Informasjonssikkerhet og ISO 27001

Transkript

1 Informasjonssikkerhet og ISO Erfaringer fra Asker kommune Asker - Norges største bygd 11. største norske kommune innbyggere Beste karakterer på avgangsklassene i 10.klasse 2014 Beste servicekommune over tid Beste elbilkommune 1

2 Askers kommunes organisasjon Ca ansatte fordelt på årsverk Asker og kvalitetssystem ISO-sertifisert for hele kommuneorganisasjonen fra 2007 > 9001 Kvalitet > Ytre miljø > Informasjonssikkerhet + > Samfunnsansvar 2

3 Verktøyene AskerDialogen Avvik og forbedringer C2 Management 3

4 2013 Internkontroll, revisjoner, tilsyn 4

5 Informasjon Mennesker Prosesser, rutiner Papir Lokasjoner Informasjon Informasjonssikkerhet Mennesker Prosesser, rutiner Papir IKTsystemer IKTsystemer Lokasjoner Informasjon 5

6 Saksbehandling 2013 Tjenesteproduksjon/ saksbehandling Intern sone Sikker sone HRM FRI Oppad KomTek ESA-Sak Gerica HSPro Familia Socio Lovverk Arkivlov, forvaltningslov, grunnskolelov ++ personopplysningslov ++ Lokalarkiv Asker kommune ESA-Arkiv Historisk arkiv Statsarkivet Digital Saksbehandling 2018 Tjenesteproduksjon/ saksbehandling Intern sone Sikker sone HRM FRI Oppad KomTek ESA-Sak Gerica HSPro Familia Socio Lovverk Arkivlov, forvaltningslov, grunnskolelov ++ personopplysningslov ++ Fag-/sakssystemer Arkiveringsprosesser/rutiner Fag-/sakssystemer Arkiveringsprosesser/rutiner Lokalarkiv Asker kommune ESA-Arkiv Historisk arkiv Statsarkivet Digital 6

7 Organisering av Infosikkerhet Rådmannens ledergruppe Sikkerhetsleder (IKT-sjef) Sikkerhets forum Sikkerhetsleder IKT-koordinatorer Leder IKT teknisk drift Arkivleder Eiendomskoordinator Personvernombud Oppvekst Helse og sosial Kultur og fritid Teknikk og miljø Eiendom Adm. og ledelse Virksomhet Virksomhet Virksomhet Virksomhet Virksomhet Virksomhet Infosikkerhet, 2 prosesser Styring av Informasjonssikkerhet Rådmannsnivå Årlige gjennomganger - Informasjonssikkerhet Virksomhets- og IKT-systemnivå 7

8 Mål infosikkerhet 2014 Ny organisasjon og nye prosesser iverksettes Strategi for infosikkerhet etableres ved IKT-strategiprosess 2014 Alle virksomheter og alle IKT-systemeiere har gjennomført Internkontroll og ROS-analyse februar Oppfølging av ROS-analysen i august IKT-tilgangskontroll for alle ansatte og alle IKT-systemer i februar Samlet IKT-systemoversikt og behandlingsoversikt kan fremvises Rådmannen har vedtatt infosikkerhetstiltak og akseptert restrisiko i rådmannens ledelsens gjennomgang i forkant av HP-prosess 2015 Internkontroll virksomheter og rådmann Virksomhet Tilgangskontroll 55 / 59 Internkontroll 56 / 59 ROS 57 / 59 Ledelsens gjennomgang 53 / 59 Asker kommune Avvikssystem - AskerDialogen 8

9 Internkontroll informasjonssikkerhet ROS-analyse 9

10 Oversikt behandlinger og databehandleravtaler Internkontroll IKT-systemeier og rådmann Behandlingsansvarlig / IKT-systemeier Asker kommune Tilgangskontroll Internkontroll - Behandling - Databehandler ROS AskerDialogen 10

11 Sikkerhetsrevisjoner Tidsakse Februar Juni September Risikovurdering Internrevisjon Eksternrevisjon Virksomhet Årlige prioriteringer: - Konfidensialitet - Tilgjengelighet - Kvalitet / integritet - Vedta tiltak Korrigere avvik og vurdere observasjoner og forbedringsforslag Korrigere avvik og vurdere observasjoner og forbedringsforslag Tjenesteområde. Årlige prioriteringer - Eskalering fra virksomhetene - Fagspesifikke vurderinger Analyse, informasjon og vurdere tiltak Analyse, informasjon og vurdere tiltak Sikkerhetsforum Analyse og forslag - Kommunale og nasjonale vurderinger - Foreslå tiltak Analyse, informasjon og vurdere tiltak Analyse, informasjon og vurdere tiltak Rådmannen Ledelsens gjennomgang - Vedta tiltak - Vedta restrisiko Vedta tiltak ved behov Vedta tiltak ved behov Veien videre Rådmannens ledergruppe Tiltak informasjonssikkerhet Ansvar Tidsfrist Anskaffe nytt brukervennlig IKT-verktøy Administrere og vedlikeholde alle prosessene i felles ledelsessystem Dokumentere utførsel av og resultatet av prosessene Utførsel og oppfølging av ROS-analyser inkludert oppfølging av restrisiko Hyllevare, i bruk i andre norske kommuner, prioriteres innenfor IKT-midlene hvis behov for økte rammer. Forenklingsprogram for IKT-arkitekturen Kompetanseheving for å kunne ligge i forkant Ta i bruk nasjonale og felleskommunale IKT-løsninger, spesielt autentiseringsløsninger Inkludere innebygd personvern som arkitekturprinsipp Versjon 2 av IKT-systemlisten / IKT-systemkartene Utrede bruk av «Asker kommune sikkert nett-/sky» Opplæringsprogram for Informasjonssikkerhet Modernisering av IKT-retningslinjene, med spesiell fokus på midlertidig lagring av personsensitiv og forretningskritisk informasjon i en verden full av blanding av minnepinner, PCer, Mobiltelefoner, Nettbrett, Print/papir og Sosiale medier Bevisstgjøringskampanjer / opplæringsprogram med gjenbruk av materiell fra KommIT og DIFI Tuss Benum/ Ole-Kristian Tangen (Ernst Ole Solem) Desember 2015 Ole-Kristian Tangen Desember 2014 Ole-Kristian Tangen Desember

12 Langsiktige mål > Gjennomgås som en del av etablering av Digitaliseringsstrategi Virker det? > Fra ekommune NM

13 Takk for meg! Ole-Kristian Tangen # Utviklingssjef Asker kommune 13