Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje & Gass 30 seniorrådgivere med tverrfaglig bakgrunn fra blant annet: Prosjektgjennomføring / endringsledelse Organisasjonsutvikling IT og teknologi rådgivning Tommy Walvåg Seniorrådgiver/prosjektleder
Oppdraget Etablere et styringssystem for informasjonssikkerhet. Prosjektmandatet besto av å identifisere informasjonsobjekter, forankre ansvarsoppgaver og innarbeide arbeidsrutiner og prosedyrer for å sikre NTNUs informasjonsverdier. Prosjektet var definert som et organisasjonsprosjekt som i hovedsak skal etablere kultur og praksis støttet av gode rutiner og prosesser.
Reisen frem til resultatet Avito Bridging the gap Gjennom et Styringssystem for Informasjonssikkerhet ( et ledelsessystem for, et kvalitetssystem for en internkontroll av en systematisk tilnærming til )
De store diskusjonene Hvorfor skal vi forholde oss til ISO 27001? NTNUs dokumenthierarki hvilke dokumenter gjelder for hvem? Hvordan operasjonalisere styringssystemet informasjonssikkerhet som en del av overordnet styringssystem/internkontroll? Hva ligger i risikostyring hvordan gjennomføre ROS-analyser?
Hvorfor ISO 27001? Vi ble enig om ikke å snakke om ISO 27001 Denne kostet oss ca 6 måneder med begrenset fremdrift! (noe av dette kan kanskje tilskrives fusjonsprosessen) Når løsnet det? Når vi begynte å forholde oss til ISO 27001 (vi fikk en felles plattform å diskutere ut fra) Vi hadde tidlig noen verktøy iht ISO 27001 som nå plutselig ga mening til prosjektdeltakerne 4 personer fra NTNU sertifiserte seg (ISO 27001 Lead implementer)
Dokumenthierarki NTNUs dokumenthierarki (NTNUs styringsreglement) Lover og regler Universitets- og høgskoleloven, Tjenestemannsloven, Forvaltningsloven, Arbeidsmiljøloven, Lov om offentlige anskaffelser, Personvernloven, mv. samt tilhørende forskrifter Reglement, rundskriv, instrukser på departementsnivå, herunder hovedavtalen i Staten og økonomiregelverket i Staten Reglement og instrukser i NTNU, herunder NTNUs styringsreglement, delegasjonsreglementet, personalreglementet, mv. NTNUs politikk/policy på ulike områder, Herunder f.eks. Publiseringspolitikk, EVUpolitikk, IPR-politikk, lønnspolitikk (Hva og Hvem) Prosedyrer/retningslinjer/rutiner (hvordan)
De styrende dokumentene er iht dokument- hierarkiet Styrende dokument Forvaltes av Godkjennes av lovreferanser IKT-reglement Organisasjonsdirektør Styret Politikk for informasjonssikkerhet Organisasjonsdirektør Rektor Retningslinje for arbeid med sikkerhetskultur og Avdelingsleder HR/HMS opplæring Retningslinje for avviksmelding og avvikshåndtering innen Informasjonssikkerhet og Avdelingsleder virksomhetsstyring personvern Retningslinje for fysisk sikring av IKT-infrastruktur Direktør økonomi og eiendom Retningslinje for hendelse og krisehåndtering Avdelingsleder IT informasjonssikkerhet Retningslinje for informasjonssikkerhet i Avdelingsleder IT leverandørforhold Retningslinje for klassifisering av informasjon Retningslinje for nettverk og informasjonsoverføring Avdelingsleder dokumentasjonsforvaltning Avdelingsleder IT Organisasjonsdirektør Organisasjonsdirektør Organisasjonsdirektør Organisasjonsdirektør Organisasjonsdirektør eforvaltningsforskriften 14 og 20, personopplysningsforskriften kap 9, eforvaltningsforskriften 15, 20 og 23, personopplysningsloven 13, POF 2-3, POF 2-5, POF 2-7, POF 2-15, POF 2-16, POF 3-1 arbeidsmiljøloven 4-2, Forskrift om organisering av helseforskning 3, 4, POF 2-8, POF 2-9, POF 3-1 Eforvaltningsforskriften 15, 25, personopplysningsloven 14, POF 2-6, POF 3-1 POF 2-10, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 3-1 POF 2-5, POF 2-6, POF 2-11, POF 2-12, POF 2-13, POF 2-15, POF 3-1 eforvaltningsforskriften 15, POF 2-5, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 3-1 Organisasjonsdirektør arkivloven 5, POF 2-4, POF 2-16, POF 3-1 Organisasjonsdirektør Retningslinje for operativ sikkerhet Avdelingsleder IT Organisasjonsdirektør Retningslinje for risikostyring Avdelingsleder virksomhetsstyring Organisasjonsdirektør Retningslinje for sikker utvikling Avdelingsleder IT Organisasjonsdirektør Retningslinje for sikring av personlig IT-utstyr Avdelingsleder IT Organisasjonsdirektør Retningslinje for systemeier Avdelingsleder IT Organisasjonsdirektør POF 2-7, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 2-16, POF 3-1 POF 2-1, POF 2-5, POF 2-7, POF 2-10, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 2-16, POF 3-1 Personopplysningsloven 13, POF 2-1, POF 2-4, POF 3-1 POF 2-7, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 3-1 POF 2-8, POF 2-9, POF 2-14, POF 3-1 POF 2-4, POF 2-7, POF 2-8, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 2-16, POF 3-1 Retningslinje for tilgangskontroll Avdelingsleder IT Organisasjonsdirektør POF 2-8, POF 2-9, POF 2-14, POF 2-16, POF 3-1
Sikkerhetsstrategi NTNU skal nå sine mål for informasjonssikkerhet ved å fokusere på tre kjerneområder. Styring og kontroll med informasjonssikkerheten er et lederansvar og en del av den ordinære virksomhetsstyringen og internkontrollen. Ledere skal ha en god risikoforståelse og oversikt over de informasjonsverdier som enheten håndterer, slik at de er i stand til å ta informerte valg og gjøre prioriteringer ved innføring av sikkerhetstiltak. Arbeidet med sikkerhetskultur og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. Økt kompetanse skal gjøre ansatte og studenter i stand til å klassifisere informasjonen de behandler, gjennomføre risikovurderinger og velge nødvendige tiltak for å beskytte informasjonen i arbeidsprosessene. NTNU skal sikre IKT-infrastrukturen gjennom en systematisk implementering av kravene i retningslinjene som er utformet iht kontrollpunkter i ISO 27001, Tillegg A. Krav til informasjonssikkerhet skal ivaretas i design, anskaffelse, utvikling, forvaltning og avhending av IKT-systemer og infrastruktur.
Styringssystemet skal gi et helhetsbilde nivå 3-5 er de nivåene i dokumenthierarkiet NTNU styrer selv
Hva vi leverte Prosjektet leverte verktøystøtte for: ROS-analyse avvikshåndtering oversikt over informasjonsverdier Prosjektet leverte følgende styrende dokumenter: Nytt IKT-reglement, ny politikk for informasjonssikkerhet og 13 retningslinjer. Retningslinjene besto av 4 organisatoriske og 9 tekniske, som i sum regulerer arbeidet med å sikre informasjonsverdiene ved NTNU. Det viktigste var kanskje en felles forståelse av hvordan forvalte et styringssystem.
Verktøy Oversikt over status ISO 27001 (viser verktøy) ROS- analyse (viser verktøy) Mal styrende dokumenter (viser verktøy)
Noen råd på veien 1. Bli enig om hva et styringssystem for informasjonssikkerhet er og hva er formålet 2. Velg en plattform/rammeverk hvor kompetansen bygges og forvaltes (ISO 27001/Difi/UNINETT sine veiledere) 3. Sørg for å ha kompetanse i mange enheter (ikke bare IT) 4. Får å få det integrert i arbeidsprosesser må det henge sammen med overordnet styringssystem/internkontroll 5. Bygg/skaff verktøy som gjør understøtter jobben (legg inn mye innsats)
Takk for oppmerksomheten! Spørsmål?