Oversikt. Remi Longva

Like dokumenter
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Kommunikasjon med ledelsen hva kan Difi bidra med?

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Risikovurdering - sett fra ISO og informasjonssikkerhet

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Internkontroll i praksis (styringssystem/isms)

NIFS 16. desember 2015

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Anbefalte delaktiviteter og dokumentasjon

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Spørreundersøkelse om informasjonssikkerhet

Rammeverk for informasjonsforvaltning og Felles Datakatalog

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Raskere digitalisering med god sikkerhet. Evry

Seksjon for informasjonssikkerhet

Orientering om plan for internkontroll for informasjonssikkerhet

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Sikkert nok - Informasjonssikkerhet som strategi

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Difis veiledningsmateriell, ISO og Normen

Øyvind Grinde, seksjonssjef

Aggregering av risiko - behov og utfordringer i risikostyringen

Politikk for informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Risikobasert arbeid med personvern

Retningslinje for risikostyring for informasjonssikkerhet

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Risikobasert etterlevelse av pvf

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Strategi for Informasjonssikkerhet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Styringssystem i et rettslig perspektiv

Nye personvernregler

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Krav til informasjonssikkerhet i nytt personvernregelverk

Barne- og likestillingsdepartementet

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Informasjonsforvaltning og målet med å forbedre kvaliteten; metoder, verktøy og initiativer i offentlig sektor, samt mål, status og kobling til GDPR

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Rapport om arkivforhold i kommunesektoren og hva Arkivverket gjør for å ta inn etterslepet. KAI-konferansen i Tromsø 2018

Smartgridkonferansen 2016

Policy for Antihvitvask

Nye personvernregler

Informasjonssikkerhet - konsernprosedyre

Digitaliseringsstrategi

Status personvern Hedmark og Oppland fylkeskommuner

Universitetet i Oslo EIR

Risikostyring som faglig utfordring i Riksrevisjonen

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,

Ny styringsmodell for informasjonssikkerhet og personvern

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Samarbeid og koordinering på informasjonssikkerhetsområdet i nasjonale felleskomponenter

Tiltaksplan digitalisering 2019

Perspektiver og planer ved Universitetet i Oslo

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

RegleR for god opptreden 1

Avito Bridging the gap

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Internkontroll og informasjonssikkerhet lover og standarder

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Saksframlegg. etterretning. 1. Styret tar fremlagt sak om kontrollstrategi for reiser uten rekvisisjon til

Rekning i fjord og fjell! Geiranger Matematikk som kan forlenge oljealderen. Helge K. Dahle Matematisk institutt

Digitaliseringsstrategi

DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

Digitaliseringsstrategi

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Personvernombudsordningen etter GDPR

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Styresak Orienteringssak - Informasjonssikkerhet

Referansearkitektur sikkerhet

Risikovurdering av Public 360

Kommunens Internkontroll

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Skytjenester og informasjonssikkerhet - en selvmotsigelse?

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Hvordan kan en god bestillingsløsning sikre styring og kontroll med innkjøp? EHF-konferansen 2017

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Sikkerhetsforum 2018

Transkript:

Oversikt Remi Longva 2018-09-12

as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns the ones we don't know we don't know. United States Secretary of Defense, Donald Rumsfeld, 2002

Verizon 2009 Data Breach Investigations Report

Konsekvenser?

Innbyggere - Virksomheter - Samfunn Mål og resultater Oppgaver og funksjoner Info-system ITkomponent

Innbyggere - Virksomheter - Samfunn Mål og resultater Oppgaver og funksjoner Tredjeparter Info-system ITkomponent

Potensielle konsekvenser Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling

Mål og resultater Være effektive Etterleve lover og regler Informasjonsbehandling Informasjonssikkerhet

1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontrollaktiviteter

1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontrollaktiviteter Sikkerhetstiltak Tilleggssikring Fellessikring Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv. 3

Internkontroll i praksis - informasjonssikkerhet NSMs grunnprinsipper for IKT-sikkerhet

Internkontroll i praksis - informasjonssikkerhet

Risikovurdering - «Hjertet» i internkontrollen

Formålet med risikovurdering Identifisere risikoer som må håndteres Kommunisere risiko Danner grunnlag for beslutninger

Utfordringer Bruke tid og ressurser riktig Ha tilstrekkelig oversikt over helheten Gå i dybden ved behov

Ansvar Risikoeiere (ledere) for egne ansvarsområder Systemeiere fellessystem på vegne av flere risikoeiere risikoeiere må involveres

Risikoeiere Arbeidsoppgave A System A Tiltaksleverandører Arbeidsoppgave B System B Arbeidsoppgave C Fellessystem 1 Fellessystem 2 Systemeiere fellessystem

Risikovurderingsaktiviteten - 2 deler Få/holde oversikt og prioritere Planlegge og gjennomføre risikovurdering

Få oversikt og prioritere Foranalyse Gruppere og dele opp Vurdere behov for risikovurderinger Holde oversikt over risikovurderinger Oppdatere

Arbeidsoppgaver

Informasjonsbehandling

Foranalyse (1) Risikoeiere Identifisere hvilke arbeidsoppgaver som utføres For hver arbeidsoppgave identifisere formål/mål med oppgaven hvilke typer informasjon behandles (overordnet) taushetsplikt/u.off.? personoppl.? Særlige kategorier personoppl.? spesielt obs. mht. konfidensialitet, integritet, tilgjengelighet hvilke IKT-system og tjenester benyttes i arbeidsoppgavene hvilke lover, regler, avtaler inneholder relevante krav

Felles behov tverrfaglig jobb Foranalyse del 1 Informasjonssikkerhet Personvern Informasjonsforvaltning Virksomhetsarkitektur Arkiv Andre? Videre arbeid Difis veileder beskriver videre arbeid på informasjonssikkerhetsområdet Andre fagområder kan jobbe videre iht. sine behov

Foranalyse (2) Risikoeiere Finne høyeste konsekvensnivå på arbeidsoppgavene som utføres og systemene som benyttes ved brudd på konfidensialitet, integritet eller tilgjengelighet Informasjonen som behandles og målet med oppgavene er vurderingsgrunnlaget (jf. kartleggingen foran) En forenklet variant av verdivurdering og klassifisering

Foranalyse (2) Systemeiere fellessystem Finne høyeste konsekvensnivå for sine fellessystem ved brudd på konfidensialitet, integritet eller tilgjengelighet Vurderingene fra Risikoeierne er viktig grunnlag

Foranalysen gir grunnlag for Gruppere og dele opp Vurdere behov for risikovurderinger Rekkefølgen her kan være litt frem og tilbake Formålet er å prioritere og effektivisere arbeidet med «tradisjonelle» risikovurderinger

Få oversikt og prioritere HVA OPPNÅR VI?

Primært Gir oversikt over eget ansvarsområde Gir systematikk i gruppering og prioritering av hva som bør gjennom en ny/oppdatert risikovurdering og hva vi har tilstrekkelig kontroll på Får hovedfokus på arbeidsoppgavene som utføres herunder tjenester/funksjoner enklere å få til helhetlig risikostyring i virksomheten Synliggjør særskilte behov for konfidensialitet, integritet og tilgjengelighet i arbeidsoppgavene i systemene/tjenestene som benyttes i arbeidsoppgavene

Andre fordeler Man får større interesse fra risikoeierne Det handler om deres arbeidsoppgaver og måloppnåelse Man blir mer risikobasert i valg av sikkerhetstiltak Sikkerheten i fellessystem baseres på risikoeiernes behov

Man må ikke «verdivurdere» hver enkel informasjonstype Man støtter seg kun på en enkel identifisering og behovsvurdering rundt disse Man unngår å grave seg ned i detaljer og kanskje aldri bli ferdig men identifiserer områder der det er behov for å gå dypere

Positive sideeffekter Resultatet fra kartleggingen gir et grunnlag for helhetlig styring og kontroll på informasjonssikkerhetsområdet bedre etterlevelse av sikkerhetsloven bedre etterlevelse av personvernregelverket (utover informasjonssikkerhet) muligheter for datadeling (iht. krav i Digitaliseringsrundskrivet) prosessforbedringer i den enkelte enhet samordning av prosesser på tvers i virksomheten etc

Skytjenester

Tradisjonell tjenesteutsetting Behov + krav Løsning Revisjon

Skytjenester Behov + krav Selv vurdere om tjenestene dekker behovene Selv ansvar for å konfigurere og tilpasse tjenestene Sette deg inn i tilgjengelig dokumentasjon og rapporter, og vurdere om du har tilstrekkelig tillit til sikkerheten hos leverandøren Tjenestebeskrivelser Sertifiseringer Attestasjonsrapport fra tredjepart

Difis veiledningsmateriell Beskrivelse av aktiviteten Praktisk støtte med maler og veiledning Eksempler på arbeidsoppgaver og informasjonstyper Jf. NIST 800-60 vol. II (Obs: eksemplene er ikke oppdatert iht. v1.3 av veiledningen) https://internkontroll-infosikkerhet.difi.no/

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding