelse til handling ambisjoner og forventninger
Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4 Forventninger Statlige universiteter og høyskoler skal etterleve
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerNettverk for virksomhetsstyring. Møte 6. juni 2014
Nettverk for virksomhetsstyring Møte 6. juni 2014 16.06.2014 Direktoratet for økonomistyring Side 1 Program 09.00-09.15: Innledning ved DFØ 09.15-10.15: Formål og innhold i instrukser, både i instruks
DetaljerNOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.
NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerFiskeri- og kystdepartementet
Fiskeri- og kystdepartementet 1 Fiskeri- og kystdepartementets forvaltning og gjennomføring av budsjettet for 2006 1.1 Generelt om resultatet av revisjonen Fiskeri- og kystdepartementet består av ett programområde:
DetaljerVeileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960
Veileder og verktøy for internkontroll i offentlige anskaffelser Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960 Difi har utarbeidet veileder og verktøy implementering av internkontroll Bakgrunn:
DetaljerHOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014
HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014 1. Innledning og formål Instruksen er fastsatt av Finansdepartementet den 19. november
DetaljerBarne- og likestillingsdepartementet
Barne- og likestillingsdepartementet 1 Barne- og likestillingsdepartementets budsjett og regnskap for 2015 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2015 (nysaldert budsjett) Samlet bevilgning
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerÅrsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring
UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...
DetaljerInformasjonssikkerhet. Øyvind Rekdal, 17. mars 2015
Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere
DetaljerHvordan gjennomføre og dokumentere risikovurderingen i en mindre bank
Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring
DetaljerFra frisk BRIS til MOTVIND - Revisjon av en IT-anskaffelse i Trondheim kommune
Trondheim kommunerevisjon Fra frisk BRIS til MOTVIND - Revisjon av en IT-anskaffelse i Trondheim kommune Foto: Carl-Erik Eriksson 1 Bakgrunn Anskaffelse og innføring av IT-system for ressurs- og virksomhetsstyring
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerDatabehandleravtale. Kommunenes Sentralforbund - Databehandler
U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter
DetaljerNorsox. Dokumentets to deler
Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerDifis veiledningsmateriell, ISO 27001 og Normen
Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser
DetaljerSaksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.
Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 7. februar 2018 SAK NR 010-2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017 Forslag til vedtak: 1. Styret tar saken
DetaljerPolicy for Antihvitvask
Intern 1/ 5 Policy for Antihvitvask Besluttet av Styret i Sbanken ASA Dato for beslutning 13. desember 2018 Frekvens beslutning Årlig Erstatter Policy datert 01.11.2017 Dokumenteier Leder Kunde Spesialist,
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerFra avsluttende revisjonsbrev til revisjonsberetninger -
Fra avsluttende revisjonsbrev til revisjonsberetninger - Konsekvenser for Riksrevisjonens regnskapsrevisjon Åse Kristin B. Hemsen underdirektør Fra avsluttende revisjonsbrev til revisjonsberetning 1. Hvorfor
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerInstruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012
Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3
DetaljerInstruks (utkast) for Internrevisjonen Helse Sør-Øst
Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerStyringssystem for informasjonssikkerhet
Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser
DetaljerKlima- og miljødepartementet
Klima- og miljødepartementet 1 Klima- og miljødepartementets budsjett og regnskap for 2014 (tall i mill. kroner)* Overført fra forrige år Bevilgning 2014 Samlet bevilgning Regnskap Overført til neste år
DetaljerMiljøhåndbok NS-EN ISO 14001:2015
NS-EN ISO 14001:2015 ENGINEERING CONSULTANTS NORWAY as Drammen 05.10.2015 ------------------------- Daglig leder Side : 2 av 7 INNHOLD ENGINEERING CONSULTANTS NORWAY AS... 3 Miljøpolicy... 3 Miljøaspekter...
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerHelseforetakenes senter for pasientreiser ANS 1/2016
Helseforetakenes senter for pasientreiser ANS 1/2016 RAPPORT Oppfølging av revisjoner som ble gjennomført i 2013-14 Revisjonsrapport 1/2016 Internrevisjon Side 1 av 13 Tidsrom for revisjonen Mai-juni 2016
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerAgenda. IT i Oslo kommune. IT-revisjon i regnskapsrevisjonen. IT-revisjon i forvaltningsrevisjonen. Oslo kommune Kommunerevisjonen
IT-revisjon som integrert del av finansiell revisjon og forvaltningsrevisjon Erfaringer fra i Oslo Gardermoen 26. Oktober 2010 Jan G Thoresen CISA CIA Seniorrådgiver Oslo Kommunerevisjon Agenda IT i Oslo
Detaljer