1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Like dokumenter
Retningslinje for risikostyring for informasjonssikkerhet

Risikoer og tiltaksarbeid i Sykehusinnkjøp HF 2018

Orientering om plan for internkontroll for informasjonssikkerhet

Avgrenset risikorapportering pr. 2.tertial 2017

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Rammeverk for risikostyring i Helse Midt-Norge

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Informasjonssikkerhet

Styresak Vedlegg 5. Prosessbeskrivelse risikostyring

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Personopplysninger og opplæring i kriminalomsorgen

AMBULANSE MIDT-NORGE HF STYRET. Sak 43/13 Statusrapportering styringsdokument og foretaksprotokoll 2.tertial 2013

OVERSIKT SIKKERHETSARBEIDET I UDI

Kvalitetssikring av arkivene

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Har du kontroll på verdiene dine

Gjennomføring av risikostyring i praksis. Anund Rannestad Rådgiver, Helse Bergen HF

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Veileder: Risikovurdering av informasjonssikkerhet

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Statusrapport tiltaksarbeid etter risikorapportering per 2.tertial 2017.

Revisjon av informasjonssikkerhet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Oppdrag gitt i foretaksmøte 31. mai Foreløpig rapport om gjennomføring av oppdraget

Omsorg for informasjonssikkerheten

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Teknologi i helse - Muligheter, behov og risiko

Saksframlegg. Styret Pasientreiser HF 24/04/2017

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Oversikt. Remi Longva

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

RETNINGSLINJE for klassifisering av informasjon

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Vår dato: Vår referanse: Arkivnr: Vår referanse må oppgis ved alle henvendelser

Hva er et styringssystem?

Risikovurdering - sett fra ISO og informasjonssikkerhet

Styresak 73/2017: Ledelsens gjennomgang - Risikostyring av Helgelandssykehuset HF sine hovedmål 2017 og informasjonssikkerhet

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Halvårlig risikovurdering, Pasientreiser HF per oktober 2017

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Internkontroll i praksis (styringssystem/isms)

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

PROTOKOLL FRA FORETAKSMØTE I SYKEHUSPARTNER HF

Internkontroll. SUHS-konferansen 2016

VEILEDNING TIL RISIKOVU

R102 Retningslinjer for gjennomføring av risikovurderinger

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

ANSKAFFELSESSTRATEGI. FOR Vigo IKS

Retningslinjer for risikostyring i. Helse Nord. Versjon 1.0

Styresak Orienteringssak - Informasjonssikkerhet

GDPR i praksis, sett fra en teknisk bedömmer. Anders Bergman IT-bedömmer NA og SWEDAC Greenfinger AB

Skytjenester i skolen

NIFS 16. desember 2015

Politikk for informasjonssikkerhet

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Styret ved Vestre Viken HF 015/

Styret Helse Sør-Øst RHF 16. november 2017

Mislighetsrevisjon Sykehuset Innlandet HF

Risikovurdering av Public 360

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Risikovurdering av cxstafettloggen

Internkontroll og informasjonssikkerhet lover og standarder

Integrering av IT i virksomhetens helhetlige risikostyring

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

HELSE MIDT-NORGE RHF STYRET

Utviklingsprosjekt: Endring av beredskapsorganisering i Helse Fonna HF. Nasjonalt topplederprogram. Anne Hilde Bjøntegård

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Sikkert nok - Informasjonssikkerhet som strategi

Difis veiledningsmateriell, ISO og Normen

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

IKT, informasjonssikkerhet og risiko

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Akkumulert risikovurdering oktober 2014 Sannsynlighet

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Etiske retningslinjer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Risikostyring Intern veiledning

Veileder til risikovurderingsverktøy Klikk på stegene i prosessen for å få veiledning!

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Brudd på personopplysningssikkerheten

Omsorg for informasjonssikkerheten

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Risiko- og sårbarhetsvurdering av Office365 skyløsning

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Styret Helsetjenestens driftsorganisasjon for nødnett HF 31.August BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Transkript:

Vedlegg 1 styresak 45/2018 Statusrapport etter utvidet risikovurdering. Innholdsfortegnelse 1. Kort forklaring av felles risikovurderingsmetodikk.... 2 2. Oppsummering av risikovurderingene.... 2 2.1 Område som er risikovurdert: «Etablering av sikkerhetsorganisasjon»... 3 2.2 Område som er risikovurdert: «Informasjonssikkerhet og personvern».... 4 3. Samlet oppsummering.... 5 3.1 Konsekvens- og sannsynlighetsskalaer... 6

1. Kort forklaring av felles risikovurderingsmetodikk. Det er brukt felles risikovurderingsmetodikk når foretaket har risikovurdert sine mål/områder. Denne metodikken består i at man først identifiserer en risiko, dvs. en hendelse som kan true oppnåelse av et mål. Man vurderer så hvor stor konsekvensen er hvis denne hendelsen finner sted, for så å vurdere hvor stor sannsynligheten er for at hendelsen skal inntreffe. Risiko er produktet av konsekvens og sannsynlighet, dvs. man ganger sammen/multipliserer konsekvens- og sannsynlighetsverdien, og får en risikoverdi. Det er brukt skala fra 1 til 4 for å beskrive både konsekvens og sannsynlighet (se fullstendige konsekvens- og sannsynlighetsskalaer under punkt 3.1 i dette dokumentet). Hvis det f.eks. er ekstrem stor konsekvens hvis en hendelse inntreffer, dvs. konsekvensverdien er lik 4, men sannsynligheten for at denne hendelsen skal inntreffe er middels, dvs. sannsynlighetsverdien er lik 2, blir risikoen/risikoverdien for denne hendelsen lik 8, dvs. 4 x 2. De forskjellige risikonivåene i denne metodikken kan illustreres ved følgende figur/risikomatrise: 2. Oppsummering av risikovurderingene. Det er gjennomført strukturerte arbeidsmøter med stabsdirektør/ikt-sjef. Arbeidet med risikovurderinger fulgte følgende prosess: Figur 1: Risikostyringsprosess Identifisere mål Definere kritiske suksessfaktorer Identifisere risiko Vurdere og prioritere Etablere tiltak Følge opp tiltak I tabell 1 er mål, kritiske suksessfaktorer og identifiserte risikoer beskrevet for stabsdirektør: Tabell 1: Oversikt over mål, kritiske suksessfaktorer og risikoer. Ansvarlig Område som risikovurderes Mål Stabsdirektør Etablering av Etablere en sikkerhetsorganisasjon sikkerhetsorganisasjon slik at foretaket kjenner til risiko-/ trusselbildet og kan håndtere skjermingsverdig informasjon og Kritiske suksessfaktorer - Foretaket må ha klarhet i hvilken grad virksomhetens forvaltning av tjenester og informasjon er underlagt Risikoer 1. Foretaket har ikke tilstrekkelige ressurser og/eller kompetanse 2. Det er uklart hvilke tjenester og 2

Ansvarlig Stabsdirektør Område som risikovurderes Informasjonssikkerhet og personvern Mål tjenester som skal ivaretas av virksomheten i henhold til sikkerhetslovens bestemmelser Oppnå innebygd informasjonssikkerhet og personvern Kritiske suksessfaktorer sikkerhetslovens bestemmelser - Det må gjennomføres tjeneste-, data- og informasjonsklassifisering i foretaket i henhold til ny personopplysningslov Risikoer informasjon virksomheten forvalter 3. Ressurser med nødvendig kunnskap om informasjonsforvaltning for aktuell del av foretaket er ikke tilgjengelig. - Leverandør av IKT-driftstjenester må legge til rette for implementering av støtte i IKTplattform for å sikre konfidensialitet, integritet, tilgjengelighet 4. Foretaket lykkes ikke med å implementere støtte i IKTplattform for å sikre konfidensialitet, integritet, tilgjengelighet. 2.1 Område som er risikovurdert: «Etablering av sikkerhetsorganisasjon» Mål 1: «Etablere en sikkerhetsorganisasjon slik at foretaket kjenner til risiko-/trusselbildet og kan håndtere skjermingsverdig informasjon og tjenester som skal ivaretas av virksomheten i henhold til sikkerhetslovens bestemmelser» Etter identifisering av 2 forskjellige risikoer og en vurdering av konsekvens og sannsynlighet for hver av disse, ble risikobildet slik: Figur 2: Risikomatrise: Etablering av sikkerhetsorganisasjon Ekstrem Sannsynlighet Høy Middels R2 Lav R1 Lav Middels Høy Ekstrem Konsekvens 3

Risiko 1 Sikkerhetsorganisasjon: Foretaket har ikke tilstrekkelige ressurser og/eller kompetanse Risiko 2 Sikkerhetsorganisasjon: Det er uklart hvilke tjenester og informasjon virksomheten forvalter Ingen risikoer er i orange eller røde felt. Risiko nr. 1: «Foretaket har ikke tilstrekkelige ressurser og/eller kompetanse.» Tiltak: Etablere kontakt med Helse Nord RHF. Forventet effekt: Klarhet i hvilke bestemmelser foretaket må forholde seg til. Sannsynligheten vil ytterligere "reduseres". Utført innen: Midten av juni-18 Risiko nr. 2: «Det er uklart hvilke tjenester og informasjon virksomheten.» Tiltak: Benytte grunnlagsdokumentasjon og rutinebeskrivelser fra Helse Nord RHF for å identifisere informasjon og/ eller tjenester som skal sikkerhetsgraderes. Forventet effekt: Påvist om virksomhetens forvaltning av tjenester og informasjon er underlagt bestemmelser i sikkerhetsloven. Sannsynligheten vil reduseres Utført innen: Utgangen av juni-18. 2.2 Område som er risikovurdert: «Informasjonssikkerhet og personvern». Mål 2: «Oppnå innebygd informasjonssikkerhet og personvern» Etter identifisering av 2 forskjellige risikoer og en vurdering av konsekvens og sannsynlighet for hver av disse, ble risikobildet slik: Figur 3: Risikomatrise: Informasjonssikkerhet og personvern Ekstrem Sannsynlighet Høy Middels R3, R4 Lav Lav Middels Høy Ekstrem Konsekvens Risiko 3 Informasjonssikkerhet: Ressurser med nødvendig kunnskap om informasjonsforvaltning for aktuell del av foretaket er ikke tilgjengelig Risiko 4 Informasjonssikkerhet: Foretaket lykkes ikke med å implementere støtte i IKT-plattform for å sikre konfidensialitet, integritet, tilgjengelighet Begge risikoene her er høye (orange) og følgende risikoreduserende tiltak er definert for disse: 4

Risiko nr. 3: «Ressurser med nødvendig kunnskap om informasjonsforvaltning for aktuell del av foretaket er ikke tilgjengelig.» Tiltak: Tidlig involvering av risikoeiere om kommende aktiviteter de må gjennomføre. Forventet effekt: Gjennomført klassifisering danner grunnlag for implementering av informasjonssikkerhet og personvern. I tillegg utgjør innsamlet informasjon grunnlag for tjenestekatalog og porteføljestyring. Sannsynligheten vil reduseres. Utført innen: Innen utløp av 3.kvartal-18 Konsekvensene av å ikke ha tilgjengelige ressurser med nødvendig kunnskap om informasjonsforvaltning for aktuell del av foretaket, kan føre til at IKT-plattform ikke sikrer konfidensialitet, svekket informasjonssikkerhet generelt, svekket omdømme, brudd på gjeldende regelverk og unødvendig ressursbruk. Tiltak som settes inn er at risikoeier involveres tidlig om kommende aktiviteter som må gjennomføres. Risiko nr. 4: «Foretaket lykkes ikke med å implementere støtte i IKT-plattform for å sikre konfidensialitet, integritet, tilgjengelighet» Tiltak: Tidlig involvering av leverandør om kommende aktiviteter de må gjennomføre. Forventet effekt: Gjennomført tilpasninger i IKT-plattform danner grunnlag for implementering av informasjonssikkerhet og personvern. Sannsynligheten vil reduseres. Utført innen: Innen utløp av 3.kvartal-18 Konsekvensene av at foretaket ikke lykkes med å implementere støtte i IKT-plattform for å sikre konfidensialitet, integritet og tilgjengelighet, kan være at personsensitiv/virksomhetskritisk informasjon kommer på avveie, blir tapt eller manipulert. Dette igjen kan føre til at IKT-plattform ikke sikrer konfidensialitet, svekket informasjonssikkerhet generelt, svekket omdømme, brudd på gjeldende regelverk og unødvendig ressursbruk. Tiltak som settes inn er at leverandør involveres tidlig om kommende aktiviteter som må gjennomføres. 3. Samlet oppsummering. Av i alt 4 identifiserte risikoer er ingen vurderte som ekstreme, 2 er høye mens de resterende 2 er middels. Der er viktig at risikoene med høy verdi følges opp med planlagte tiltak og at det jevnlig foretas en statusoppdatering på disse. 5

3.1 Konsekvens- og sannsynlighetsskalaer

7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding