NIFS 16. desember 2015
|
|
- Asbjørn Marthinsen
- 7 år siden
- Visninger:
Transkript
1 NIFS 16. desember 2015 Internkontroll i praksis fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene?
2 Dagens agenda Tid Agendapunkt Ansvarlig 10:00 Velkommen og nytt fra Difi Katrine Aam Svendsen / Caroline Ringstad Schultz / Håkon Styri 10:15 Nytt fra den enkelte virksomhet Alle 10:30 Difis veileder «Internkontroll i praksis informasjonssikkerhet» Katrine Aam Svendsen 10:50 Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet? 11:30 Lunsj Remi Longva 12:15 Foranalyse Jan Sørgård 13:30 Kake og kaffe 13:45 Hvordan beskrive risiko? Katrine Aam Svendsen 14:00 Foreslå håndtering av risiko Katrine Aam Svendsen 14:45 Oppsummering og avslutning Katrine Aam Svendsen 15:00 God jul!
3 NYTT FRA DIFI
4 Nytt fra Difi Siden sist: Veileder i internkontroll Veileder for planlegging og gjennomføring av IKT-øvelser Nye eksempler på opplæringstiltak i delingsoversikten Lansert dilemmatrening Under arbeid: Versjon tre av veileder i kompetanse- og kulturutvikling Sikkerhetsmåned 2016 Øvelse 2016 Planlegger prosjekter for sikkerhetsarkitektur og innebygd informasjonssikkerhet
5 Møtedatoer februar Tema: Hendelsesbeskrivelser 27. april Øvelse 7. september 23. november Kom gjerne med forslag til temaer.
6 NIFS Øvelse 2016 Gjennomføres 27. april 2016 Viktig aktivitet første kvartal 2016: Øvelsesplanlegging Vi ønsker en håndfull deltagere i arbeidsgruppe Vi regner med at det blir tre arbeidsmøter før øvelsen Vi tar utgangspunkt i øvelsesveilederen Det blir mulig å delta i planlegging med videokonferanse Interessert? Meld fra til hakon.styri@difi.no
7 Difis veiledningsmateriell INTERNKONTROLL I PRAKSIS - INFORMASJONSSIKKERHET
8 Difis veiledningsmateriell Nettbasert Målsetninger: Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler
9 Difis forklaringsmodell Hovedaktiviteter internkontroll informasjonssikkerhet
10 Oppbygning av veilederen Etableringsaktiviteter Systematiske aktiviteter Utdypninger av enkelte delaktiviteter Verktøy Maler Eksempler Bakgrunnsstoff Godt å vite og Nyttig
11 Betaversjon 7.0 Publisert i dag Siste betaversjon før Versjon 1.0 Oppdatert «Gjennomføre risikovurderinger» og «Overordnede styrende dokumenter» Inkludert eksempler på retningslinjer Nye verktøy for: Oversikt over tiltak Foranalyse
12 Pragmatisk Risikohåndtering
13 Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet?
14 Sikkerhetsnivå Et definert sett av sikkerhetstiltak Jf. «security control baseline» hos NIST.
15 Grunnsikring Et felles grunnleggende sikkerhetsnivå for sentrale områder i en virksomhet
16 Virksomhetsprosess A Sys A Virksomhetsprosess B Sys B Virksomhetsprosess C Fellessystem 1 Fellessystem 2
17 Virksomhetsprosess A Sys A Risikoeier Virksomhetsprosess B Sys B Virksomhetsprosess C Fellessystem 1 Systemeier fellessystem Fellessystem 2
18 Risikoeier Vurderer risiko Har behov Tiltaksleverandør Har fagekspertise Tilbyr sikkerhetstiltak Virksomhetsprosess A Sys A
19 HR Bygg/fysisk IKT-drift Etc I tilfeller hvor sikkerhetstiltakene leveres av eksterne bør det alltid være en tiltaksansvarlig i virksomheten
20 Tiltaksleverandør Ansvarlig for sikkerhetstiltak Utformer, iverksetter og vedlikeholder Tilbyr sikkerhetstiltak som dekker virksomhetens behov Rapporterer status på sikkerhetstiltak Informerer risikoeiere om endringer som påvirker risiko Jf. «common control provider» hos NIST.
21 IKT-drift en sentral tiltaksleverandør Virksomhetsprosess A Virksomhetsprosess B Sys A Sys B Sys C IKT-operasjonsmiljø
22 Tilleggsikring Virksomhetsprosess A Sys A Grunnsikring Tilleggsikring knyttes til arbeidsoppgaver eller informasjonssystemer
23 Etablere grunnsikring Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Minimumsnivå: kjente behov + god praksis Risikovurdering + risikohåndtering av 2-4 pilotområder Velge: Grunnsikring Tilleggssikring Høring i virksomheten: sideeffekter - kostnader Beslutning Iverksettelse
24 Grunnsikring Felles forståelse av hvilken grunnleggende sikkerhet som er etablert i virksomheten Trygghet for at informasjonsbehandling har et visst grunnleggende nivå av sikkerhet Oversikt over sikkerhetstiltak på sentrale områder En grunnmur som ekstra sikkerhetstiltak kan bygges på der det er spesielle behov
25 Tiltaksstyrke Høy Lav Tiltaksstyrke Sårbarhet Lav Høy Jf. «control strength» i ISF IRAM2.
26
27 Oversikt
28 Oversikt
29 Nyttige konsepter Grunnsikring Tilleggssikring Tiltaksleverandør Tiltaksstyrke
30 Summeoppgave rundt bordet I deres virksomheter: Har dere strukturert oversikt over sikkerhetstiltakene? Hvis ja kan risikoeierne forstå det og bruke det i sitt arbeid? Kan man velge tilleggssikring hos dere? Hvordan kan Difis tilnærming hjelpe dere videre? minutter
31 Bilde: Colourbox
32 Foranalyse Delaktivitet under risikovurdering Internkontroll i praksis informasjonssikkerhet Jan Sørgård
33 Noen sammenhenger Internkontroll informasjonssikkerhet Etableringsaktiviteter støtter Systematiske aktiviteter Foranalyse (delaktivitet)
34 Etableringsaktiviteter Utforme overordnede styrende dokumenter. Retningslinje Forståelse, aksept og håndtering av risiko
35 Etableringsaktiviteter Felles identifisering av typiske oppgave- og informasjonstyper
36 Systematiske aktiviteter Ledelsens styring og oppfølging Delegere og følge opp gjennom linjen Risikovurdering Foranalyse av ansvarsområde Taktisk oppdeling og gruppering Vurdere behov for risikovurderinger Gjennomføre risikovurdering
37 Foranalyse av ansvarsområde Identifisere hvilke arbeidsoppgaver utføres hvilke typer informasjon kan gi vesentlige konsekvenser ved informasjonssikkerhetsbrudd lover, regler, avtaler mv. med konkrete krav hvilke informasjonssystem o.l. benyttes i arbeidsoppgavene Vurdere potensielt konsekvensnivå på informasjonen, oppgaven samlet og systemene Vurderinger rundt størrelsen på typiske trusselaktører farekilder sårbarheter
38 Foranalyse av ansvarsområde Bør gjøres samtidig: Vurdere relaterte behov fra personopplysningsloven Behandlingsgrunnlag Melding og konsesjon Må følges opp gjennom egne rutiner i virksomheten f.eks. via virksomhetens personvernombud
39 Foranalyse - støtteverktøy Excel-ark med en rekke faner Skal benyttes av risikoeiere ledere / ledergrupper på de fleste nivå rundt om i virksomheten de som har fått delegert et mål- og resultatansvar for et område Kan justeres på virksomhetsnivå før det tas i bruk Enkle tilpasningsmuligheter også for risikoeiere Kan alternativt være inspirasjon til egne lignende støtteverktøy i den enkelte virksomhet
40
41
42
43
44
45
46
47
48 Start Deretter
49 Oppgave (grp. m. 3 personer) Prøv ut Difis støtteverktøy Dere sitter i ledergruppen til sosialseksjon hos Fylkesmannen i midtlandet (FMM) og skal bidra i en foranalyse av to oppgaver (O1 og O2) + system, trusselaktører, farer, sårbarheter Seksjonssjef er alt i gang og har fylt ut noe 1) Diskuter gjennom noen av temaene som skjemaene (fanene) tar opp og fyll inn etter hvert (35 min) Lat som om dere kjenner FMM Bruk hjelpefanen helt til venstre ved behov 2) Hvilke tilpasninger / vesentlige endringer ville dere i virkeligheten vurdert for en versjon hos dere? (10 min)
50 HVORDAN BESKRIVE RISIKO?
51 Utgangspunkt For å velge riktige tiltak må risikoen være klart beskrevet Hvordan velge tiltak for risikoene «Feil i databasen» «Brann» «Virusangrep»
52 Risikobeskrivelse Tre deler: 1. Karakteriser en uønsket hendelse 2. Karakteriser informasjonssikkerhetsbruddet 3. Nevn de mest relevante konsekvenskategoriene
53 Eksempel Risikobeskrivelse Istedenfor «Brann»: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå
54 Risikostørrelse (1) Estimere konsekvens På én eller flere konsekvenskategorier det mest forventede eller vanligste det vi frykter mest eventuelt et tredje alternativ som ligger imellom a og b, men som vi tror kanskje kan gi et høyere risikonivå Estimere tilhørende sannsynlighet På den/de valgte konsekvensen(e) Kombinasjonen av konsekvens og tilhørende sannsynlighet gir risikonivå
55 Risikostørrelse (2) Risikostørrelsen uttrykkes da gjennom: (1) konsekvenskategori (2) konsekvensnivå (3) sannsynlighetsnivå (4) risikonivå
56 Eksempel Risikostørrelse Vi hadde risikoen: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå
57 Eksempel Risikostørrelse (1) Vi hadde risikoen: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå Estimerer konsekvensen for denne konsekvenskategorien til «Moderat» Estimerer sannsynligheten for at Brann i serverrommet fører til at alle IKT-system stopper, som fører til en moderat konsekvens for vårt tjenestenivå til Lav
58 Eksempel Risikostørrelse (2) Risikostørrelsen blir da: Konsekvenskategori: Tjenestenivå Konsekvensnivå: Moderat Sannsynlighetsnivå: Lav Risikonivå: Lav
59 Uttrykke risiko Risikobeskrivelse + Risikostørrelse Tilpasset område og behov En risikobeskrivelse kan ha flere risikostørrelser.
60 Summeoppgave rundt bordet Kan dette gjøre det lettere å tydeliggjøre informasjonssikkerhetsrisikoer? 5 minutter
61 FORESLÅ HÅNDTERING AV RISIKOER
62 Foreslå håndtering av risikoer Forlengelsen av risikovurdering Mandatet styrer hvilke oppgaver som gjennomføres Resultatet av både Risikovurdering og Foreslå håndtering av risikoer er et beslutningsgrunnlag for risikoeier
63 Difis metode Basert på anerkjente metoder Støttespørsmål for å identifisere tiltak Anbefalt med en prosessleder som kjenner metoden og kan drive arbeidet
64 Metodens åtte steg Etablere felles referanseramme 1 Oppdatere analysen 2 Identifisere aktuelle tiltak 3 Vurdere risikoreduserende effekt, kostnad og uheldige sideeffekter 4 Velge håndtering og estimere restrisiko 5 Vurdere midlertidige tiltak 6 Beskrive kvalitet og kunnskapsstyrke 7 Utdype kostnadsestimat 8
65 Risikohåndteringsskjema
66 Gruppeoppgave Vi har risikobeskrivelsen: (1) Ansatte gjør feil (2) Sletter info i tilskuddssystemet (3) Rettssikkerhet, Vårt omdømme Med risikostørrelsen: Konsekvenskategori: Vårt omdømme Konsekvensnivå: Moderat Sannsynlighetsnivå: Moderat Risikonivå: Moderat I risikohåndteringsskjemaet: Identifiser aktuelle tiltak, og angi formålet Unngå, Dele, Forebygge, Oppdage, Reagere, Endre sikkerhetstiltak Vurder risikoreduserende effekt, kostnad og uheldige sideeffekter Høy, Middels, Lav Velg håndtering (og estimer restrisiko) Ja/Nei, og begrunnelse
67 OPPSUMMERING
68 Internkontroll i praksis - informasjonssikkerhet 2016: Fokus på formidling og bruk Kurs Ulike temaer (deler av materialet) og målgrupper Pilotvirksomheter Samlet gruppe for etableringsaktiviteter Enkeltdeler i ulike virksomheter Ta kontakt dersom dette høres interessant ut
69 Internkontroll i praksis - informasjonssikkerhet Alt er tilgjengelig på nettsiden: Internkontroll.infosikkerhet.difi.no Ta kontakt ved spørsmål og tilbakemeldinger infosikkerhet@difi.no Katrine.svendsen@difi.no
70 GOD JUL!
71
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerØyvind Grinde, seksjonssjef
Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef Brukerreise Helsekort for gravide Navnevalg Foreldrepenger Behandlingstid Digital Agenda Offentlig
DetaljerSikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet
Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet DFØs samarbeidsforum 9.9.2015 Jan Sørgård, seniorrådgiver Difi infosikkerhet.difi.no Veiledningsmateriellet Internkontroll
DetaljerRisikovurdering - sett fra ISO og informasjonssikkerhet
Risikovurdering - sett fra ISO og informasjonssikkerhet DFØs samarbeidsforum 21.06.2016 Jan Sørgård, Seniorrådgiver Difi BAKGRUNN Internkontroll og risikostyring «god praksis» Rammeverk og standarder:
DetaljerAggregering av risiko - behov og utfordringer i risikostyringen
Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning
DetaljerAnbefalte delaktiviteter og dokumentasjon Støttedokument
Støttedokument Dette er en oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er laget for å gi støtte under aktivitetene
DetaljerAnbefalte delaktiviteter og dokumentasjon
Støttedokument Dette er en samlet oversikt over de delaktiviteter og den dokumentasjon Difi anbefaler for internkontroll på informasjonssikkerhetsområdet. Oversikten er en punktvis versjon laget for å
DetaljerGrunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerOversikt. Remi Longva
Oversikt Remi Longva 2018-09-12 as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know.
DetaljerFå oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling
Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter
DetaljerSpørreundersøkelse om informasjonssikkerhet
Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerInternkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet
Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet Hva er informasjonssikkerhet? CIA Seksjon for informasjonssikkerhet Arbeide
DetaljerSikkert nok - Informasjonssikkerhet som strategi
Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014 C IA Nasjonal strategi for informasjonssikkerhet 2003 2007
DetaljerKommunikasjon med ledelsen hva kan Difi bidra med?
Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS 21.02.2018 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet»
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerGrunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen Oppdatert: 7.6.2017 Interkontroll i praksis - informasjonssikkerhet
DetaljerDifis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no
Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»
DetaljerOrientering om plan for internkontroll for informasjonssikkerhet
Sak 46/2018 Saksfremlegg til styret i Sykehusinnkjøp HF Orientering om plan for internkontroll for informasjonssikkerhet Møtedato: 14. juni 2018 Tidligere behandlet i styret/saksnr. 59/2017, 77/2017 15/2018
DetaljerRaskere digitalisering med god sikkerhet. Evry
Raskere digitalisering med god sikkerhet Evry 18.03.2019 Zoya Shah Seniorrådgiver Avdeling for digital transformasjon Seksjon for informasjonssikkerhet Hvem er Difi Stortinget Regjeringen Kommunal- og
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerDifis veiledningsmateriell, ISO 27001 og Normen
Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser
DetaljerNIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.
NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.2019 Nettverk for informasjonssikkerhet (NIFS) Målsetningen: å
DetaljerOm respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):
Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens
DetaljerRisikobasert arbeid med personvern
Risikobasert arbeid med personvern Tirsdag 6. november 2018 Grev Wedels plass 9 infosikkerhet@difi.no Velkommen Tidspunkt Tema Foredragsholder 09:30 Kaffe 10:00 Velkommen Svanhild Gundersen - Difi 10:05
Detaljer1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2
Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område
DetaljerNIFS 9.september 2015
NIFS 9.september 2015 Sikkerhet i innbyggertjenester Balansen mellom tilgjengelighet, integritet og konfidensialitet Dato Dagens agenda Tid Agendapunkt Ansvarlig 09:00 Velkommen Thorbjørn Ellefsen 09:05
DetaljerInformasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet
Informasjonssikkerhet og anskaffelser Svanhild Gundersen svanhild.gundersen@difi.no Seniorrådgiver Seksjon for informasjonssikkerhet 19.06.2018 Kompetansemiljø for informasjonssikkerhet Arbeide for en
DetaljerBrudd på personopplysningssikkerheten
Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets
DetaljerRisikobasert etterlevelse av pvf
Risikobasert etterlevelse av pvf NIFS-møte 6.11.2018 Jon Holden, Difi Tema Jobbe effektivt og risikobasert med infosikkerhet, pvf og annen regelverksetterlevelse Dvs. effektivt håndtere risiko som er for
DetaljerPlanlegging av øvelser
Planlegging av øvelser Håkon Styri Seniorrådgiver Seksjon for informasjonssikkerhet og datadeling Målsetning IKT-beredskapsøvelse gjennomføres minst en gang per år 29,2 prosent i 2014 33,3 prosent i 2016
DetaljerINTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE
INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE Hva vi har fått til og hva gjenstår? Rikke Bødtker Skoe Senior rådgiver 8. Norske arkivmøte 8. april 2019 Foto: Thomas Widerberg
DetaljerUndersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4
Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 ID Spørsmål Svar A Styring og kontroll i virksomheten A.1 Hvilke standarder, rammeverk og
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerMøte i nettverk for informasjonssikkerhet - NIFS
Møte i nettverk for informasjonssikkerhet - NIFS 15. februar 2017 Informasjonssikkerhet og universell utforming av IKT. Motstridende hensyn eller gode hjelpere? Agenda: 10:00 Velkommen og nytt fra Difi
DetaljerVedlegg B: Behandling i Standardiseringsrådet, DANE
Vedlegg B: Behandling i Standardiseringsrådet, DANE Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-B Oppsummering av høringssvar - DANE Oppdatert forslag til anbefaling - DANE Side 1 av
DetaljerHøring - Anbefalt standard for transportsikring av epost
Vår dato 1.11.2018 Deres dato Vår referanse 18/00643-57 Deres referanse Saksbehandler: Rune Karlsen Høring - Anbefalt standard for transportsikring av epost På vegne av Kommunal- og moderniseringsdepartementet
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
DetaljerVeiledning- policy for internkontroll
Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerEtableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016
Etableringsprosjekt Sykehusinnkjøp HF Status og risiko pr. 15.august 2016 Innhold I II Status pr. 15.august 2016 Risikorapportering pr. 15.august 2016 Arbeidsstrømleder rapport uke 33 Status Arbeidsstrøm
DetaljerStyresak Vedlegg 5. Prosessbeskrivelse risikostyring
Styresak 065-2017 Vedlegg 5 Innhold 1. Dokumentets formål... 2 2. Overordnet målsetting... 3 3. Områder som alltid skal risikovurderes... 4 4. Roller og ansvar i risikostyringsprosessen... 4 5. Kunnskaper,
DetaljerOrden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.
Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15. Oktober 2019 Orden i eget hus + styring og kontroll Hva er informasjonssikkerhet?
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerKvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern
Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern Versjon 1.0-25.02.2018 Det er krav om innebygget personvern i tråd med personopplysningsloven. Innebygd personvern
DetaljerKoordinatorskolen. Risiko og risikoforståelse
Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva
DetaljerStyringssystem for informasjonssikkerhet et topplederansvar
Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering
DetaljerNIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet
NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse Barbro Lugnfors Seksjon for informasjonssikkerhet 18.04.2018 Agenda 18. april Kl. 10:00 Velkommen! v/difi Foredrag v/pst Presentasjon av øvelse v/difi
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerMetode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,
Metode for identifikasjon av dokumentasjon 8 Norske Arkivmøte, 09.04.2019. Agenda Bakgrunn Resultat - metoden Tilbakemeldinger Veien videre Hvordan lykkes med dette i praksis? Bakgrunn Samfunn i endring
DetaljerFagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)
Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter) Innhold Dialog med ledelsen om informasjonssikkerhet: Hva og hvordan Ansvar Sentrale lederoppgaver Kontrollerende del
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerStilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen
Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført
DetaljerNytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring
Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai 2013 Side 1 Program Tid Tema Hvem 08:45-09:00 Registrering og kaffe 09:00 09:05 Velkommen Roger Bjerke, avdelingsdirektør Forvaltnings-
DetaljerOpprettet Opprettet av Petter Gjøstøl Vurdering startet Tiltak besluttet Avsluttet
ID 774 Status Dato Risikoområde HMS Opprettet 06.05.2019 Opprettet av Petter Gjøstøl Vurdering startet 06.05.2019 Ansvarlig Lene Hoel Tiltak besluttet 06.05.2019 Avsluttet 06.05.2019 Risikovurdering: Risikovurdering
DetaljerStyringssystem for informasjonssikkerhet
Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerInformasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for
Velkommen til Difis høstkonferanse om informasjonssikkerhet! Det er veldig hyggelig å se så mange. Informasjonssikkerhet har hatt et spesielt fokus nå i oktober ifbm sikkerhetsmåneden Men informasjonssikkerhet
DetaljerHMS-forum 2013. Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger
HMS-forum 2013 Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger Arild A. Danielsen Risk Manager arild.danielsen@fada.no 1 Risikovurdering Det vanlige er at risiko er et uttrykk
DetaljerSeksjon for informasjonssikkerhet
Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.
DetaljerHvordan ha orden på internkontrollen?
Hvordan ha orden på internkontrollen? Ola Otterdal Kundeforum 2014 Direktoratet for økonomistyring Side 1 Agenda 1. Kort om DFØs veiledningsmateriell og kompetansetilbud 2. Hva er internkontroll og hva
DetaljerHøringssvar - Forslag til ny pasientjournallov og ny helseregisterlov
Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag
DetaljerNASJONAL SIKKERHETSMYNDIGHET
OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden
DetaljerSaksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 SAK NR 53-2016 Halvårlig risikovurdering, Helseforetakenes senter for pasientreiser ANS per
DetaljerRammeverk for risikostyring i Helse Midt-Norge
Rammeverk for risikostyring i Helse Midt-Norge Versjon 1.0 Godkjent i ledergruppen Helse Midt-Norge 29.03.16 Innhold Rammeverk for risikostyring i Helse Midt-Norge... 3 Innledning... 3 DEL 1 RAMMEVERK
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerRisikovurdering av cxstafettloggen
Risikovurdering Side 1 av 6 Risikovurdering av cxstafettloggen Haugesund kommune har gjennomført ei risikovurdering av informasjonssikkerheten i forbindelse med plan om oppstart av CX Stafettloggen. I
DetaljerStyret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni 2016 SAK NR 22-2016 Risikovurdering, internkontroll og avvik Forslag til vedtak: 1. Styret
DetaljerStyret Helse Sør-Øst RHF 14. desember 2017
Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. desember 2017 SAK NR 122-2017 ORIENTERINGSSAK - INFORMASJONSSIKKERHET OG PERSONVERN. NY PERSONVERNLOVGIVNING I EU/EØS (GDPR) Forslag til
DetaljerVeileder: Risikovurdering av informasjonssikkerhet
Veileder: Risikovurdering av informasjonssikkerhet Informasjonssikkerhet og risikovurderinger Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd
DetaljerNy sikkerhetslov og forskrifter
Ny sikkerhetslov og forskrifter Endre Waldal 13.02.19 Innhold Hvorfor ny sikkerhetslov? Kartlegging av virkeområde Hva innebærer det å bli underlagt ny sikkerhetslov? Oppbygning av regelverket Risikovurdering
DetaljerKartlegging av data i store virksomheter erfaringer fra Statens vegvesen
Datadelingsforum 29.april 2014 Kartlegging av data i store virksomheter erfaringer fra Statens vegvesen Kartlegging av data i store virksomheter erfaringer fra Statens vegvesen Datadelingsforum = Hva vi
DetaljerPlanlegging av sikkerhetsmåneden i SSB. Tore Eig, sikkerhetsrådgiver
Planlegging av sikkerhetsmåneden i SSB Tore Eig, sikkerhetsrådgiver 1 Kort om SSB Statlig virksomhet med ansvar for innsamling, bearbeiding og formidling av statistikk Omtrent 350 statistikker Omtrent
DetaljerInformasjonsmøte Samarbeidsforum internkontroll
Informasjonsmøte Samarbeidsforum internkontroll 10. oktober 2013 Direktoratet for økonomistyring Velkommen og introduksjon v/ingrid Buhaug Brænden Side 2 Program Side 3 Hvorfor bør alle statlige virksomheter
DetaljerSamordning og prosess
Samordning og prosess Sentrale felles element i internkontrollsystem for HMS/skolemiljø: a. Involvering av arbeidstakere/elever b. Oversikt over lover og regelverk c. Opplæring/kompetanse d. Oversikt over
DetaljerVeileder i kompetanse- og kulturutvikling innen informasjonssikkerhet
Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Denne veilederen tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram, og gir råd til hvordan man kan utvikle sikkerhetskulturen.
DetaljerTidstyvinnsatsen hva nå?
Tidstyvinnsatsen hva nå? Erfaringsseminar 3.februar 2016 Agenda Kl. 10.00 Velkommen ved direktør Ingelin Killengreen, Difi Kl. 10.10 Chaffey «Den videre tidstyvinnsatsen» ved statssekretær i KMD Paul Kl.
DetaljerVeileder i kompetanse- og kulturutvikling innen informasjonssikkerhet
Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Denne veilederen tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram, og gir råd til hvordan man kan utvikle sikkerhetskulturen.
DetaljerMetode for identifikasjon av dokumentasjon. Presentasjon i Skate
Metode for identifikasjon av dokumentasjon Presentasjon i Skate 13.03.2019. Agenda Bakgrunn Hva er gjort i prosjektet Resultat Tilbakemeldinger Gevinster Veien videre Bakgrunn Samfunn i endring Informasjon
DetaljerKrav til utførelse av Sikringsrisikovurdering
Krav til utførelse av Sikringsrisikovurdering 1. Hensikt Forebygging av viljeshandlinger mot jernbanen handler om å beskytte de fysiske objektene vi har ansvaret for, informasjonen og mennesker som reiser
DetaljerRisiko og risikoforståelse
Risiko og risikoforståelse 26.11.2013 Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva er hensikten
DetaljerPolicy for Antihvitvask
Intern 1/ 5 Policy for Antihvitvask Besluttet av Styret i Sbanken ASA Dato for beslutning 13. desember 2018 Frekvens beslutning Årlig Erstatter Policy datert 01.11.2017 Dokumenteier Leder Kunde Spesialist,
DetaljerRisikovurdering av elektriske anlegg
Risikovurdering av elektriske anlegg NEK Elsikkerhetskonferanse : 9 november 2011 NK 64 AG risiko Fel 16 Hvordan gjør de det? Definisjon av fare Handling eller forhold som kan føre til en uønsket hendelse
DetaljerRISIKOANALYSE (Grovanalyse)
RISIKOANALYSE (Grovanalyse) Mars Side 1 av 7 Risikoanalyse(Grovanalyse) Ifølge Norsk Standard (NS 5814) er begrepet risiko definert som: «Uttrykk for den fare som uønskede hendelser representerer for mennesker,
DetaljerStyringsdokument for personvern, informasjonssikkerhet og beredskap
Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens
DetaljerForslag til tiltak basert på lærdommer fra prosjektet
Forslag til tiltak basert på lærdommer fra prosjektet 1 Utvikle en merkevare for klinikken og bruk tid på å gjøre den kjent 6 Forklar hvorfor de ulike aktivitetene er viktige 2 Bygg en kommunikasjonsstrategi
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerFELLES KOMPETANSELØFT I STATEN
Direktoratet for forvaltning og IKT tilbyr et felles digitalt opplæringstilbud der vi skal utvikle, dele og gjenbruke de beste digitale læringsressursene. FELLES KOMPETANSELØFT I STATEN Difi skal i samarbeid
DetaljerAktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse.
RISIKOANALYSE OG FAREREDUSERENDE TILTAK Hensikt Å etablere en skriftlig oversikt på hva som kan gå galt med tilhørende sannsynlighetsgrad for at det skjer med gradering av konsekvens. Videre fastlegge
DetaljerTilsiktede uønskede handlinger
Tilsiktede uønskede handlinger Innledning til øvelse NIFS 2016 Hva skal jeg snakke om? Hendelsesforløp Sett fra virksomheten Sett fra trusselaktøren ISO/IEC 27035 Beredskapsplaner Beredskapsorganisasjon
Detaljer