Avito Bridging the gap

Like dokumenter
Politikk for informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Ny styringsmodell for informasjonssikkerhet og personvern

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Foto: Colourbox.com HELSE, MILJØ OG SIKKERHET HANDLINGSPLAN // UNIVERSITETET I BERGEN

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Hvorfor må man skjønne virksomheten for å være en god arkivar? Kristine Synnøve Brorson

Arkivplan og internkontroll Merarbeid eller samarbeid?

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

ekommune 2017 Prosessplan for god praksis om personvern

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Styringssystem for informasjonssikkerhet et topplederansvar

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Styringssystem i et rettslig perspektiv

Nettverk for virksomhetsstyring. Møte 6. juni 2014

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Difis veiledningsmateriell, ISO og Normen

Ansvaret for NTNU har et overordnet system for virksomhetsstyring (strukturer, prosesser og verktøy).

Avdeling for virksomhetsstyring v/ Hanne Bergfjord. Organisasjonsdirektør, HR og HMS-sjef, Seksjonssjef HMS. Tertialrapport HMS

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet

Digitaliseringsstrategi

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Internkontroll og informasjonssikkerhet lover og standarder

GDPR- hva betyr dette for NTNU

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Internkontroll i praksis (styringssystem/isms)

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Politikk for digitalisering og prosessutvikling

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Risikovurdering av Public 360

Digitaliseringsstrategi

Styring av IT. IT-handlingsplaner

Følger sikkerhet med i digitaliseringen?

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Strategi for Informasjonssikkerhet

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Veiledning- policy for internkontroll

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

Hva er et styringssystem?

Aggregering av risiko - behov og utfordringer i risikostyringen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Slik kan du styrke sikkerhetskulturen med kommunikasjon

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Gjelder fra: Godkjent av: Fylkesrådet

Fra visjoner til prestasjoner: Styringsmetoder i staten for å fremme utvikling og innovasjon innenfor rammene av politiske vedtak

Informasjonssikkerhet i UH-sektoren

Styringssystem for informasjonssikkerhet

FORSLAG. Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Digitaliseringsstrategi

Gjelder fra: Godkjent av: Camilla Bjørn

Arkivplan som verktøy for internkontroll i kommunene

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Fagutvalg for administrasjon, ledelse og kontorstøtte. Møte Videomøte

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

IKT-STRATEGI

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Kommunikasjon med ledelsen hva kan Difi bidra med?

Få oversikt. Ta kontroll.

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

ISO27001 som del av forvaltningen

Bergen kommunes strategi for informasjonssikkerhet

NTNU Retningslinje for klassifisering av informasjon

Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Statens økonomistyring som middel til å hindre systemsvikt

DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET

Digitaliseringsstrategi

Digitale legekonsultasjoner sett i fra tilsynsmyndigheten forsvarlighet og tilsynsmessige konsekvenser

Gode råd til sikkerhetsansvarlige

Hvordan oppdatere fra gammel til ny standard i bedriften?

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Risikostyring og intern kontroll i statlige virksomheter

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

«Fra stykkevis til helt»

Transkript:

Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje & Gass 30 seniorrådgivere med tverrfaglig bakgrunn fra blant annet: Prosjektgjennomføring / endringsledelse Organisasjonsutvikling IT og teknologi rådgivning Tommy Walvåg Seniorrådgiver/prosjektleder

Oppdraget Etablere et styringssystem for informasjonssikkerhet. Prosjektmandatet besto av å identifisere informasjonsobjekter, forankre ansvarsoppgaver og innarbeide arbeidsrutiner og prosedyrer for å sikre NTNUs informasjonsverdier. Prosjektet var definert som et organisasjonsprosjekt som i hovedsak skal etablere kultur og praksis støttet av gode rutiner og prosesser.

Reisen frem til resultatet Avito Bridging the gap Gjennom et Styringssystem for Informasjonssikkerhet ( et ledelsessystem for, et kvalitetssystem for en internkontroll av en systematisk tilnærming til )

De store diskusjonene Hvorfor skal vi forholde oss til ISO 27001? NTNUs dokumenthierarki hvilke dokumenter gjelder for hvem? Hvordan operasjonalisere styringssystemet informasjonssikkerhet som en del av overordnet styringssystem/internkontroll? Hva ligger i risikostyring hvordan gjennomføre ROS-analyser?

Hvorfor ISO 27001? Vi ble enig om ikke å snakke om ISO 27001 Denne kostet oss ca 6 måneder med begrenset fremdrift! (noe av dette kan kanskje tilskrives fusjonsprosessen) Når løsnet det? Når vi begynte å forholde oss til ISO 27001 (vi fikk en felles plattform å diskutere ut fra) Vi hadde tidlig noen verktøy iht ISO 27001 som nå plutselig ga mening til prosjektdeltakerne 4 personer fra NTNU sertifiserte seg (ISO 27001 Lead implementer)

Dokumenthierarki NTNUs dokumenthierarki (NTNUs styringsreglement) Lover og regler Universitets- og høgskoleloven, Tjenestemannsloven, Forvaltningsloven, Arbeidsmiljøloven, Lov om offentlige anskaffelser, Personvernloven, mv. samt tilhørende forskrifter Reglement, rundskriv, instrukser på departementsnivå, herunder hovedavtalen i Staten og økonomiregelverket i Staten Reglement og instrukser i NTNU, herunder NTNUs styringsreglement, delegasjonsreglementet, personalreglementet, mv. NTNUs politikk/policy på ulike områder, Herunder f.eks. Publiseringspolitikk, EVUpolitikk, IPR-politikk, lønnspolitikk (Hva og Hvem) Prosedyrer/retningslinjer/rutiner (hvordan)

De styrende dokumentene er iht dokument- hierarkiet Styrende dokument Forvaltes av Godkjennes av lovreferanser IKT-reglement Organisasjonsdirektør Styret Politikk for informasjonssikkerhet Organisasjonsdirektør Rektor Retningslinje for arbeid med sikkerhetskultur og Avdelingsleder HR/HMS opplæring Retningslinje for avviksmelding og avvikshåndtering innen Informasjonssikkerhet og Avdelingsleder virksomhetsstyring personvern Retningslinje for fysisk sikring av IKT-infrastruktur Direktør økonomi og eiendom Retningslinje for hendelse og krisehåndtering Avdelingsleder IT informasjonssikkerhet Retningslinje for informasjonssikkerhet i Avdelingsleder IT leverandørforhold Retningslinje for klassifisering av informasjon Retningslinje for nettverk og informasjonsoverføring Avdelingsleder dokumentasjonsforvaltning Avdelingsleder IT Organisasjonsdirektør Organisasjonsdirektør Organisasjonsdirektør Organisasjonsdirektør Organisasjonsdirektør eforvaltningsforskriften 14 og 20, personopplysningsforskriften kap 9, eforvaltningsforskriften 15, 20 og 23, personopplysningsloven 13, POF 2-3, POF 2-5, POF 2-7, POF 2-15, POF 2-16, POF 3-1 arbeidsmiljøloven 4-2, Forskrift om organisering av helseforskning 3, 4, POF 2-8, POF 2-9, POF 3-1 Eforvaltningsforskriften 15, 25, personopplysningsloven 14, POF 2-6, POF 3-1 POF 2-10, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 3-1 POF 2-5, POF 2-6, POF 2-11, POF 2-12, POF 2-13, POF 2-15, POF 3-1 eforvaltningsforskriften 15, POF 2-5, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 3-1 Organisasjonsdirektør arkivloven 5, POF 2-4, POF 2-16, POF 3-1 Organisasjonsdirektør Retningslinje for operativ sikkerhet Avdelingsleder IT Organisasjonsdirektør Retningslinje for risikostyring Avdelingsleder virksomhetsstyring Organisasjonsdirektør Retningslinje for sikker utvikling Avdelingsleder IT Organisasjonsdirektør Retningslinje for sikring av personlig IT-utstyr Avdelingsleder IT Organisasjonsdirektør Retningslinje for systemeier Avdelingsleder IT Organisasjonsdirektør POF 2-7, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 2-16, POF 3-1 POF 2-1, POF 2-5, POF 2-7, POF 2-10, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 2-16, POF 3-1 Personopplysningsloven 13, POF 2-1, POF 2-4, POF 3-1 POF 2-7, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 3-1 POF 2-8, POF 2-9, POF 2-14, POF 3-1 POF 2-4, POF 2-7, POF 2-8, POF 2-11, POF 2-12, POF 2-13, POF 2-14, POF 2-15, POF 2-16, POF 3-1 Retningslinje for tilgangskontroll Avdelingsleder IT Organisasjonsdirektør POF 2-8, POF 2-9, POF 2-14, POF 2-16, POF 3-1

Sikkerhetsstrategi NTNU skal nå sine mål for informasjonssikkerhet ved å fokusere på tre kjerneområder. Styring og kontroll med informasjonssikkerheten er et lederansvar og en del av den ordinære virksomhetsstyringen og internkontrollen. Ledere skal ha en god risikoforståelse og oversikt over de informasjonsverdier som enheten håndterer, slik at de er i stand til å ta informerte valg og gjøre prioriteringer ved innføring av sikkerhetstiltak. Arbeidet med sikkerhetskultur og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. Økt kompetanse skal gjøre ansatte og studenter i stand til å klassifisere informasjonen de behandler, gjennomføre risikovurderinger og velge nødvendige tiltak for å beskytte informasjonen i arbeidsprosessene. NTNU skal sikre IKT-infrastrukturen gjennom en systematisk implementering av kravene i retningslinjene som er utformet iht kontrollpunkter i ISO 27001, Tillegg A. Krav til informasjonssikkerhet skal ivaretas i design, anskaffelse, utvikling, forvaltning og avhending av IKT-systemer og infrastruktur.

Styringssystemet skal gi et helhetsbilde nivå 3-5 er de nivåene i dokumenthierarkiet NTNU styrer selv

Hva vi leverte Prosjektet leverte verktøystøtte for: ROS-analyse avvikshåndtering oversikt over informasjonsverdier Prosjektet leverte følgende styrende dokumenter: Nytt IKT-reglement, ny politikk for informasjonssikkerhet og 13 retningslinjer. Retningslinjene besto av 4 organisatoriske og 9 tekniske, som i sum regulerer arbeidet med å sikre informasjonsverdiene ved NTNU. Det viktigste var kanskje en felles forståelse av hvordan forvalte et styringssystem.

Verktøy Oversikt over status ISO 27001 (viser verktøy) ROS- analyse (viser verktøy) Mal styrende dokumenter (viser verktøy)

Noen råd på veien 1. Bli enig om hva et styringssystem for informasjonssikkerhet er og hva er formålet 2. Velg en plattform/rammeverk hvor kompetansen bygges og forvaltes (ISO 27001/Difi/UNINETT sine veiledere) 3. Sørg for å ha kompetanse i mange enheter (ikke bare IT) 4. Får å få det integrert i arbeidsprosesser må det henge sammen med overordnet styringssystem/internkontroll 5. Bygg/skaff verktøy som gjør understøtter jobben (legg inn mye innsats)

Takk for oppmerksomheten! Spørsmål?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding