NIFS 16. desember 2015

Størrelse: px
Begynne med side:

Download "NIFS 16. desember 2015"

Transkript

1 NIFS 16. desember 2015 Internkontroll i praksis fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene?

2 Dagens agenda Tid Agendapunkt Ansvarlig 10:00 Velkommen og nytt fra Difi Katrine Aam Svendsen / Caroline Ringstad Schultz / Håkon Styri 10:15 Nytt fra den enkelte virksomhet Alle 10:30 Difis veileder «Internkontroll i praksis informasjonssikkerhet» Katrine Aam Svendsen 10:50 Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet? 11:30 Lunsj Remi Longva 12:15 Foranalyse Jan Sørgård 13:30 Kake og kaffe 13:45 Hvordan beskrive risiko? Katrine Aam Svendsen 14:00 Foreslå håndtering av risiko Katrine Aam Svendsen 14:45 Oppsummering og avslutning Katrine Aam Svendsen 15:00 God jul!

3 NYTT FRA DIFI

4 Nytt fra Difi Siden sist: Veileder i internkontroll Veileder for planlegging og gjennomføring av IKT-øvelser Nye eksempler på opplæringstiltak i delingsoversikten Lansert dilemmatrening Under arbeid: Versjon tre av veileder i kompetanse- og kulturutvikling Sikkerhetsmåned 2016 Øvelse 2016 Planlegger prosjekter for sikkerhetsarkitektur og innebygd informasjonssikkerhet

5 Møtedatoer februar Tema: Hendelsesbeskrivelser 27. april Øvelse 7. september 23. november Kom gjerne med forslag til temaer.

6 NIFS Øvelse 2016 Gjennomføres 27. april 2016 Viktig aktivitet første kvartal 2016: Øvelsesplanlegging Vi ønsker en håndfull deltagere i arbeidsgruppe Vi regner med at det blir tre arbeidsmøter før øvelsen Vi tar utgangspunkt i øvelsesveilederen Det blir mulig å delta i planlegging med videokonferanse Interessert? Meld fra til hakon.styri@difi.no

7 Difis veiledningsmateriell INTERNKONTROLL I PRAKSIS - INFORMASJONSSIKKERHET

8 Difis veiledningsmateriell Nettbasert Målsetninger: Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler

9 Difis forklaringsmodell Hovedaktiviteter internkontroll informasjonssikkerhet

10 Oppbygning av veilederen Etableringsaktiviteter Systematiske aktiviteter Utdypninger av enkelte delaktiviteter Verktøy Maler Eksempler Bakgrunnsstoff Godt å vite og Nyttig

11 Betaversjon 7.0 Publisert i dag Siste betaversjon før Versjon 1.0 Oppdatert «Gjennomføre risikovurderinger» og «Overordnede styrende dokumenter» Inkludert eksempler på retningslinjer Nye verktøy for: Oversikt over tiltak Foranalyse

12 Pragmatisk Risikohåndtering

13 Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet?

14 Sikkerhetsnivå Et definert sett av sikkerhetstiltak Jf. «security control baseline» hos NIST.

15 Grunnsikring Et felles grunnleggende sikkerhetsnivå for sentrale områder i en virksomhet

16 Virksomhetsprosess A Sys A Virksomhetsprosess B Sys B Virksomhetsprosess C Fellessystem 1 Fellessystem 2

17 Virksomhetsprosess A Sys A Risikoeier Virksomhetsprosess B Sys B Virksomhetsprosess C Fellessystem 1 Systemeier fellessystem Fellessystem 2

18 Risikoeier Vurderer risiko Har behov Tiltaksleverandør Har fagekspertise Tilbyr sikkerhetstiltak Virksomhetsprosess A Sys A

19 HR Bygg/fysisk IKT-drift Etc I tilfeller hvor sikkerhetstiltakene leveres av eksterne bør det alltid være en tiltaksansvarlig i virksomheten

20 Tiltaksleverandør Ansvarlig for sikkerhetstiltak Utformer, iverksetter og vedlikeholder Tilbyr sikkerhetstiltak som dekker virksomhetens behov Rapporterer status på sikkerhetstiltak Informerer risikoeiere om endringer som påvirker risiko Jf. «common control provider» hos NIST.

21 IKT-drift en sentral tiltaksleverandør Virksomhetsprosess A Virksomhetsprosess B Sys A Sys B Sys C IKT-operasjonsmiljø

22 Tilleggsikring Virksomhetsprosess A Sys A Grunnsikring Tilleggsikring knyttes til arbeidsoppgaver eller informasjonssystemer

23 Etablere grunnsikring Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Minimumsnivå: kjente behov + god praksis Risikovurdering + risikohåndtering av 2-4 pilotområder Velge: Grunnsikring Tilleggssikring Høring i virksomheten: sideeffekter - kostnader Beslutning Iverksettelse

24 Grunnsikring Felles forståelse av hvilken grunnleggende sikkerhet som er etablert i virksomheten Trygghet for at informasjonsbehandling har et visst grunnleggende nivå av sikkerhet Oversikt over sikkerhetstiltak på sentrale områder En grunnmur som ekstra sikkerhetstiltak kan bygges på der det er spesielle behov

25 Tiltaksstyrke Høy Lav Tiltaksstyrke Sårbarhet Lav Høy Jf. «control strength» i ISF IRAM2.

26

27 Oversikt

28 Oversikt

29 Nyttige konsepter Grunnsikring Tilleggssikring Tiltaksleverandør Tiltaksstyrke

30 Summeoppgave rundt bordet I deres virksomheter: Har dere strukturert oversikt over sikkerhetstiltakene? Hvis ja kan risikoeierne forstå det og bruke det i sitt arbeid? Kan man velge tilleggssikring hos dere? Hvordan kan Difis tilnærming hjelpe dere videre? minutter

31 Bilde: Colourbox

32 Foranalyse Delaktivitet under risikovurdering Internkontroll i praksis informasjonssikkerhet Jan Sørgård

33 Noen sammenhenger Internkontroll informasjonssikkerhet Etableringsaktiviteter støtter Systematiske aktiviteter Foranalyse (delaktivitet)

34 Etableringsaktiviteter Utforme overordnede styrende dokumenter. Retningslinje Forståelse, aksept og håndtering av risiko

35 Etableringsaktiviteter Felles identifisering av typiske oppgave- og informasjonstyper

36 Systematiske aktiviteter Ledelsens styring og oppfølging Delegere og følge opp gjennom linjen Risikovurdering Foranalyse av ansvarsområde Taktisk oppdeling og gruppering Vurdere behov for risikovurderinger Gjennomføre risikovurdering

37 Foranalyse av ansvarsområde Identifisere hvilke arbeidsoppgaver utføres hvilke typer informasjon kan gi vesentlige konsekvenser ved informasjonssikkerhetsbrudd lover, regler, avtaler mv. med konkrete krav hvilke informasjonssystem o.l. benyttes i arbeidsoppgavene Vurdere potensielt konsekvensnivå på informasjonen, oppgaven samlet og systemene Vurderinger rundt størrelsen på typiske trusselaktører farekilder sårbarheter

38 Foranalyse av ansvarsområde Bør gjøres samtidig: Vurdere relaterte behov fra personopplysningsloven Behandlingsgrunnlag Melding og konsesjon Må følges opp gjennom egne rutiner i virksomheten f.eks. via virksomhetens personvernombud

39 Foranalyse - støtteverktøy Excel-ark med en rekke faner Skal benyttes av risikoeiere ledere / ledergrupper på de fleste nivå rundt om i virksomheten de som har fått delegert et mål- og resultatansvar for et område Kan justeres på virksomhetsnivå før det tas i bruk Enkle tilpasningsmuligheter også for risikoeiere Kan alternativt være inspirasjon til egne lignende støtteverktøy i den enkelte virksomhet

40

41

42

43

44

45

46

47

48 Start Deretter

49 Oppgave (grp. m. 3 personer) Prøv ut Difis støtteverktøy Dere sitter i ledergruppen til sosialseksjon hos Fylkesmannen i midtlandet (FMM) og skal bidra i en foranalyse av to oppgaver (O1 og O2) + system, trusselaktører, farer, sårbarheter Seksjonssjef er alt i gang og har fylt ut noe 1) Diskuter gjennom noen av temaene som skjemaene (fanene) tar opp og fyll inn etter hvert (35 min) Lat som om dere kjenner FMM Bruk hjelpefanen helt til venstre ved behov 2) Hvilke tilpasninger / vesentlige endringer ville dere i virkeligheten vurdert for en versjon hos dere? (10 min)

50 HVORDAN BESKRIVE RISIKO?

51 Utgangspunkt For å velge riktige tiltak må risikoen være klart beskrevet Hvordan velge tiltak for risikoene «Feil i databasen» «Brann» «Virusangrep»

52 Risikobeskrivelse Tre deler: 1. Karakteriser en uønsket hendelse 2. Karakteriser informasjonssikkerhetsbruddet 3. Nevn de mest relevante konsekvenskategoriene

53 Eksempel Risikobeskrivelse Istedenfor «Brann»: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå

54 Risikostørrelse (1) Estimere konsekvens På én eller flere konsekvenskategorier det mest forventede eller vanligste det vi frykter mest eventuelt et tredje alternativ som ligger imellom a og b, men som vi tror kanskje kan gi et høyere risikonivå Estimere tilhørende sannsynlighet På den/de valgte konsekvensen(e) Kombinasjonen av konsekvens og tilhørende sannsynlighet gir risikonivå

55 Risikostørrelse (2) Risikostørrelsen uttrykkes da gjennom: (1) konsekvenskategori (2) konsekvensnivå (3) sannsynlighetsnivå (4) risikonivå

56 Eksempel Risikostørrelse Vi hadde risikoen: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå

57 Eksempel Risikostørrelse (1) Vi hadde risikoen: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå Estimerer konsekvensen for denne konsekvenskategorien til «Moderat» Estimerer sannsynligheten for at Brann i serverrommet fører til at alle IKT-system stopper, som fører til en moderat konsekvens for vårt tjenestenivå til Lav

58 Eksempel Risikostørrelse (2) Risikostørrelsen blir da: Konsekvenskategori: Tjenestenivå Konsekvensnivå: Moderat Sannsynlighetsnivå: Lav Risikonivå: Lav

59 Uttrykke risiko Risikobeskrivelse + Risikostørrelse Tilpasset område og behov En risikobeskrivelse kan ha flere risikostørrelser.

60 Summeoppgave rundt bordet Kan dette gjøre det lettere å tydeliggjøre informasjonssikkerhetsrisikoer? 5 minutter

61 FORESLÅ HÅNDTERING AV RISIKOER

62 Foreslå håndtering av risikoer Forlengelsen av risikovurdering Mandatet styrer hvilke oppgaver som gjennomføres Resultatet av både Risikovurdering og Foreslå håndtering av risikoer er et beslutningsgrunnlag for risikoeier

63 Difis metode Basert på anerkjente metoder Støttespørsmål for å identifisere tiltak Anbefalt med en prosessleder som kjenner metoden og kan drive arbeidet

64 Metodens åtte steg Etablere felles referanseramme 1 Oppdatere analysen 2 Identifisere aktuelle tiltak 3 Vurdere risikoreduserende effekt, kostnad og uheldige sideeffekter 4 Velge håndtering og estimere restrisiko 5 Vurdere midlertidige tiltak 6 Beskrive kvalitet og kunnskapsstyrke 7 Utdype kostnadsestimat 8

65 Risikohåndteringsskjema

66 Gruppeoppgave Vi har risikobeskrivelsen: (1) Ansatte gjør feil (2) Sletter info i tilskuddssystemet (3) Rettssikkerhet, Vårt omdømme Med risikostørrelsen: Konsekvenskategori: Vårt omdømme Konsekvensnivå: Moderat Sannsynlighetsnivå: Moderat Risikonivå: Moderat I risikohåndteringsskjemaet: Identifiser aktuelle tiltak, og angi formålet Unngå, Dele, Forebygge, Oppdage, Reagere, Endre sikkerhetstiltak Vurder risikoreduserende effekt, kostnad og uheldige sideeffekter Høy, Middels, Lav Velg håndtering (og estimer restrisiko) Ja/Nei, og begrunnelse

67 OPPSUMMERING

68 Internkontroll i praksis - informasjonssikkerhet 2016: Fokus på formidling og bruk Kurs Ulike temaer (deler av materialet) og målgrupper Pilotvirksomheter Samlet gruppe for etableringsaktiviteter Enkeltdeler i ulike virksomheter Ta kontakt dersom dette høres interessant ut

69 Internkontroll i praksis - informasjonssikkerhet Alt er tilgjengelig på nettsiden: Internkontroll.infosikkerhet.difi.no Ta kontakt ved spørsmål og tilbakemeldinger infosikkerhet@difi.no Katrine.svendsen@difi.no

70 GOD JUL!

71

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?

Detaljer

Øyvind Grinde, seksjonssjef

Øyvind Grinde, seksjonssjef Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef Brukerreise Helsekort for gravide Navnevalg Foreldrepenger Behandlingstid Digital Agenda Offentlig

Detaljer

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll

Detaljer

Risikovurdering - sett fra ISO og informasjonssikkerhet

Risikovurdering - sett fra ISO og informasjonssikkerhet Risikovurdering - sett fra ISO og informasjonssikkerhet DFØs samarbeidsforum 21.06.2016 Jan Sørgård, Seniorrådgiver Difi BAKGRUNN Internkontroll og risikostyring «god praksis» Rammeverk og standarder:

Detaljer

Aggregering av risiko - behov og utfordringer i risikostyringen

Aggregering av risiko - behov og utfordringer i risikostyringen Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning

Detaljer

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Anbefalte delaktiviteter og dokumentasjon Støttedokument Støttedokument Dette er en oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er laget for å gi støtte under aktivitetene

Detaljer

Anbefalte delaktiviteter og dokumentasjon

Anbefalte delaktiviteter og dokumentasjon Støttedokument Dette er en samlet oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er en punktvis versjon laget for å

Detaljer

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet

Detaljer

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

Oversikt. Remi Longva

Oversikt. Remi Longva Oversikt Remi Longva 2018-09-12 as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know.

Detaljer

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter

Detaljer

Spørreundersøkelse om informasjonssikkerhet

Spørreundersøkelse om informasjonssikkerhet Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i

Detaljer

Internkontroll i praksis (styringssystem/isms)

Internkontroll i praksis (styringssystem/isms) Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke

Detaljer

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Helhetlig arbeid med informasjonssikkerhet. Remi Longva Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke

Detaljer

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner

Detaljer

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide

Detaljer

Sikkert nok - Informasjonssikkerhet som strategi

Sikkert nok - Informasjonssikkerhet som strategi Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007

Detaljer

Kommunikasjon med ledelsen hva kan Difi bidra med?

Kommunikasjon med ledelsen hva kan Difi bidra med? Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS 21.02.2018 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet»

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Interkontroll i praksis - informasjonssikkerhet

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

Orientering om plan for internkontroll for informasjonssikkerhet

Orientering om plan for internkontroll for informasjonssikkerhet Sak 46/2018 Saksfremlegg til styret i Sykehusinnkjøp HF Orientering om plan for internkontroll for informasjonssikkerhet Møtedato: 14. juni 2018 Tidligere behandlet i styret/saksnr. 59/2017, 77/2017 15/2018

Detaljer

Raskere digitalisering med god sikkerhet. Evry

Raskere digitalisering med god sikkerhet. Evry Raskere digitalisering med god sikkerhet Evry 18.03.2019 Zoya Shah Seniorrådgiver Avdeling for digital transformasjon Seksjon for informasjonssikkerhet Hvem er Difi Stortinget Regjeringen Kommunal- og

Detaljer

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra

Detaljer

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Retningslinjer for risikostyring ved HiOA Dato siste revisjon: Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai. NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.2019 Nettverk for informasjonssikkerhet (NIFS) Målsetningen: å

Detaljer

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle): Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens

Detaljer

Risikobasert arbeid med personvern

Risikobasert arbeid med personvern Risikobasert arbeid med personvern Tirsdag 6. november 2018 Grev Wedels plass 9 infosikkerhet@difi.no Velkommen Tidspunkt Tema Foredragsholder 09:30 Kaffe 10:00 Velkommen Svanhild Gundersen - Difi 10:05

Detaljer

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2 Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område

Detaljer

NIFS 9.september 2015

NIFS 9.september 2015 NIFS 9.september 2015 Sikkerhet i innbyggertjenester Balansen mellom tilgjengelighet, integritet og konfidensialitet Dato Dagens agenda Tid Agendapunkt Ansvarlig 09:00 Velkommen Thorbjørn Ellefsen 09:05

Detaljer

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en

Detaljer

Brudd på personopplysningssikkerheten

Brudd på personopplysningssikkerheten Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets

Detaljer

Risikobasert etterlevelse av pvf

Risikobasert etterlevelse av pvf Risikobasert etterlevelse av pvf NIFS-møte 6.11.2018 Jon Holden, Difi Tema Jobbe effektivt og risikobasert med infosikkerhet, pvf og annen regelverksetterlevelse Dvs. effektivt håndtere risiko som er for

Detaljer

Planlegging av øvelser

Planlegging av øvelser Planlegging av øvelser Håkon Styri Seniorrådgiver Seksjon for informasjonssikkerhet og datadeling Målsetning IKT-beredskapsøvelse gjennomføres minst en gang per år 29,2 prosent i 2014 33,3 prosent i 2016

Detaljer

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE Hva vi har fått til og hva gjenstår? Rikke Bødtker Skoe Senior rådgiver 8. Norske arkivmøte 8. april 2019 Foto: Thomas Widerberg

Detaljer

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 ID Spørsmål Svar A Styring og kontroll i virksomheten A.1 Hvilke standarder, rammeverk og

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Møte i nettverk for informasjonssikkerhet - NIFS

Møte i nettverk for informasjonssikkerhet - NIFS Møte i nettverk for informasjonssikkerhet - NIFS 15. februar 2017 Informasjonssikkerhet og universell utforming av IKT. Motstridende hensyn eller gode hjelpere? Agenda: 10:00 Velkommen og nytt fra Difi

Detaljer

Vedlegg B: Behandling i Standardiseringsrådet, DANE

Vedlegg B: Behandling i Standardiseringsrådet, DANE Vedlegg B: Behandling i Standardiseringsrådet, DANE Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-B Oppsummering av høringssvar - DANE Oppdatert forslag til anbefaling - DANE Side 1 av

Detaljer

Høring - Anbefalt standard for transportsikring av epost

Høring - Anbefalt standard for transportsikring av epost Vår dato 1.11.2018 Deres dato Vår referanse 18/00643-57 Deres referanse Saksbehandler: Rune Karlsen Høring - Anbefalt standard for transportsikring av epost På vegne av Kommunal- og moderniseringsdepartementet

Detaljer

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo, Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Politikk for informasjonssikkerhet

Politikk for informasjonssikkerhet Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Etableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016

Etableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016 Etableringsprosjekt Sykehusinnkjøp HF Status og risiko pr. 15.august 2016 Innhold I II Status pr. 15.august 2016 Risikorapportering pr. 15.august 2016 Arbeidsstrømleder rapport uke 33 Status Arbeidsstrøm

Detaljer

Styresak Vedlegg 5. Prosessbeskrivelse risikostyring

Styresak Vedlegg 5. Prosessbeskrivelse risikostyring Styresak 065-2017 Vedlegg 5 Innhold 1. Dokumentets formål... 2 2. Overordnet målsetting... 3 3. Områder som alltid skal risikovurderes... 4 4. Roller og ansvar i risikostyringsprosessen... 4 5. Kunnskaper,

Detaljer

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019 Orden i eget hus + styring og kontroll Hva er informasjonssikkerhet?

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD

Detaljer

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern Versjon 1.0-25.02.2018 Det er krav om innebygget personvern i tråd med personopplysningsloven. Innebygd personvern

Detaljer

Koordinatorskolen. Risiko og risikoforståelse

Koordinatorskolen. Risiko og risikoforståelse Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse Barbro Lugnfors Seksjon for informasjonssikkerhet 18.04.2018 Agenda 18. april Kl. 10:00 Velkommen! v/difi Foredrag v/pst Presentasjon av øvelse v/difi

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte, Metode for identifikasjon av dokumentasjon 8 Norske Arkivmøte, 09.04.2019. Agenda Bakgrunn Resultat - metoden Tilbakemeldinger Veien videre Hvordan lykkes med dette i praksis? Bakgrunn Samfunn i endring

Detaljer

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter) Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter) Innhold Dialog med ledelsen om informasjonssikkerhet: Hva og hvordan Ansvar Sentrale lederoppgaver Kontrollerende del

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai 2013 Side 1 Program Tid Tema Hvem 08:45-09:00 Registrering og kaffe 09:00 09:05 Velkommen Roger Bjerke, avdelingsdirektør Forvaltnings-

Detaljer

Opprettet Opprettet av Petter Gjøstøl Vurdering startet Tiltak besluttet Avsluttet

Opprettet Opprettet av Petter Gjøstøl Vurdering startet Tiltak besluttet Avsluttet ID 774 Status Dato Risikoområde HMS Opprettet 06.05.2019 Opprettet av Petter Gjøstøl Vurdering startet 06.05.2019 Ansvarlig Lene Hoel Tiltak besluttet 06.05.2019 Avsluttet 06.05.2019 Risikovurdering: Risikovurdering

Detaljer

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for Velkommen til Difis høstkonferanse om informasjonssikkerhet! Det er veldig hyggelig å se så mange. Informasjonssikkerhet har hatt et spesielt fokus nå i oktober ifbm sikkerhetsmåneden Men informasjonssikkerhet

Detaljer

HMS-forum 2013. Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger

HMS-forum 2013. Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger HMS-forum 2013 Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger Arild A. Danielsen Risk Manager arild.danielsen@fada.no 1 Risikovurdering Det vanlige er at risiko er et uttrykk

Detaljer

Seksjon for informasjonssikkerhet

Seksjon for informasjonssikkerhet Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Detaljer

Hvordan ha orden på internkontrollen?

Hvordan ha orden på internkontrollen? Hvordan ha orden på internkontrollen? Ola Otterdal Kundeforum 2014 Direktoratet for økonomistyring Side 1 Agenda 1. Kort om DFØs veiledningsmateriell og kompetansetilbud 2. Hva er internkontroll og hva

Detaljer

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 SAK NR 53-2016 Halvårlig risikovurdering, Helseforetakenes senter for pasientreiser ANS per

Detaljer

Rammeverk for risikostyring i Helse Midt-Norge

Rammeverk for risikostyring i Helse Midt-Norge Rammeverk for risikostyring i Helse Midt-Norge Versjon 1.0 Godkjent i ledergruppen Helse Midt-Norge 29.03.16 Innhold Rammeverk for risikostyring i Helse Midt-Norge... 3 Innledning... 3 DEL 1 RAMMEVERK

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Risikovurdering av cxstafettloggen

Risikovurdering av cxstafettloggen Risikovurdering Side 1 av 6 Risikovurdering av cxstafettloggen Haugesund kommune har gjennomført ei risikovurdering av informasjonssikkerheten i forbindelse med plan om oppstart av CX Stafettloggen. I

Detaljer

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni 2016 SAK NR 22-2016 Risikovurdering, internkontroll og avvik Forslag til vedtak: 1. Styret

Detaljer

Styret Helse Sør-Øst RHF 14. desember 2017

Styret Helse Sør-Øst RHF 14. desember 2017 Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. desember 2017 SAK NR 122-2017 ORIENTERINGSSAK - INFORMASJONSSIKKERHET OG PERSONVERN. NY PERSONVERNLOVGIVNING I EU/EØS (GDPR) Forslag til

Detaljer

Veileder: Risikovurdering av informasjonssikkerhet

Veileder: Risikovurdering av informasjonssikkerhet Veileder: Risikovurdering av informasjonssikkerhet Informasjonssikkerhet og risikovurderinger Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd

Detaljer

Ny sikkerhetslov og forskrifter

Ny sikkerhetslov og forskrifter Ny sikkerhetslov og forskrifter Endre Waldal 13.02.19 Innhold Hvorfor ny sikkerhetslov? Kartlegging av virkeområde Hva innebærer det å bli underlagt ny sikkerhetslov? Oppbygning av regelverket Risikovurdering

Detaljer

Kartlegging av data i store virksomheter erfaringer fra Statens vegvesen

Kartlegging av data i store virksomheter erfaringer fra Statens vegvesen Datadelingsforum 29.april 2014 Kartlegging av data i store virksomheter erfaringer fra Statens vegvesen Kartlegging av data i store virksomheter erfaringer fra Statens vegvesen Datadelingsforum = Hva vi

Detaljer

Planlegging av sikkerhetsmåneden i SSB. Tore Eig, sikkerhetsrådgiver

Planlegging av sikkerhetsmåneden i SSB. Tore Eig, sikkerhetsrådgiver Planlegging av sikkerhetsmåneden i SSB Tore Eig, sikkerhetsrådgiver 1 Kort om SSB Statlig virksomhet med ansvar for innsamling, bearbeiding og formidling av statistikk Omtrent 350 statistikker Omtrent

Detaljer

Informasjonsmøte Samarbeidsforum internkontroll

Informasjonsmøte Samarbeidsforum internkontroll Informasjonsmøte Samarbeidsforum internkontroll 10. oktober 2013 Direktoratet for økonomistyring Velkommen og introduksjon v/ingrid Buhaug Brænden Side 2 Program Side 3 Hvorfor bør alle statlige virksomheter

Detaljer

Samordning og prosess

Samordning og prosess Samordning og prosess Sentrale felles element i internkontrollsystem for HMS/skolemiljø: a. Involvering av arbeidstakere/elever b. Oversikt over lover og regelverk c. Opplæring/kompetanse d. Oversikt over

Detaljer

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Denne veilederen tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram, og gir råd til hvordan man kan utvikle sikkerhetskulturen.

Detaljer

Tidstyvinnsatsen hva nå?

Tidstyvinnsatsen hva nå? Tidstyvinnsatsen hva nå? Erfaringsseminar 3.februar 2016 Agenda Kl. 10.00 Velkommen ved direktør Ingelin Killengreen, Difi Kl. 10.10 Chaffey «Den videre tidstyvinnsatsen» ved statssekretær i KMD Paul Kl.

Detaljer

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Denne veilederen tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram, og gir råd til hvordan man kan utvikle sikkerhetskulturen.

Detaljer

Metode for identifikasjon av dokumentasjon. Presentasjon i Skate

Metode for identifikasjon av dokumentasjon. Presentasjon i Skate Metode for identifikasjon av dokumentasjon Presentasjon i Skate 13.03.2019. Agenda Bakgrunn Hva er gjort i prosjektet Resultat Tilbakemeldinger Gevinster Veien videre Bakgrunn Samfunn i endring Informasjon

Detaljer

Krav til utførelse av Sikringsrisikovurdering

Krav til utførelse av Sikringsrisikovurdering Krav til utførelse av Sikringsrisikovurdering 1. Hensikt Forebygging av viljeshandlinger mot jernbanen handler om å beskytte de fysiske objektene vi har ansvaret for, informasjonen og mennesker som reiser

Detaljer

Risiko og risikoforståelse

Risiko og risikoforståelse Risiko og risikoforståelse 26.11.2013 Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva er hensikten

Detaljer

Policy for Antihvitvask

Policy for Antihvitvask Intern 1/ 5 Policy for Antihvitvask Besluttet av Styret i Sbanken ASA Dato for beslutning 13. desember 2018 Frekvens beslutning Årlig Erstatter Policy datert 01.11.2017 Dokumenteier Leder Kunde Spesialist,

Detaljer

Risikovurdering av elektriske anlegg

Risikovurdering av elektriske anlegg Risikovurdering av elektriske anlegg NEK Elsikkerhetskonferanse : 9 november 2011 NK 64 AG risiko Fel 16 Hvordan gjør de det? Definisjon av fare Handling eller forhold som kan føre til en uønsket hendelse

Detaljer

RISIKOANALYSE (Grovanalyse)

RISIKOANALYSE (Grovanalyse) RISIKOANALYSE (Grovanalyse) Mars Side 1 av 7 Risikoanalyse(Grovanalyse) Ifølge Norsk Standard (NS 5814) er begrepet risiko definert som: «Uttrykk for den fare som uønskede hendelser representerer for mennesker,

Detaljer

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Styringsdokument for personvern, informasjonssikkerhet og beredskap Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens

Detaljer

Forslag til tiltak basert på lærdommer fra prosjektet

Forslag til tiltak basert på lærdommer fra prosjektet Forslag til tiltak basert på lærdommer fra prosjektet 1 Utvikle en merkevare for klinikken og bruk tid på å gjøre den kjent 6 Forklar hvorfor de ulike aktivitetene er viktige 2 Bygg en kommunikasjonsstrategi

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

FELLES KOMPETANSELØFT I STATEN

FELLES KOMPETANSELØFT I STATEN Direktoratet for forvaltning og IKT tilbyr et felles digitalt opplæringstilbud der vi skal utvikle, dele og gjenbruke de beste digitale læringsressursene. FELLES KOMPETANSELØFT I STATEN Difi skal i samarbeid

Detaljer

Aktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse.

Aktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse. RISIKOANALYSE OG FAREREDUSERENDE TILTAK Hensikt Å etablere en skriftlig oversikt på hva som kan gå galt med tilhørende sannsynlighetsgrad for at det skjer med gradering av konsekvens. Videre fastlegge

Detaljer

Tilsiktede uønskede handlinger

Tilsiktede uønskede handlinger Tilsiktede uønskede handlinger Innledning til øvelse NIFS 2016 Hva skal jeg snakke om? Hendelsesforløp Sett fra virksomheten Sett fra trusselaktøren ISO/IEC 27035 Beredskapsplaner Beredskapsorganisasjon

Detaljer