Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.
|
|
- Ketil Skoglund
- 8 år siden
- Visninger:
Transkript
1 Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers Tlf
2 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk for informasjonssikkerhet
3 Informasjonssikkerhet og modenhet Karakteristikk Ad hoc Sårbarhetsbasert Fokus Hendelser Sårbarheter, implementere tiltak Avhengigheter Personell, lokale helter Personell, katalog over sårbarheter Tilnærming Risikobasert Identifisere kritiske aktiva, implementere kontroller Lokal risikoledelse, operasjonell kontekst, katalog med praksiser Virksomhetsbasert Kritiske aktiva og prosesser, og strategiske drivere, fokusere på organisatorisk robusthet Dyktighet og leveringsevne, andre indikatorer på organisasjonens evner system med interne kontroller, fremragende IT-tjenester og drift Kilde: Carnegie-Mellon University
4 Helhetlig risikostyring Hvilke faktorer er avgjørende for måloppnåelse? Hvordan kan nye og endrede risikoer identifiseres? Hvilke av disse risikoene er vurdert som vesentlige i forhold til måloppnåelse for virksomheten? Hvordan etablere hensiktsmessige styrings- og kontrollmekanismer som balanserer risiko, kontroll og kost/nytte ved ulike tiltak og kontrollaktiviteter? Hvordan få bekreftet at disse styrings- og kontrollmekanismene fungerer effektivt og som forutsatt?
5 Definisjon av Enterprise Risk Management a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Kilde: COSO Enterprise Risk Management Integrated Framework.
6 COSO ERM COSO: Committee of Sponsoring Organisations ERM: Enterprise Risk Management Utgitt 2004
7 Risikostyring i Staten Utgitt av Senter for Statlig Økonomistyring Bygger på COSO ERM Utgitt 2005
8 Helhetlig risikostyring som en prosess Informasjon og kommunikasjon Målsettinger og virksomhetens risikopolicy Spesifisering av Roller & Ansvar Identifisering av risikoer Vurdering & håndtering av risiko Etablering & Oppfølging av Kontrollaktiviteter Eksisterende strategi, forretningsplan og målsetninger Risikoappetitt Risikotoleranse Risikopolicy Styret Ledelsen Ansatte Samarbeidende aktører Påvirkningsfaktorer Teknikker Innbyrdes avhengighet Skille mellom risiko og muligheter Evaluere og velge alternativer for håndtering Integrering med risikohåndtering Valg av kontrollaktiviteter Retningslinjer og rutiner Internt miljø Kultur for risikostyring Organisasjon, personal og kompetanse Roller, ansvar og myndighet
9 Mulige roller og organisering av risikostyringen Styre- og konsernledelse Finansdirektør Operasjonell ledelse Rapportere oversikt Operasjonell ledelse Gjennomføring av hovedprosess: - Risikoidentifisering - Analyse - Tiltak Ansvar for resultater og utfall av risiko Rapportere risiko for enhet Rapportere sikringstiltak Leder for risikostyring Støtte og pådriver i hovedprosess: - Risikoidentifisering - Analyse - Tiltak Håndheve felles begrepsapparat Støtte i å lære opp og integrere risikostyring i enhetene Avstemme metodikk og verifisere gjennomføring Avdelingsledere/andre ansatte Utføring av prosesser: - Risikoidentifisering -Analyse - Håndtering og kontroll
10 Forholdet mellom risikostyring, strategi og internkontroll Strategi Strategisk retning/ porteføljestrategi Forretningsplan/ tiltak Budsjett Resultatmåling Risikoanalyse Internt miljø Målsettinger og virksomhetens risikopolicy Spesifisering av Roller & Ansvar Informasjon og kommunikasjon Identifisering av risikoer Vurdering & håndtering av risiko Etablering & Oppfølging av Kontrollaktiviteter Internkontroll Miljø for internkontroll Risikoanalyse Definere & Etablere kontroller Informasjon & Kommunikasjon Overvåking
11 Hvilke rammeverk skal man velge? Et som er anerkjent? Et som konsulenter anbefaler? Et som er er fritt tilgjengelig? Et som noen andre bruker? Et med sertifiseringsmulighet? Benytte flere rammeverk?
12 4 mulige rammeverk ITIL ISO serien CobiT NIST 800-serien
13 ITIL IT Infrastructure Library Utgitt av Office of Government Commerce (OGC) i Storbritannia ISO 20000: Information Technology Service Management ITIL Security Management (1999), sikkerhetsledelse ITIL Service Delivery (2001), leveranse av IT-tjenester ITIL Service Support (2001), håndtering av henvendelser, feilsituasjoner, endringer og patching ITIL Application Management (2002), støtte for utviklingsprosessen for applikasjoner ITIL ICT Infrastructure Management (2002), håndtering av inrfrastruktur ITIL Business Perspective: The IS View on Delivering Services to the Business (2004), beskrivelse av hvordan forretningskrav kan motes av ITtjenestene
14 ISO serien Utgitt av International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC) ISO/IEC Fundamentals and vocabulary ISO/IEC 27001:2005 ISMS 1 - Requirements (revidert BS 7799 Part 2) ISO/IEC Code of practice for information security management, lanseres nåværende ISO/IEC 17799:2005 ISO/IEC ISMS implementation guidance (under utvikling) ISO/IEC Information security management measurement (under utvikling) ISO/IEC Information security risk management (basert på og erstatter ISO/IEC TR MICTS Part 2, under utvikling) ISO/IEC Requirements for bodies providing audit and certification of ISMS (publisert 2007) 1. ISMS Information Security Management System
15 CobiT Control Objectives for IT Publisert av IT Governance Institute (ITGI) Promotert av Information Systems Audit and Control Association (ISACA) Henvender seg spesielt til toppledelse, forretningsledere, ITledelse og revisorer Opprinnelig utviklet med fokus på IT-revisjon Videreutviklet til IT-kontrollsystem 4 områder Planlegging og organisering Anskaffelse og implementering Leveranse og support Overvåke og evaluere 34 prosesser med kobling mot ITIL 5 IT-Governance fokusområder Strategisk tilpasning Verdien av bidrag Styring av ressurser Styring av risiko Måling av utførelse Fokus på hva som skal oppnåes, ikke hvordan
16 NIST 800-serien Utgitt av National Institute of Standards and Technology (NIST) i USA 800-serien dedikert sikkerhet Utvalgte publikasjoner beskriver metodikk for risikoanalyse og rammeverk for styring og kontroll
17 Målsettinger og virksomhetens risikopolicy ITIL Fokus på SLA og leveranse av IT-tjenester til forretningsvirksomheten. Ingen detaljert beskrivelse av sammenheng mellom forretningsmål og informasjonssikkerhet. ISO serien Krever at det skal være en kobling mellom forretningskrav og informasjonssikkerhet, men sier ikke hvordan. CobiT Detaljerte eksempler på kobling mellom forretningsmål og KPI'er og KGI'er for informasjonssikkerhet. NIST 800-serien Detaljert beskrivelse av risikoappetitt og krav til sikring for ulike typer systemer. Tydelig fokus på kobling mot virksomhetskrav - men eksempler rettet mot offentlig virksomhet i USA.
18 Spesifisering av Roller & Ansvar ITIL Detaljert beskrivelse av relevante roller og organisering, men for informasjonssikkerhet vises det til ISO Flere av rollene i ITIL er imidlertid svært relevante for informasjonssikkerhet. ISO serien Primært beskrive at en organisasjon skal være på plass, ikke beskrive ulike roller. CobiT Beskrivelse av roller og organisering, men fokus på generelle funksjoner og ikke sikkerhetsfokusert NIST 800-serien Detaljert beskrivelse av roller og organisering relatert til informasjonssikkerhet
19 Identifisering av risikoer ITIL I liten grad nevnt, og ingen god metodikkbeskrivelse. ISO serien ISO TR beskriver ulike typer metodikk, men gir lite informasjon om selve gjennomføringen, overlater til leseren å finne en egnet metodikk. Krav om at risikovurderinger skal gjennomføres i ISO CobiT Kontroll at risikovurderinger er på plass, men ingen beskrivelse av gjennomføring av risikoanalyser. NIST 800-serien Detaljert beskrivelse av gjennomføring, inkludert forslag til ulike nivåer for risiko, sannsynlighet og konsekvens. (Anbefaling: benytt trusselmodellering/dread sammen med denne)
20 Vurdering & håndtering av risiko ITIL Detaljert beskrivelse av flere relevante prosesser. Viser til ISO serien for konkrete sikringstiltak. ISO serien God beskrivelse av mulige sikringstiltak. CobiT Beskrivelse av kontroller, ikke sikringstiltak. NIST 800-serien Krav til sikring avhengig av klassifisering av informasjon. God og svært detaljert beskrivelse av mange sikringstiltak, mer omfattende enn ISO 17799, men noe vanskeligere tilgjengelig.
21 Etablering & Oppfølging av Kontrollaktiviteter ITIL Ikke fokus på selve oppfølgingen kontrollene. Prosesser for håndtering av hendelser og årsaker til feil ofte systemorienterte. ISO serien Krever at effektiviteten til sikringstiltakene skal evalueres, men sier ikke hvordan. CobiT Primærfokus på oppfølging av kontroller, men mindre del direkte fokus på informasjonssikkerhet. NIST 800-serien Detaljert beskrivelse av hvordan kontroller kan følges opp med egenevalueringer og rammeverk for vurdering av sikringstiltakene (policy, prosess, implementert, testet, integrert).
22 Informasjon og kommunikasjon ITIL Fokus og beskrivelser av informasjonsflyt og håndtering av problemer og hendelser, systemorientert. ISO serien Krav om at dette må implementeres, men lite fokus på hvordan. CobiT Fokus på kommunikasjon mellom kjernevirksomhet og IT. Periodiske gjennomganger gir informasjon om internkontrollen fungerer. NIST 800-serien Rammeverk for å kommunisere status for sikringstiltak og styringssystem. Detaljert beskrivelse av opplæringsprogrammer. Beskrivelse av sertifiserings- og akkrediteringsprosesser.
23 Knut Håkon T. Mørch PricewaterhouseCoopers Tlf Spørsmål?
Erfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerNorsox. Dokumentets to deler
Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.
DetaljerMed kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON
Med kvalitet menes: https://no.wikipedia.org/wiki/kvalitet WIKIPEDIA Kvalitet (av latin qualitas, 'egenskap' fra qualis, 'hvordan, av hvilket slag') viser til hvordan noe er. I dagligtale kan det særlig
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerEDB Business Partner. Sikkerhetskontroller / -revisjoner
EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate
DetaljerKapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki
9 Innledning: Om IT-styring og -kontroll... 15 Kapittel 1 Forankring av IT-ansvar... 17 1.1 Kort historikk... 17 1.2 Hvorfor forankring og engasjement?... 22 1.3 Styrets engasjement ved IT-styring og -kontroll...
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerHvilke faktorer påvirker virksomhetenes tilnærming til risiko
Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL 13.11.2018 UNDERVISNINGSBYGG OSLO KF Agenda- 10 faktorer som påvirker virksomhetens tilnærming til risiko Definisjon av risiko
DetaljerIT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no
IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens
DetaljerAsset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012
Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong
DetaljerStyring og ledelse av informasjonssikkerhet
Styring og ledelse av informasjonssikkerhet SUHS-konferansen 30. oktober 2013 Øivind Høiem, CISA CRISC Seniorrådgiver UNINETT AS Mål for styring informasjonssikkerhet Målene for styring av informasjonssikkerhet
DetaljerIKT-revisjon som del av internrevisjonen
IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi
DetaljerSammenligning av ledelsesstandarder for risiko
Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018 Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell
DetaljerISO-standarderfor informasjonssikkerhet
Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and
DetaljerNye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen
Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene
DetaljerIT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)
IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) Ragnvald Sannes (ragnvald.sannes@bi.no) Institutt for ledelse og organisasjon, Handelshøyskolen BI Hva er IT Governance
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerNår beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS
Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:
DetaljerHelhetlig risikotilnærming safety og security i en sammenheng
Helhetlig risikotilnærming safety og security i en sammenheng Jens Thomas Sagør Proactima PREPARED. Hva skal jeg snakke om? Erfaring med security arbeid i praksis Helhetlig risikostyring Verktøykassen
DetaljerInternkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet
Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide
DetaljerInternrevisjon i en digital verden
Internrevisjon i en digital verden IIA Norge årskonferanse, Fornebu 29. 30. mai 2017 Services 1 Industry 4.0 Big Data 3D Printing Internet of Things Digitisation 2 Exponential organizations Disruption
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerStandarder for informasjonssikkerhet Rune Ask
Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC 27000 Oversikt
DetaljerRisikostyring Intern veiledning
Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i
DetaljerHva kjennetegner god Risikostyring?
Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over
DetaljerSikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet
Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll
DetaljerSikkert nok - Informasjonssikkerhet som strategi
Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007
DetaljerAnvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk
Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk Innhold Innledning... IT Governance... Kjennetegn ved et godt rammeverk for IT Governance... Forretningsorientert... Prosessorientert...
DetaljerInternkontroll i Gjerdrum kommune
Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerForelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet Oppgave 1 Se
DetaljerHvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering?
Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Difi 18 desember 2013 Ingar Brauti, P3M Registered Consultant Med tilpasning og praktisering av
DetaljerMåling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling
DetaljerStyringssystem basert på ISO 27001
Styringssystem basert på ISO 27001 Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerStandarder med relevans til skytjenester
Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerNS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge
NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerStyringssystem for informasjonssikkerhet et topplederansvar
Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering
DetaljerGjelder fra: Godkjent av: Camilla Bjørn
Dok.id.: 1.3.1.1.0 Formål, mål og definisjoner Utgave: 2.00 Skrevet av: Camilla Bjørn Gjelder fra: 27.03.2017 Godkjent av: Camilla Bjørn Dok.type: Styringsdokumenter Sidenr: 1 av 5 1.1 Formålet med styrings-
DetaljerISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning
ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerIT Service Management
IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service
DetaljerPAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK
PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon
DetaljerDirektør Marianne Andreassen
Risikostyring i staten hvordan håndtere risikostyring i mål- og resultatstyringen PWC 6. juni 2007 Direktør Marianne Andreassen Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring
DetaljerNS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)
NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert
DetaljerItled 4021 IT Governance Introduksjon
Itled 4021 IT Governance Introduksjon September 2018 Bendik Bygstad Current research projects Bendik Bygstad Topic What I am trying to find out Organization Digital innovation in airlines Large ehealth
Detaljer5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda
www.pwc.no Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1 Erfaring med implementering av
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerIT-forum våren 2004. ITIL et rammeverk for god IT-drift
IT-forum våren 2004 ITIL et rammeverk for god IT-drift Jon Iden, dr. polit Institutt for prosessutvikling og arbeidsflyt AS Institutt for informasjons- og medievitenskap, UiB Institutt for Prosessutvikling
DetaljerStrategisk kobling og IT Styring
ISACA Årsmøte 2012 Strategisk kobling og IT Styring Øystein Ullnæs Senior rådgiver og Daglig leder Knut Adolphson Senior rådgiver og Fagleder ASP Norge AS / Ambitiongroup ASP Norge AS (1999): et uavhengig
Detaljerwww.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010
www.pwc.no Oppfølging av Internkontroll Innhold - oppfølging av internkontroll 1. Internkontroll hva er det? 2. Fremgangsmåte for oppfølging av internkontroll Teori Utvalgte regulatoriske krav Roller 3.
DetaljerHvordan gjennomføre og dokumentere risikovurderingen i en mindre bank
Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerEffektiv risikostyring og intern kontroll
Effektiv risikostyring og intern kontroll Bankenes sikringsfonds Høstkonferanse 2009 v/banksjef Torleif Lilløy Introduksjon av Totens Sparebank Virksomhet Visjon, forretningsidé og målsetning Selvstendig,
DetaljerStandarder for Asset management ISO 55000/55001/55002
Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby
DetaljerDifis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no
Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»
DetaljerDen europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,
Den europeiske byggenæringen blir digital hva skjer i Europa? Steen Sunesen Oslo, 30.04.2019 Agenda 1. 2. CEN-veileder til ISO 19650 del 1 og 2 3. EFCA Guide Oppdragsgivers krav til BIMleveranser og prosess.
DetaljerRevisjon av IT-sikkerhetshåndboka
Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte
DetaljerIT I PRAKSIS OG GEVINSTREALISERING
IT TRENDER 2012 IT I PRAKSIS OG GEVINSTREALISERING IT I PRAKSIS IT i praksis kartlegger utviklingen innenfor digital virksomhetsutvikling og innovasjon, og beskriver fremtidige tendenser i arbeidet med
DetaljerHvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL UNDERVISNINGSBYGG OSLO KF
Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL 14.06.2018 UNDERVISNINGSBYGG OSLO KF Agenda- 10 faktorer som påvirker virksomhetens tilnærming til risiko Definisjon av risiko
DetaljerNS-EN ISO/IEC 17021-1
Guri Kjørven, 2015-12-02 NS-EN ISO/IEC 17021-1 SAMSVARSVURDERING - KRAV TIL ORGANER SOM TILBYR REVISJON OG SERTIFISERING AV LEDELSESSYSTEMER - DEL 1: KRAV Historikk ISO/IEC 17021:2006 Erstattet Guides
DetaljerEn praktisk anvendelse av ITIL rammeverket
NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter
DetaljerNorges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)
Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål
DetaljerItled 4021 IT Governance Governance, COBIT og ITIL
Itled 4021 IT Governance Governance, COBIT og ITIL September 2018 Bendik Bygstad Forskjellen mellom ledelse og styring Ledelse (management) og styring (governance) er forskjellige displiner Ledelse dreier
DetaljerMål- og resultatstyring og risikostyring i staten (det offentlige)
Mål- og resultatstyring og risikostyring i staten (det offentlige) Sjøfartsdirektoratet Haugesund 26. mars 2007 Marianne Andreassen Direktør i Senter for statlig økonomistyring Senter for statlig økonomistyring
DetaljerAggregering av risiko - behov og utfordringer i risikostyringen
Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning
DetaljerRisikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE
Risikomodenhet en enkel modell Ayse Nordal & Ole Martin Kjørstad K&R DAGENE 2019 07.06.2019 Fokus på målsetninger og attributter fremfor lineær utvikling Agenda 1. Hva er risikomodenhet, og hvorfor er
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerVeileder for risikostyringsfunksjonen. 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu
Veileder for risikostyringsfunksjonen 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu Målet med veilederen Veilederen skal beskrive gjeldende beste praksis for risikostyringsfunksjoner
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland
ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland Introduksjon Arnfinn Roland CISSP PECB Professional Trainer Certified ISO Lead Auditor, Lead Implementer ISO 27001 ISO 22301
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerCyberspace og implikasjoner for sikkerhet
Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker
DetaljerKonsernretningslinje - Hvitvasking, terrorfinansiering og sanksjoner
Konsernretningslinje - Hvitvasking, terrorfinansiering og sanksjoner Gitt av konserndirektør i Risikostyring Konsern og godkjent i konsernledelsen 12.01.2015, oppdatert 20.05.2016. 1. Bakgrunn og formål
DetaljerNeste generasjon ISO standarder ISO 9001
Neste generasjon ISO standarder ISO 9001 DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir sett på som mer enn bare sertifisering...
DetaljerC L O U D S E C U R I T Y A L L I A N C E
C L O U D S E C U R I T Y A L L I A N C E Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no
DetaljerDifis veiledningsmateriell, ISO 27001 og Normen
Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser
DetaljerIntegrering av IT i virksomhetens helhetlige risikostyring
Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs
DetaljerHelseforetakenes senter for pasientreiser ANS 1/2016
Helseforetakenes senter for pasientreiser ANS 1/2016 RAPPORT Oppfølging av revisjoner som ble gjennomført i 2013-14 Revisjonsrapport 1/2016 Internrevisjon Side 1 av 13 Tidsrom for revisjonen Mai-juni 2016
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerISO 55000-serien Asset management
Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerPolicy for Antihvitvask
Intern 1/ 5 Policy for Antihvitvask Besluttet av Styret i Sbanken ASA Dato for beslutning 13. desember 2018 Frekvens beslutning Årlig Erstatter Policy datert 01.11.2017 Dokumenteier Leder Kunde Spesialist,
DetaljerSikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019
Sikkerhetshendelse hos Kartverket i 2017 Oppfølging på kort og lang sikt Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019 Status IT infrastruktur 2017 10000 9000 8000 7000 6000 Lagringskapasitet
DetaljerRammeverk for risikostyring i Helse Midt-Norge
Rammeverk for risikostyring i Helse Midt-Norge Versjon 1.0 Godkjent i ledergruppen Helse Midt-Norge 29.03.16 Innhold Rammeverk for risikostyring i Helse Midt-Norge... 3 Innledning... 3 DEL 1 RAMMEVERK
DetaljerFremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no C L O U D S E C U R I T Y A L L I A
DetaljerGjelder fra: 24.09.2014. Godkjent av: Fylkesrådet
Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:
DetaljerStyret i Sykehusinnkjøp HF 08.februar 2017
Saksfremlegg Saksgang Styre Møtedato Styret i Sykehusinnkjøp HF 08.februar 2017 SAK NR 011-2017 Ledelse og styring Forslag til vedtak: 1. Styret tar saken Ledelse og styring i Sykehusinnkjøp HF til orientering
DetaljerEtablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard
Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur
DetaljerGuri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK
Guri Kjørven, Standard Norge NS-ISO 45001 LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK ISO/PC 283 Occupational health and safety management systems 70 Participating Countries, 16 Observing
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerNS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester
NS-EN 15224 Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester NS-EN 15224 LEDELSESSYSTEMER FOR KVALITET NS-EN ISO 9001 FOR HELSE- OG OMSORGSTJENESTER Krav til systematiske metoder
DetaljerErfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerStyringssystem for informasjonssikkerhet
Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser
Detaljer