Seksjon for informasjonssikkerhet

Transkript

1 Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Tiltak 0.5 i handlingsplanen til Nasjonal strategi for informasjonssikkerhet. [email protected]

2 Handlingsplan for informasjonssikkerhet i statsforvaltningen (utkast)

3

4

5 eforvaltningsforskriften 15 Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko

6

7 Difis veiledningsmateriell (1) internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Forklare «Internkontroll i praksis informasjonssikkerhet» - Basert på ISO/IEC Dekke all informasjonsbehandling - med utgangspunkt i eforvaltningsforskriften - sikre inkludering av annet relevant regelverk

8 Difis veiledningsmateriell (2) Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler Synliggjøre tilsvarende i andres veiledninger

9

10 Hvorfor et elæringsprogram rettet bare mot ledere?

11 One size does not fit all Ledelsen Brukerne (interne) Brukerne (eksterne) Forankring Leverandører Driftsteknikere Utviklere

12

13 produsere kurs etablere en plattform etablere et fagmiljø

14 E-læringstilbudet I dag Å starte i staten Sats Snakk om utvikling Får Walter lov? Helt sjef! Kommer våren 2015 Innsyn Finn veien Er det sikkert? Kommer i 2016 Klart språk Offentlige anskaffelser og anskaffelsesprosessen Den vanskelige samtalen

15

16 Fokus i programmet Lederansvar Positivitet Lønnsomhet Mer enn konfidensialitet

17 Modulene i programmet Informasjonssikkerhet lønner seg Jobb smart med informasjonssikkerhet God virksomhetsstyring Tonen på toppen Digitalisering og sikkerhet ditt ansvar i digitaliseringsprosjekter Informasjonssikkerhet gir muligheter

18 Målgruppe Veiledningsmateriellet er primært rettet mot informasjonssikkerhetsansvarlige

19

20 Informasjonssikkerhet i korte trekk Alle virksomheter skal nå noen mål For å få til dette informasjonsbehandling Hvordan vet vi at informasjonsbehandlingen og tilhørende IKT-systemer er innrettet slik at vi når målene? Hvordan vet vi at vi etterlever lover og regler? Tiltakene er risikobasert Det må være riktig balanse mellom konfidensialitet, integritet og tilgjengelighet

21 Informasjonssikkerhet lønner seg Modul 1 film 1

22 Jobb smart med informasjonssikkerhet

23 Internkontroll i offentlige virksomheter Overordnede føringer: Økonomireglementet i staten Kommuneloven Samtidig: Andre lover og regler gir noen rammer - Ingen fasit på hvordan man innordner internkontrollen

24 Internkontroll på informasjonssikkerhetsområdet må tilpasses virksomhetens øvrige internkontroll Prosesser og aktiviteter bør gjenbrukes Bør integreres med virksomhetens årshjul Organisering av infosikkerhetsarbeidet

25 God virksomhetsstyring

26 Tonen på toppen

27 Sikkerhetskultur og tonen på toppen God informasjonssikkerhet betinger god sikkerhetskultur Ansatte og brukere må forstå hvorfor det er viktig med god informasjonssikkerhet Hva ledelsen sier (og ikke minst hva de gjør) er avgjørende for kulturen i organisasjonen Hvis ikke lederen går foran, hvorfor skal de ansatte gjøre det?

28 Hva skjer hvis det svakeste leddet befinner seg på toppen?

29 Tonen på toppen

30 Digitalisering og sikkerhet Informasjonssikkerhet omhandler all form for informasjonsbehandling Særlig tydelig i digitaliseringsprosjekter

31 Digitalisering og sikkerhet

32 Sett inn film med HC

33 Informasjonssikkerhet gir muligheter Oppsummeringsmodul Sett inn video modul 6 (introduksjonen til modul 6) Lederne skal i grunn ikke lære noe nytt Oppsummering poengterer at god informasjonssikkerhet gir muligheter

34 Kontaktinformasjon

35