Sikkerhetsforum 2018

Like dokumenter
Ny styringsmodell for informasjonssikkerhet og personvern

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

UNINETT-konferansen 2017

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Oppfølging av informasjonssikkerheten i UH-sektoren

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

Informasjonssikkerhet i UH-sektoren

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

IKT-strategi for UH-sektoren

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Sikkerhetsforum i UH sektoren

Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning

STYRINGSDOKUMENTASJON FOR UH SIKKERHETSSATSNING

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Økonomiseminar Digitalisering

Nytt fra sekretariatet

Organisering av IKT i UH sektoren. IT-konferansen UIO

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Innledning Workshop NOKIOS Avdelingsdirektør Arne Lunde

UTS Operativ Sikkerhet - felles løft

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Aggregering av risiko - behov og utfordringer i risikostyringen

DET KONGELIGE KUNNSKAPSDEPARTEMENT

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Revisjon av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet

Orientering fra Riksrevisjonen på UH-sektorens økonomiseminar 2017 Bernt Nordmark og Thorgunn Nordstrand

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Internkontroll i praksis (styringssystem/isms)

Arbeidsplan for UHRs forskningsutvalg 2012

Ny organisering av Unit fra

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Høgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle (

Strategisk styring av universitets- og høyskolesektoren. Ekspedisjonssjef Toril Johansson DFØs styringskonferanse 22. januar 2014

Sikkerhetssatsing frem mot startstreken

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

Kunnskapsdepartementets Tilstandsrapport hvordan brukes dataene i etatsstyringen?

UNIVERSITETS- OG HØGSKOLERÅDET ADMINISTRASJONSUTVALGET

Hvordan påvirker et varsel om tilsyn interne prioriteringer?

Internkontroll for arkiv den nye arkivplanen?

Velkommen v/tina Lingjærde

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Statsbudsjettet for 2018, kap. 280 post 51 - Tildelingsbrev til

Styring av risiko og samfunnsansvar i Asker kommune

Norsox. Dokumentets to deler

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Arbeidsplan for UHRs forskningsutvalg 2011

Sikkerhetskultur og informasjonssikkerhet

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Internkontroll og informasjonssikkerhet lover og standarder

Difis veiledningsmateriell, ISO og Normen

Status personvern Hedmark og Oppland fylkeskommuner

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Strategi for samarbeid mellom HiT og arbeidslivet

Universitetet i Stavanger. V-sak US 89/19 Politikk for informasjonssikkerhet og personvern. Styret ved Universitetet i Stavanger

VIRKSOMHETS- OG ØKONOMIINSTRUKS FOR STATENS LÅNEKASSE FOR UTDANNING. Gjelder fra

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Universitetet i Oslo

Tilbakemelding fra tilsyn med Universitetet i Oslo (UiO) sitt arbeid med samfunnssikkerhet og beredskap

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Sammenligning av ledelsesstandarder for risiko

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

Omtalen omfatter ikke datarapportering til DBH, herunder Selskapsdatabasen.

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Samordning av IKT i det offentlig. Sesjon A1 på NOKIOS 16. oktober 2008 Jens Nørve (DIFI) og Marianne Andreassen (SSØ) Utvikling gjennom samarbeid

Innføring av nytt personvernregelverk ved UiO

Organiseringsprosjektet. Representantskapsmøte UHR 16.november 2016

Referat fra 2. møte i UHRs økonomiutvalg

Noen aktuelle tema for personvernombud i finans

Revisjon av virksomhetsstyring. Nettverk for virksomhetsstyring 12. desember 2014 Therese Johnsen, Riksrevisjonen

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

SAP HR leveranser til UH sektoren tiltak for å bedre samarbeidet mellom sektoren og SSØ når det gjelder endringsarbeid og videreutvikling.

NOTAT: Samarbeid om Utdanningssky

Norsk Industriarbeidermuseum. Revisjon

Kunnskapssektoren sett utenfra

Informasjonssikkerhet og ISO 27001

Revisjon av IT-sikkerhetshåndboka

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

Riksrevisjonen og UH-sektoren - viktige saker og forventninger. Riksrevisor Per-Kristian Foss, Kunnskapsdepartementets styreseminar

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Godkjent referat fra møte i innkjøpsutvalget. fredag 8. mai 2015 kl UHRs lokaler, Stortorvet 2

Riksrevisjonens undersøkelse av måloppnåelse og styring i jordbruket

Risikovurdering av Public 360

ISO som del av vårt styringssystem. Ernst Ole Solem Kvalitetssjef og beredskapsleder Asker kommune

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Informasjonssikkerhet. Miniseminar om datakriminalitet 29. aug Rolf Sture Normann og Øivind Høiem

Revisjon av styring og kontroll

Internrevisjon Direktørmøte Høst 2015

barnehage og grunnopplæring, inkludert IKT og ev. godkjenning utenlandsk utdanning.

Transkript:

Sikkerhetsforum 2018

Kunnskapsdepartementets tjenesteorgan Sekretariat for informasjonssikkerhet I UH-sektoren Rolf Sture Normann

Litt status fra 2017

GDPR Veileder om krav til informasjonssikkerhet I GDPR Sjekkliste for databehandleravtaler ihht. GDPR Oppdatert veileder for ledelsessystem for informasjonssikkerhet (GDPR) Oppfølgingsmøter med de statlig eide institusjonene (GDPR+) Deltakelse I kvalitetssikring av sektortjenester mht GDPR Diverse foredrag om GDPR Leder samarbeidsgruppen GDPR I UH-sektoren (mer I eget foredrag)

Risikovurderinger Utarbeidelse og publisering av veileder for gjennomføring av ROS i skytjenester Utarbeidelse og publisering av ny veileder for gjennomføring av risikovurderinger Risikovurderinger som er utført på bestilling fra enkeltinstitusjoner Risikovurderinger gjennomført for anskaffelse av fellessystemer i UHsektoren Avholdt kurs til enkeltinstitusjoner

Holdningsskapende arbeid Sikresiden.no Lansering 2. oktober 2017 Alle institusjoner deltar Mer om sikresiden.no i eget foredrag Sekretariatet er fortsatt sponsor for materiell i forbindelse med sikkerhetsmåneden oktober Tilgang til nanolæringsplattformen Junglemap

Rådgiving Rådgiving i forbindelse med utarbeidelse og implementering av ledelsessystem for informasjonssikkerhet Rådgiving personvernerklæringer og IKT-reglement Sekretariatets deltar i E-helsedirektoratets prosjekt om etablering av en helseanalyseplattform Rådgiving i forbindelse med sikkerhet i tjenester som leveres i sektoren

Sekretariatet - Internasjonalt GEANT SIG-ISM (Special interest group information security management) Nordisk samarbeide på informasjonssikkerhet i høyere utdanning

Evaluering av sekretariatet

Bakgrunn og oppdrag Det følger av mandatet at sekretariatet skulle evalueres innen 3 år Kunnskapsdepartementet bestiller - anbud Oppdraget ble gitt til mnemonic as i Oslo Evalueringen ble gjennomført i perioden november 2017 til april 2018 Møter og workshops med nøkkelpersoner fra sekretariatet og KD Spørreundersøkelse (institusjonene) Intervjuer hos et utvalg institusjoner (spørreundersøkelse) Intervjuer av personell i sekretariat og KD

Evaluering - oppsummering

Hvor fornøyd er dere sett opp i mot kostnadene med sekretariatet?

I hvor stor grad har sekretariatets aktiviteter påvirket deres styring og ledelse av informasjonssikkerhet?

Opplevde dere at sekretariatet hadde kapasitet til å håndtere henvendelsen?

Hvor fornøyd er du med tjenestene fra sekretariatet totalt sett?

Evalueringen andre funn Lytte mer til sektoren om hva som er deres behov Tydeliggjøre hva som inngår i tjenesteavgiften Større grad av deling Kontinuitet og beredskapsplaner Økte ressurser for å ivareta økt behov

Oppgaver for sekretariatet fremover (NB! IKKE VEDTATT)

Sekretariatets rolle fremover Departementet har gjennom sektoransvaret, behov for eierstyring av institusjonene også på informasjonssikkerhetsområdet KD stiller krav gjennom tildelingsbrev ledelsessystem for informasjonssikkerhet KD skal rendyrke sin rolle som sekretær for statsråden Noen oppgaver skal ut av KD (tilsyn) Tjenesteorganet skal spille en rolle i dette

Tjenesteorganets tildelingsbrev Operasjonalisere digitaliseringsstrategien Har som mandat fra KD å treffe beslutninger for sektoren Sekretariatet videreføres i tjenesteorganet Delstrategi for informasjonssikkerhet Bidra til at institusjonene har en egeninteresse i å ha bedre informasjonssikkerhet enn de nasjonale minstekravene Styrket styring av informasjonssikkerheten Tydeligere rammeverk Roller og ansvar mellom KD, TO og UNINETT skal utarbeides

KD har behov for systematikk i styringen Setter krav om ledelsessystem hos institusjonene KD mangler tilsvarende rammeverk for styringen av informasjonssikkerhet i sektoren ISO27014 er en standard for styring (Governance)

ISO27001 og 27014

Sekretariatets nye oppgaver Monitorere (monitor) Systematisk vurdere nasjonale trusselvurderinger Gjøre overordnede risikovurderinger for institusjonene på sektornivå Evaluere sikkerhetsarbeidet på utvalgte institusjoner Innrapportere hendelser i sektoren Samarbeid med sektorvist responsmiljø (UNINETT CERT) Utarbeide årlig risikovurdering av sektoren KD Løpende endringer i risikobildet KD, Sektoren

Sekretariatets nye oppgaver Evaluere (evaluate) Sikre at informasjonssikkerheten støtter og opprettholder sektorens målsettinger Systematisk gjennomføre tiltak som støtter opp under måloppnåelsen i digitaliseringsstrategien Foreslå nye effektive informasjonssikkerhetsprosjekter for KD Evaluere hvorvidt informasjonssikkerheten i sektoren ligger over de nasjonale minstekravene

Sekretariatets nye oppgaver Styre (direct) Utvikler, foreslår og implementerer informasjonssikkerhetsstrategi og policy på sektornivå Løpende styringsdialog med institusjonene Innpasse informasjonssikkerhetsmålene i institusjonsmålene Utvikle rammeverk og beste praksis Foreta stikkprøver av informasjonssikkerheten til utvalgte institusjoner

Sekretariatets nye oppgaver Kommunisere (communicate) Utarbeide en årlig rapport til eksterne interessenter om informasjonssikkerheten i sektoren Forskningsrådet Interesseorganisasjoner Datatilsynet Rapporterer til KD om resultater fra evalueringer og gjennomganger av informasjonssikkerheten Rapportere til KD krav (nye) i lover og regler Gi råd til KD innenfor informasjonssikkerhet som krever KDs oppmerksomhet

Hva kan dette bety for institusjonene Mindre tilgang på tjenester (ROS, sikkerhetsgjennomganger, revisjoner) Mer fokus på evaluering og rapportering av tilstand Mer beste praksis dokumenter og rammeverk I større grad lede samarbeidsgrupper som f.eks. «GDPR i UHsektoren» Evalueringsrapporten peker på at sekretariatet bør fortsette å levere «konsulent» oppdrag, samtidig som man ser behovet for en bedre styring. (interessekonflikt)

Sikkerhetsforum!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding