Retningslinje for risikostyring for informasjonssikkerhet

Like dokumenter
NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Politikk for informasjonssikkerhet

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Risiko og sårbarhetsanalyser

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Avito Bridging the gap

Aggregering av risiko - behov og utfordringer i risikostyringen

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Ny styringsmodell for informasjonssikkerhet og personvern

Koordinatorskolen. Risiko og risikoforståelse

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

HMS-forum Tirsdag 12 mars Risikovurdering som verktøy i daglige beslutninger

miljømessige og menneskelige systemer/forhold som omfattes av risikoanalysen.

Rammeverk for risikostyring i Helse Midt-Norge

Aktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse.

Spørreundersøkelse om informasjonssikkerhet

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Personopplysninger og opplæring i kriminalomsorgen

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Risikovurdering av elektriske anlegg

Risikoanalysemetodikk

1. Innledning. Prosessen svarer ut CSM-RA (Felles Sikkerhetsmetoder Risikovurdering), og er i tråd med NS 5814, NS 5815 og EN

Risikovurdering for folk og ledere Normkonferansen 2018

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

CSM i NSB. En orientering om implementeringen av Forskrift om felles sikkerhetsmetode for risikovurderinger i NSB.

Revisjon av informasjonssikkerhet

RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

Internkontroll i praksis (styringssystem/isms)

Hvordan sikre seg at man gjør det man skal?

Hva er risikovurdering?

Informasjonssikkerhet

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Kvalitetssikring av arkivene

Strategi for Informasjonssikkerhet

Risikovurdering av Public 360

Hva er sikkerhet for deg?

Retningslinje for Risikostyring trafikksikkerhet innen Sikkerhetsstyring

Olje- og energidepartementet

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Risikostyring Intern veiledning

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Bedriftens risikovurdering av anleggsarbeid. Jørn C. Evensen Regionsjef MEF region sørøst

Hvordan oppdatere fra gammel til ny standard i bedriften?

Risiko og risikoforståelse

ROS - forskningsprosjekter

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Risiko og risikoforståelse

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Har du kontroll på verdiene dine

HMS risikostyring UiO AMU

Styret ved Vestre Viken HF 015/

NTNU Retningslinje for klassifisering av informasjon

YM-plan. Ytre miljøplan. Her kan du sette inn et bilde fra prosjektet. Versjon

Standarder for risikostyring av informasjonssikkerhet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Policy for Antihvitvask

Hvordan tenker Ptil? Våre erfaringer? Hvilken innsikt gir forskning og Ptils definisjon?

RISIKOANALYSE (Grovanalyse)

Hva er risikostyring?

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Gjelder fra: Godkjent av: Fylkesrådet

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Sammenligning av ledelsesstandarder for risiko

Risikovurdering av cxstafettloggen

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Notat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring???

Risikobasert vedlikehold og fornyelse prinsipper og anvendelser

Økonomidirektør og sjefssamling 2015

Sikring mot terror og andre villede handlinger rettet mot de nasjonale transportaktørene (jern- og tunnelbane)

Veileder: Risikovurdering av informasjonssikkerhet

Mal til Risiko og sårbarhetsanalyse Helse, miljø og sikkerhet

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP

Barrierestyring. Hermann Steen Wiencke PREPARED.

RISIKOANALYSE (Grovanalyse)

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg.

Internkontroll i Gjerdrum kommune

Krav til utførelse av Sikringsrisikovurdering

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Saksframlegg. etterretning. 1. Styret tar fremlagt sak om kontrollstrategi for reiser uten rekvisisjon til

Risikoakseptkriterier og farelogg

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

RETNINGSLINJE for klassifisering av informasjon

Opprettet Opprettet av Petter Gjøstøl Vurdering startet Tiltak besluttet Avsluttet

Transkript:

Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020 Unntatt offentlighet Nei Referanse ISO 27001; 8.2, 8.3, 27005:2011 Referanse LOV/Regel Personopplysningsloven Referanse interne Denne retningslinjen er underlagt Politikk for informasjonssikkerhet dokumenter 1. Formål Risikostyring et viktig prinsipp i internkontroll. Risikostyring for informasjonssikkerhet skal bidra til å forebygge uønskede hendelser eller mangler ved informasjonssikkerheten ved NTNU, som kan ha konsekvenser for studenter, ansatte og/eller samfunnet mer generelt. 2. Hvem Retningslinje for risikostyring for informasjonssikkerhet gjelder for Retningslinje for risikostyring for informasjonssikkerhet gjelder for Ledere Systemeiere Prosesseiere Prosjektledere Forskningsansvarlige 3. Definisjoner I informasjonssikkerhetsarbeidet forstås Internkontroll: Systematiske styrings- og kontrolltiltak som skal sikre at institusjonens aktiviteter planlegges, organiseres, utføres, sikres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lov, og styrende dokumenter. Restrisiko: Restrisiko er et begrep for risiko etter at det er gjennomført planlagte risikoreduserende tiltak

Risiko: Ett eller flere uønskede scenario beskrevet med kombinasjonen av mulige konsekvenser og tilhørende sannsynligheter. For informasjonssikkerhet vurderes risiko som «Potensialet for at en gitt trussel vil utnytte sårbarheter for å få urettmessig tilgang til verdier og dermed forårsake skade på organisasjonen.» Risikostyring: Risikostyring refererer til et samordnet sett av aktiviteter og metoder som brukes til å lede en organisasjon og å kontrollere de mange risikoene som kan påvirke måloppnåelsen. Risikovurdering: Risikovurdering er et begrep i risikostyringen som dekker de tre stegene risikoidentifisering, risikoanalyse og risikoevaluering. Risikoaksept: Akseptabel risiko er risiko som aksepteres i en gitt sammenheng basert på gjeldende verdier i organisasjonen. Hva som er akseptabelt kan endres over tid og variere mellom områder. Det defineres en grense for hva som er uakseptabel risiko basert på risikokriterier. Risiko som anses som uakseptabel bør reduseres så mye som praktisk rimelig. Som regel vil det være en nytte-/kostnadsvurdering som avgjør hva som oppfattes som praktisk rimelig, det vil si om, og i hvilken grad, risikoreduserende tiltak skal gjennomføres. Risikokriterium: Risikoakseptkriterier er de kriterier som legges til grunn ved beslutning om akseptabel risiko. Slike kriterier kan være uttrykt med ord eller være tallfestet, eller basert på en kombinasjon. Kriteriene er basert på forskrifter, standarder, erfaringer og/eller teoretisk kunnskap. Risikohåndtering: Risikohåndtering er prosessen for å modifisere risiko med den hensikt å gjøre den akseptabel. Det er flere tilnærminger: Unngå risikoen ved å fjerne risikokilden. Redusere risikoen ved å sette inn tiltak som endrer sannsynligheten eller konsekvensene av en risiko. Dele risikoen med en eller flere parter, for eks. forsikring. Eller akseptere risiko som den er som følge av en veloverveid beslutning. I noen tilfeller kan også øking av risikoen for å dra nytte av en mulighet være et alternativ. Risikoeier: Leder med overordnet ansvar for og myndighet til å styre en risiko. Risikomatrise: En risikomatrise er et diagram for å oppsummere og beskrive risiko i to dimensjoner (akser). For hver vurderte risiko oppgis konsekvens på den ene aksen og sannsynlighet på den andre. Trussel: Potensiell årsak til uønsket hendelse, noe som kan føre til skade på et system eller en organisasjon.

4. Overordnede prinsipper 4.1 Risikovurderingene for informasjonssikkerhet skal ivareta følgende hensyn: NTNU skal ha en tilnærming til informasjonssikkerhet som er basert på risikovurderinger NTNUs mål med risikostyring er at risiko skal være vurdert, uakseptabel risiko skal håndteres med tiltak, og resterende risiko skal være akseptert av leder NTNU skal ha oversikt over systemene der informasjonsverdier behandles System der informasjonsverdier behandles, skal underlegges risiko og sårbarhetsanalyser (ROS) minst hvert annet år, og/eller ved vesentlige endringer i organisering, prosesser, IKT-system eller i trusselbilde. Dette for at man skal ha et mest mulig oppdatert bilde av risiko og sårbarhet. 4.2 Risikovurderingene skal gjennomføres etter følgende prosess: Risikostyringsprosessen er standardisert gjennom ISO/IEC 27005:2011 standarden og NTNU følger i all hovedsak denne for informasjonssikkerhet, illustrert i figuren under.

Etablere kontekst for risikovurderingen, dette vil si å bestemme hva som er objekt for vurderingen og hva som ikke inngår. Som en del av dette steget utarbeides risikokriterier spesifikke for den aktuelle risikovurderingen, hvor Konfidensialitet, Integritet og Tilgjengelighet skal inngå. Risikoidentifisering for å identifisere og vurdere verdier, trusler og sårbarheter i IKT-systemet eller arbeidsprosessen gjennom tre aktiviteter: o Verdivurderingen kommer først siden den bestemmer beskyttelsesbehovet til løsningen, for eksempel ett system som håndterer sensitive persondata vil ha særskilte krav til datahåndtering og det vil sette premisset og sikkerhetsnivået for resten av vurderingen. o Neste steg er trusselvurdering med formål å identifisere de mest relevante truslene som er motiverte til å kompromittere informasjonsverdiene våre. I tillegg til å estimere truslenes motivasjon og evne for å angripe, i tillegg til hvor hyppig trusselen forekommer hos NTNU. o Deretter kartlegges og vurderes eksisterende sikkerhetsmekanismer (kontroller og tiltak) i løsningen. Kontroller og tiltak vurderes opp mot hvilke verdier som skal beskyttes. o Neste steg er å identifisere og vurdere sårbarheter i IKT-systemet eller arbeidsprosessen som kan utnyttes av en trussel for å få tilgang til en verdi. o Resultatene av verdi, trussel og sårbarhetsaktivitetene nyttes til å identifisere risikoen som foreligger, og hvilke uønskede hendelser og konsekvenser dette kan føre til (risikoscenario). Risikoanalyse gjennomføres for å estimere konsekvens og tilhørende sannsynlighet av identifiserte scenarier. Analysen skal avdekke hvilke risikoer som er mest alvorlige og må prioriteres. Første beslutningspunkt blir da om risikovurderingen er dekkende nok til å gå videre. I noen tilfeller kan de som gjennomfører risikovurdering ha avdekket områder med stor usikkerhet og må derfor gjøre en grundigere undersøkelse for å oppnå en tilfredsstillende risikovurdering. Risikohåndtering gjennomføres ved å velge tiltak som kan redusere risikoen til et akseptabelt nivå. Det er i hovedsak fire tilnærminger til å håndtere risiko: (i) redusere risiko, (ii) unngå risiko, (iii) overføre risiko, og (iv) akseptere risikoen som den er. Beslutning for prioritering av tiltak blir tatt på bakgrunn av kost-nytte analyse, hvor effekten i form av risikoreduksjon og kostnaden av tiltaket er vurdert. Leder (risikoeier) vurderer om restrisikoen er akseptabel. Hvis risikoeier ikke aksepterer restrisikoen, må nye tiltak vurderes og gjennomføres frem til akseptabel risiko er oppnådd. Risiko-overvåkning og evaluering. Risikovurderingen revideres hvert andre år og ved store endringer av systemet eller prosessen.

4.3 Risikokriterier Ved risikovurderinger skal følgende kriterier vurderes: konfidensialitet integritet tilgjengelighet Følgende konsekvenser av brudd på informasjonssikkerheten skal vurderes: brudd på lov og regler aksepteres ikke økonomi omdømme 4.4 Aksept av risiko Aksept av risiko må forelegges og besluttes av linjeleder. Ved identifisering av uakseptabel risiko som kan ha konsekvenser utover omfanget for gjeldende ROS-analyse og/eller medføre store konsekvenser utover egen beslutningsmyndighet, så skal denne risikoen rapporteres oppover i linjen. 4.5 Kontrollpunkter, tiltak og rutiner For alle risikokriterier skal det etableres kontrollpunkter og tiltak som er målbare i forhold til fastsatt risikoaksept. Risikoeier skal ha fastsatte rutiner for evaluering av kontrollpunkter og tiltak. Håndtering av avvik skal være en del av risikohåndteringsprosessen. 5. Roller og ansvar 5.1 Organisasjonsdirektør er ansvarlig for at alt arbeid med informasjonssikkerhet har en tilnærming som er basert på risikostyring er ansvarlig for utarbeidelse av overordnede akseptkriterier informasjonssikkerhet og at disse er kjent i virksomheten 5.2 Leder av Avdeling for virksomhetsstyring er ansvarlig for rapportering i arbeidet med overordnet risikostyring 5.3 Leder av HR- og HMS-avdelingen er ansvarlig for at ledere er kjent med, og har tilstrekkelig kompetanse, til å ivareta sitt ansvar i henhold til denne retningslinjen

5.4 Linjeleder 5.5 Prosesseier 5.6 Systemeier NTNU er ansvarlig for at det utformes en risikomatrise med akseptkriterier for sitt virksomhetsområde skal påse at ansatte er gitt tilstrekkelig opplæring til å kunne gjennomføre en risikovurdering skal sørge for at det gjennomføres risikovurdering for sitt virksomhetsområde er ansvarlig for at det utformes en risikomatrise med akseptkriterier for arbeidsprosessen er ansvarlig for at det etableres prosess for risikovurdering som en støtteprosess i arbeidsprosessen skal sørge for at det gjennomføres tilstrekkelig risikovurdering av prosessen er ansvarlig for at det utformes en risikomatrise med akseptkriterier for systemet er ansvarlig for at det etableres prosess for risikovurdering som en støtteprosess ved endringer i systemet skal sørge for at det gjennomføres tilstrekkelig risikovurdering av systemet 5.7 Prosjektleder er ansvarlig for at det utformes en risikomatrise med akseptkriterier for prosjektet er ansvarlig for at det etableres prosess for risikovurdering som en støtteprosess i prosjektet

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding