Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Like dokumenter
Spørreundersøkelse om informasjonssikkerhet

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Difis og Skates bidrag til mer, bedre og samordnet digitalisering

Raskere digitalisering med god sikkerhet. Evry

Sikkert nok - Informasjonssikkerhet som strategi

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Arbeidet med informasjonssikkerhet i statsforvaltningen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Strategi for Informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

SELVDEKLARERING for IKT-relaterte satsingsforslag

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Kommunikasjon med ledelsen hva kan Difi bidra med?

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Styring og samordning av IKT i offentlig sektor

Digitalisering av offentleg sektor - hvilke forventninger har regjeringen og departementet til dere?

Difis veiledningsmateriell, ISO og Normen

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Ny styringsmodell for informasjonssikkerhet og personvern

Seksjon for informasjonssikkerhet

Internkontroll i praksis (styringssystem/isms)

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Veiledning- policy for internkontroll

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Bergen kommune Kjetil Århus Direktør digitalisering og innovasjon Februar 2017

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Retningslinje for risikostyring for informasjonssikkerhet

Bergen kommune Kjetil Århus Direktør digitalisering og innovasjon April 2017

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Myk eller sterk IT-styring? I dag og fremover!

Hva skjer av endringer i forvaltningen?

Informasjonssikkerhet. Leif Skiftenes Flak Professor, instituttleder IS Universitetet i Agder

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Planlegging av øvelser

Informasjonssikkerhet i Norge digitalt Teknologiforum

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Styringssystem for informasjonssikkerhet et topplederansvar

Regelverk. Endringer i regelverk for digital forvaltning

KS TROMS HØSTKONFERANSE oktober 2017

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Politikk for informasjonssikkerhet

Oversikt. Remi Longva

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Revisjon av styring og kontroll

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Bruksvilkår for Difis felleskomponenter

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Krav til digitalisering i stat og kommune

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Elektroniske tjenester og ITIL

Bergen kommune Kjetil Århus Direktør digitalisering og innovasjon Mai 2017

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Informasjonssikkerhet - konsernprosedyre

Samarbeid og koordinering på informasjonssikkerhetsområdet i nasjonale felleskomponenter

Direktiv Krav til sikkerhetsstyring i Forsvaret

Digitalt førstevalg. Digital postkasse som en del av digitalt førstevalg i forvaltningen. FINF 4001 høst 2016

Veikart for nasjonale felleskomponenter

Virksomhetsstrategi Justis- og beredskapsdepartementet

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet

Styringssystem for informasjonssikkerhet

Strategi for informasjonssikkerhet

Agenda og tema til diskusjon Skates fagdag Mål for fagdagen: Styrke Skate og bruken av fellesløsninger

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Direktør Marianne Andreassen

Avito Bridging the gap

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Risikovurderinger i PU

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Retningslinje for Sikkerhetsstyring og leverandørstyring innen Sikkerhetsstyring

Bane NOR SF. TILSYNSRAPPORT NR Tilsynsmøte om oppfølging av interne revisjoner

Risikobasert arbeid med personvern

14:20-14:50 Digital post mellom offentlige virksomheter

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Brudd på personopplysningssikkerheten

Kommunereform praktiske konsekvenser. Sandefjord Anders Braaten

Oppfølging av informasjonssikkerheten i UH-sektoren

Dagens situasjon. Hovedanbefalinger

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Sammen om digitalisering - Digitaliseringsstrategi i kommunal sektor

3.1 Prosedyremal. Omfang

Mål- og resultatstyring og risikostyring i staten (det offentlige)

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Transkript:

Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens navn: Hvem svarer på undersøkelsen: Alternativ Sett kryss Virksomhetsleder (direktør) Andre (angi rolle): Kontaktinformasjon for eventuell oppfølging av undersøkelsen: Navn E-post Telefonnummer

Del 1 styring og kontroll på informasjonssikkerhetsområdet 1. I hvilken har virksomhetsleder gitt tydelige føringer for roller og ansvar i informasjonssikkerhetsarbeidet i virksomheten? 79 0 0 18 61 0 0 Gi gjerne noen eksempler på hvordan det er gitt tydelige føringer: 2. I hvilken har virksomhetsleder gitt tydelige føringer for innholdet i de systematiske aktivitetene for styring og kontroll av informasjonssikkerhet? 78 0 5 32 41 0 0 I informasjonssikkerhetsarbeidet kan disse aktivitetene være: ledelsens styring og oppfølging vurdering og håndtering av risiko måling, evaluering og revisjon overvåking og hendelseshåndtering kompetanse- og kulturutvikling 3. Hvem har det formelle ansvaret for å vurdere og håndtere risiko innen informasjonssikkerhet? 79 Alternativ Sett kryss (bare ett kryss) Ledere og mellomledere, som ledd i ordinær linjeledelse 66 To Egen gruppe, fagansvarlig informasjonssikkerhet, eller lignende 11 kryss: 2 Dersom det formelle ansvaret for beslutninger om informasjonssikkerhetsrisiko er en del av ledelsesansvaret for de ordinære virksomhetsprosessene, velger du det første alternativet. Dersom det formelle ansvaret for beslutninger om informasjonssikkerhetsrisiko tas av spesialfunksjoner eller andre, velger du det andre alternativet. Vær oppmerksom på at ledere med ansvar for styring av risiko kan få støtte av spesialfunksjoner og fagpersoner, uten at de mister ansvaret for beslutninger om risiko.

4. I hvilken er ressurser til arbeid med styring og kontroll og sikkerhetstiltak synliggjort i budsjetter og virksomhetsplaner? 79 3 10 35 31 0 0 Gi gjerne noen eksempler på hvordan arbeidet synliggjøres: Eksempel på ressurser er stillinger og budsjettmidler til gjennomføring av de systematiske aktivitetene for styring og kontroll (jf. spørsmål 2) iverksettelse og forvaltning av alle sikkerhetstiltak det er behov for 5. I hvilken ser virksomheten styring av informasjonssikkerhet i sammenheng med den øvrige risikostyringen i virksomheten? 79 0 7 31 41 0 0 Her ønsker vi å få en forståelse av om virksomheten arbeider helhetlig med risikostyring. Eksempler på andre områder er for eksempel økonomistyring, HMS, personvern og virksomhetsstyring. Del 2 Beredskap, øvelser og hendelseshåndtering 6. I hvilken arbeider virksomheten systematisk med øvelser på informasjonssikkerhetsområdet? 79 6 18 28 24 1 2 Øvelser på informasjonssikkerhetsområdet omfatter å trene på håndtering av hendelser som rammer digitale tjenester, IKT-infrastruktur eller andre utfordringer relatert til informasjonssikkerhet

7. Har virksomheten en IKT-beredskapsplan som er godkjent av virksomhetslederen? 78 54 21 3 Med IKT-beredskapsplan mener vi planer for etablering av midlertidige tiltak og håndtering av blant annet informasjonssikkerhetshendelser. 8. Virksomhetens håndtering av informasjonssikkerhetshendelser er basert på at: 79 Svar Virksomheten har tydelig definerte roller, ansvar og prosedyrer for hvordan hendelser skal håndteres. Virksomheten har ikke tydelig definerte roller, ansvar og prosedyrer. Metoden for håndtering blir bestemt ved hver enkelt hendelse. Informasjonssikkerhet handler om å sikre at informasjonen: ikke blir kjent for uvedkommende (konfidensialitet) ikke blir endret utilsiktet eller av uvedkommende (integritet) er tilgjengelig ved behov (tilgjengelighet) Sett kryss 69 10 Informasjonssikkerhetshendelser er i denne sammenheng uønskede hendelser som kan påvirke, eller har påvirket, konfidensialitet, integritet eller tilgjengelighet på informasjon. 9. Benyttes erfaringene fra hendelseshåndteringen til kontinuerlig forbedring av informasjonssikkerhetsarbeidet? 78 70 3 5 Eksempler på oppgaver og områder som kan forbedres ved hjelp av resultatet fra hendelseshåndteringen er risikovurderinger, sikkerhetstiltak og kompetanseheving.

10. I hvilken har virksomheten oversikt over kostnadene som følge av informasjonssikkerhetshendelser? 78 3 28 27 11 9 0 Informasjonssikkerhetshendelser er i denne sammenheng uønskede hendelser som kan påvirke, eller har påvirket, konfidensialitet, integritet eller tilgjengelighet på informasjon. Informasjonssikkerhet handler om å sikre at informasjonen ikke blir kjent for uvedkommende (konfidensialitet) ikke blir endret utilsiktet eller av uvedkommende (integritet) er tilgjengelig ved behov (tilgjengelighet) Del 3 - Nasjonale felleskomponenter 11. Har virksomheten vurdert om den er avhengig av nasjonale felleskomponenter? 78 69 5 4 Virksomheten er avhengig av en felleskomponent hvis måloppnåelsen blir påvirket dersom felleskomponenten ikke er tilgjengelig. Dette er de nasjonale felleskomponentene og deres forvaltere: ID-porten (Difi) Altinn (Brønnøysundregistrene) Digital postkasse til innbyggere (Difi) Kontakt- og reservasjonsregisteret (Difi) Det sentrale folkeregisteret (Skatteetaten) Enhetsregisteret (Brønnøysundregistrene) Matrikkelen (Statens kartverk)

Del 4 Sikkerhetskultur og kompetanse 12. Har ledelsen kartlagt eller målt sikkerhetskultur i egen virksomhet i løpet av de siste tre årene? 77 31 43 3 Hvordan vurderer du sikkerhetskulturen i virksomheten din: Den enkeltes kunnskap, adferd og holdninger er en del av organisasjonens kultur. Den enkeltes kunnskap, adferd og holdninger til informasjonssikkerhet vil være en del av dette en del av virksomhetens sikkerhetskultur. 13. Har virksomhetsledelsen i løpet av 2017 tatt initiativ til at det blir gjennomført tiltak for å styrke sikkerhetskulturen i virksomheten for noen av disse gruppene? 78 For alle ansatte For grupper av ansatte For ledergruppen Ikke gjennomført tiltak Ikke relevant Vet ikke 29 7 1 7 0 0 5 5 4 4 To kryss 10 10 15 15 15 Tre kryss 59 31 30 Totalt Gi ett eller flere eksempler på tiltak som er gjennomført og virkemidler som er benyttet: Del 5 - Etatsstyringsdialogen 14. Har informasjonssikkerhet vært et eget tema i etatsstyringsdialogen i 2017? 78 50 19 9

15. Vil informasjonssikkerhet bli omtalt i årsrapporten for 2017? 76 Ja, som eget tema (sett kryss) Ja, under et annet tema (angi tema) Blir ikke omtalt i årsrapporten (sett kryss) 47 23 5 1 1 To kryss Har du noen ytterligere kommentarer til deres arbeid med informasjonssikkerhet i virksomheten arbeidet med informasjonssikkerhet i statsforvaltningen informasjonssikkerhetsarbeid du ønsker å synliggjøre som du er spesielt fornøyd med annet Tusen takk for ditt bidrag til undersøkelsen!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding