Ny styringsmodell for informasjonssikkerhet og personvern

Like dokumenter
Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning

Sikkerhetsforum 2018

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Oppfølging av informasjonssikkerheten i UH-sektoren

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Universitetet i Stavanger. V-sak US 89/19 Politikk for informasjonssikkerhet og personvern. Styret ved Universitetet i Stavanger

STYRINGSDOKUMENTASJON FOR UH SIKKERHETSSATSNING

Retningslinje for risikostyring for informasjonssikkerhet

IKT-strategi for UH-sektoren

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Kunnskapsdepartementets Tilstandsrapport hvordan brukes dataene i etatsstyringen?

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

UNINETT-konferansen 2017

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Avito Bridging the gap

IKT-STRATEGI

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Økonomiseminar Digitalisering

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

VEDLEGG TIL SKATE-SAK 13/2019 REGJERINGENS DIGITALISERINGSSTRATEGI - OPERASJONALISERING

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Policy for Antihvitvask

Strategi for informasjonssikkerhet

Informasjonssikkerhet og digitalisering

Risikovurdering av Public 360

Arbeid med handlingsplanen konkretisering av prosjekter og porteføljestyring. 28. august 2019 Sigurd Eriksson, ass. dir. Unit

Digitaliseringsstrategi

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Hvordan styre frie institusjoner. Målstyring i universitets- og høyskolesektoren

Internkontroll i Gjerdrum kommune

Internkontroll i praksis (styringssystem/isms)

Prinsipper for virksomhetsstyring i Oslo kommune

Revisjon av styring og kontroll

Organisering av IKT i UH sektoren. IT-konferansen UIO

Energistyring av industrien etter Forurensningsloven. Miljøforum 24. sept. 2013, Randi W. Kortegaard

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

DET KONGELIGE KUNNSKAPSDEPARTEMENT

Statsbudsjettet 2016 tildelingsbrev Rikskonsertene

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Risikostyring på nasjonalt nivå

IT strategi for Universitet i Stavanger

Revisjon av informasjonssikkerhet

Sammenligning av ledelsesstandarder for risiko

Strategisk styring av universitets- og høyskolesektoren. Ekspedisjonssjef Toril Johansson DFØs styringskonferanse 22. januar 2014

Foto: Colourbox.com HELSE, MILJØ OG SIKKERHET HANDLINGSPLAN // UNIVERSITETET I BERGEN

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

DET KONGELIGE KUNNSKAPSDEPARTEMENT. Vår ref Dato

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Strategi for Informasjonssikkerhet

SAK 14/18 VEDLEGG A SATSINGSFORSLAG 2020

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Aggregering av risiko - behov og utfordringer i risikostyringen

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Virksomhetsstyring i Bane NOR SF

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Veiledning- policy for internkontroll

Ledelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Ledelse og. kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helseog omsorgssektoren

Norsox. Dokumentets to deler

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

RAPPORTERINGSKRAV FOR 2018 FOR PRIVATE HØYSKOLER

Revisjon av IT-sikkerhetshåndboka

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Nasjonalt fagutvalg - Fagutvalget

RAPPORTERINGSKRAV FOR 2017 FOR PRIVATE HØYSKOLER

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Programmandat. Versjon Program for administrativ forbedring og digitalisering

Spørreundersøkelse om informasjonssikkerhet

Nye ISO 14001:2015. Utvalgte temaer SPESIELLE FAGLIGE ENDRINGER

Behandlet dato Behandlet av Utarbeidet av

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

Velkommen v/tina Lingjærde

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Gjelder fra: Godkjent av: Camilla Bjørn

STYREMØTE 17. februar 2011 SAKSNR 004/11

Referat. Felles studieadministrativt tjenestesenter - FSAT. Møte i styret for FSAT 19. oktober 2016 FSAT Til stede:

GEVINSTREALISERING I PRAKSIS - ENDRINGSVILJE OG EVNE

Oppdraget. Leveranse 1 Oversikt over utvalgte statlige digitaliseringsinitiativ som påvirker kommunene (pilottest).

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Slikt kan du starte med internkontroll for arkiv i din virksomhet. Kristine Brorson

Transkript:

Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet og personvern

DIGITALISERINGSSTRATEGI INFORMASJONSSIKKERHET OG PERSONVERN

Digitaliseringsstrategi «Utstrakt bruk av data og teknologi innebærer utfordringer knyttet til informasjonssikkerhet» «Deling av data stiller forskerne overfor nye utfordringer knyttet til datasikkerhet og riktig håndtering av data» «Studenten må bevisstgjøres etiske, juridiske og sikkerhetsmessige problemstillinger» «Ledelsen må ivareta institusjonens verdier og interesser, og følge nasjonale føringer gjennom systematisk arbeide for styrket informasjonssikkerhet» «Helhetlig styring og ledelse av informasjonssikkerhet er et fundament for digitalisering og strategiske satsninger, og bygger opp under sektormålene» «Institusjonene skal ha egeninteresse i å løfte kravene til informasjonssikkerhet høyere enn de nasjonale minstekravene» «KD vil fortsette å stille tydelige krav til institusjonene mhp informasjonssikkerhet» «KD skal styrke styringen av informasjonssikkerhet»

KD vil styrke styringen av informasjonssikkerhet og personvern KD vedtok sommeren 2018 å basere sektorstyringen av informasjonssikkerhet og personvern på den internasjonale standarden ISO27014:2013 Hensikten er at KD skal ha oversikt over tilstanden i sektoren på området Ønsker å vite om tilstanden medfører en risiko for manglende måloppnåelse, eller uakseptable sikkerhetshendelser Gjøre prioriteringer og beslutninger basert på tilstandsoversikt og risikovurderinger

KD vil ha oversikt over tilstand og risiko På vegne av KD gjennomfører deler av styringsmodellen KD vil som eier av sektoren: - Gi retning og krav - Tilstandsoversikt/risikovurdering - Vurdere tilstand og gjøre beslutninger - Kommunisere Eget lokalt arbeid på informasjonssikkerhet og personvern Eget lokalt arbeid på informasjonssikkerhet og personvern Instit usjo n n Virksom het n Andre virksomheter (direktorater, ASer etc) Universiteter og høgskoler

Brev fra statsråden til virksomhetene «Digitalisering av høyere utdanning og forskning er en av mine hovedprioriteringer» «..men mange virksomheter har utfordringer med internkontroll og styring av informasjonssikkerhet. Informasjonssikkerhet er en grunnleggende forutsetning for å kunne lykkes med digitalisering.» «Kunnskapsdepartementet innfører en ny modell for styring av informasjonssikkerhet og personvern i høyere utdanning og forskning.» «Jeg forventer jeg at virksomhetene selv styrker egen styring av informasjonssikkerhet og personvern for å håndtere den risikoen økt digitalisering medfører.» «Jeg forventer også at håndteringen av dette viktige området integreres i den generelle virksomhetsstyringen og er tydelig forankret i styret og toppledelsen.» «..spesielt viktig i kunnskapsvirksomheter hvor forvaltning og forediing av store mengder informasjon og data er en så viktig del av selve kjernevirksomheten. Det er derfor avgjørende at vi klarer å ivareta informasjon og data på en god måte og til beste for samfunnet.» «Vi har utfordringer med å lukke de avvikene som skal gi en tilfredsstillende sikkerhet i dag.» «Departementet og Unit har tilpasset styringsmodellen i standarden til sektornivået i høyere utdanning og forskning, og viktige prinsipper modellen er helhetlig risikostyring, mål- og resultatstyring og kontinuerlig forbedring.»»kunnskapsdepartementet har gitt Unit ansvaret for den løpende sektorstyringen av informasjonssikkerhet og virksomhetene vil merke dette gjennom.» «I etableringen av styringsmodellen skal også Unit vurdere hvordan behovet for veiledning og praktisk bistand, som tidligere ble levert av Uninetts sekretariat for informasjonssikkerhet, best kan dekkes. Unit er ikke satt opp til å yte denne bistanden i dag.» «Unit vil ta kontakt og foreslå tidspunkter for besøk hos virksomhetene for å informere mer om styringsmodellen.»

Virksomhetene vil merke sektorstyringen ved Tydeligere retning Delstrategi for informasjonssikkerhet og personvern med klare målsetninger for sektoren og institusjonene Planmessig iverksetting Gjennom en handlingsplan som iverksetter delstrategien Overordnet policy som gir retningslinjer og kommuniserer krav Tettere oppfølging Unit vil kartlegge graden av måloppnåelse av sektoren og virksomhetene gjennom undersøkelser og årlige risikovurderinger Riktigere prioriteringer Resultater fra undersøkelser og risikovurderinger som Unit gjennomfører vil danne grunnlaget for nye målrettede tiltak Tilpasset veiledning gjennom at Unit vil lage generelle veiledninger for informasjonssikkerhet og personvern tilpasset høyere utdanning og forskning

Styringsmodellen (ISO27014:2013)

Kort om prosessene i modellen 1. Styre Delstrateger og handlingsplaner for Informasjonssikkerhet og personvern Policy, definere risikoaksept, tilpasse til sektormål, digitaliseringsstrategi, mm. 2. Monitorere Risiko- og tilstandsvurdering på sektornivå 3. Evaluere Sikre at nye satsinger tar høyde for informasjonssikkerhet, evaluere måloppnåelse, korrigere mm. 4. Kommunisere Kommunisere tilstand til interessenter, utvikle rammeverk og utarbeide generelle veiledninger, informasjons til sektoren,mm. 5. Forsikre Uavhengige evalueringer, revisjon

Styre (Direct) Prosessen omfatter de aktivitetene som gir retning til informasjonssikkerhetsarbeidet. Kunnskapsdepartementet: Godkjenner strategi og policy Vurderer behov (statsbudsjett) Gir styringssignaler Unit: Utvikler og implementerer strategi og policy Utvikler handlingsplan Ledende rolle og skal sikre god brukermedvirkning Fremmer en positiv sikkerhetskultur Stikkprøver av virksomheter

Monitorere Prosessen gjør det mulig for KD og Unit å vurdere måloppnåelse og risiko. Kunnskapsdepartementet: Vurdere Units rapporter Vurdere informasjon fra andre (JD, dept) Selvstendige vurderinger av risiko Unit: Vurdere nasjonale risiko- og trusselvurderinger Gjøre overordnet risikovurdering Vurdere informasjon om hendelser, trusler og sårbarheter fra SRM Årlig risiko og tilstandsvurdering Rapportere til KD om endringer i trusselbildet

Evaluere Prosessen innebærer å vurdere nåværende og fremtidig måloppnåelse med utgangspunkt i dagens tilstand og planlagte endringer, og bestemme hvor det er behov for justeringer. Kunnskapsdepartementet: Sørge for at planer og tiltak tar høyde for informasjonssikkerhet og personvern Prioriterer og initierer tiltak basert på tilstandsvurderinger Unit: Sikre at informasjonssikkerhet og personvern understøtter sektorens målsetninger Evaluere tilstanden på informasjonssikkerhet og personvern i sektoren mot målsetninger og risiko for manglende måloppnåelse

Kommunisere Prosessen omfatter toveiskommunikasjonen mellom de styrende enhetene og interessentene. Kunnskapsdepartementet: Rapporterer til eksterne interessenter Behandler resultater fra eksterne gjennomganger Gjøre seg kjent med krav i regelverk og interessenters forventninger Unit: Rapportere til eksterne interessenter Rapporterer utfordringer på området fra eksterne gjennomganger til KD Rammeverk og veiledning til sektoren Gi råd til KD og sektoren Ad-hoc rapporter ved behov

Status på innføringen Kartlegging av de 21 statlig eide institusjonene ferdig Kartlegging av de øvrige 9 virksomheter er i sluttfasen Risiko- og tilstandsrapport av informasjonssikkerhet og personvern i UHsektoren er overlevert til KD (unntatt offentlighet 15) Åpen risiko- og tilstandsvurdering er i sluttfasen Handlingsplan / strategi Policy for sektoren fra 1/1-20

HVIS VI HAR TID TIL OVERS.

Oversikt over informasjonsverdier 25 Oversikt over informasjonsverdier 20 15 10 5 0 Delvis oversikt Liten oversikt

Systematisk risikostyring Antall av Risikobasert tilnærming 16 14 12 10 8 6 4 2 0 I stor grad Delvis I liten grad

Ledelsessystem intergrert i virksomhetsstyringen Ledelsessystem som er integrert i virksomhetsstyringen 12 10 8 6 4 2 0 I stor grad Delvis I liten grad

Har etbalert en kontinuitetsplan 18 Etablert kontinuitetsplan for å håndtere alvorlige IKT-hendelser 16 14 12 10 8 6 4 2 0 Har ikke Under arbeid Har etablert

www.unit.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding