Leverandøren en god venn i sikkerhetsnøden?

Like dokumenter
Informasjonssikkerhet og digitalisering

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Bergen kommunes strategi for informasjonssikkerhet

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Veiledning for. Spesielt rettet mot små og mellomstore bedrifter

Arkiv skal ikkje førast ut or landet

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll i mindre virksomheter - introduksjon

Oslo kommune Utdanningsetaten

Hver dag jobber vi for å holde HiOA

Databehandleravtale. Denne avtalen er inngått mellom

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Mobile enheter, sikkerhet og personvern. Bjørn Erik Thon direktør

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Risikovurdering av AMS

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Styresak Orienteringssak - Informasjonssikkerhet

Månedsrapport januar 2014

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Månedsrapport Juni, juli, august 2014

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Styringssystem i et rettslig perspektiv

MØRKETALLSUNDERSØKELSEN 2010

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Endelig kontrollrapport

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Databehandleravtaler. Tommy Tranvik Unit

Hvor krevende er det egentlig å åpne data?

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no

Beslutningstøttesystem for effektiv drift av bygninger. Teknisk vinteruke Storefjell Resort Hotel, Gol

Personvern og informasjonssikkerhet ved anskaffelser

3.1 Prosedyremal. Omfang

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

Sikkerhet adferd eller teknologi? Ellef Mørk, sikkerhetsleder

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Endelig kontrollrapport

Risikovurdering av Public 360

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Risikoanalysemetodikk

Din erfaring gir riktig plaster på såret!

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Følger sikkerhet med i digitaliseringen?

UTS Operativ Sikkerhet - felles løft

Strategi for Informasjonssikkerhet

Kartlegging av digital sikkerhetskultur Våre erfaringer

Veiledning om skytjenester

Objektsikkerhet i praksis Scandic Helsfyr hotell, 26. november 2015, kl Trusselsituasjonen, fysisk utforming og sikring av NAV-kontor

10-1. Kvalitetssikringsrutiner for oppfyllelse av plan- og bygningsloven

Saksbehandler: Rigmor J. Leknes Tlf: Arkiv: 033 Arkivsaksnr.: 11/

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

TIPS OG RÅD TIL DEG SOM SKAL SØKE LÆREPLASS

Tjenester i skyen hva må vi tenke på?

Sikkerhetsforum 2018

Datasikkerhet internt på sykehuset

Overordnet IT beredskapsplan

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Her kan du lese om Foreldreansvar og daglig omsorg Partsrettigheter Rett til la seg bistå av advokat Klage muligheter Rett til å la seg bistå av tolk

næringsliv TEKNA-RAPPORT 3/2015

Verneombudet Verneombudets oppgaver og rettigheter

Informasjonssikkerhet

Offentlige IT-anskaffelser perspektivet fra kundeplaneten

Å være i gruppa er opplæring i å bli trygg. Erfaringer fra samtalegruppe i Telemark

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Kapittel 10. Krav til kvalitetssikring

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

Proplan Attføring. Personalsystemet for attføringsbedrifter

Lederveiledning: Planlegging

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Månedsrapport februar 2014

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Altinn - Test Anne Risbakk Testleder i Altinn

Kan du holde på en hemmelighet?

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet

En enklere hverdag mer tid til barna

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Norge digitalt Teknologiforum

Informasjonssikkerhet i forordningen

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

Noen utvalgte arbeidsgivertema for brann

Fra Fylkesmannen: Gry Helander Våga

Transkript:

Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring

Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver 06.12.2012

www.norsis.no 06.12.2012

06.12.2012

Hva gjør vi? Nasjonal Sikkerhetsmåned 100 + foredrag pr år 250 møter pr år 15 medieoppslag pr uke 4.000 på e-post liste/ nyhetsmail Slettmeg, 1. halvår 2012 3.600 henvendelser 756.500 sidevisninger slettmeg.no 06.12.2012

Egne arrangementer Sikkerhetstoppmøte, 3 pr år Security Divas Tilsyn og departement Sikkerhetskultur IDentitet Kraft IS Sikkert NOK - åpning av sikkerhetsmåneden 06.12.2012

NOEN UTFORDRINGER 06.12.2012

Økt sårbarhet Mørketallsundersøkelsen 2012 Tar i bruk mer teknologi Større avhengighet av teknologi Informasjonsverdien øker Synkende sikkerhetsbevissthet 62 % kritisk når ITsystemene er nede inntil 1 dag Halvparten outsourcer ITdriften 06.12.2012

Forskjell og likheter? Utkontraktering Skytjenester 06.12.2012

06.12.2012

TRUSLER VI SER 06.12.2012

Små bedrifter 06.12.2012

06.12.2012

06.12.2012

06.12.2012

06.12.2012

06.12.2012

TU, 11. september 2012 kl. 15:03 06.12.2012

06.12.2012

www.msb.se 06.12.2012

Erfaringer fra MSB Konsentrasjon av it-drift til få, store driftleverandører skaper nye sårbarheter i samfunnet En teknisk feil kan treffe flere deler av samfunnet samtidig. Det skjer raskt, og det er vanskelig for samfunnet og få oversikt over konsekvensene Det er nødvendig med bedre forebyggende sikkerhetsarbeid: Risikovurderinger Informasjonsklassifisering Berdskapsplanlegging Stille krav til sikkerhet 06.12.2012

06.12.2012

Ddos angrep Angrepet Norsk Tipping DNB Politiets sikkerhetstjeneste IT-avisen, Den britiske sikkerhetstjenesten SOCA Den tyske avisen Bild

06.12.2012

TENK PÅ

Tiltak - leverandører Formål http://www.youtube.com/watch?v=ryaz57bn4pq Ansvar og omfang Valg av leverandør Avtaler Overføring til ny leverandør Oppfølging av avtalene og servicenivå

Ansvar og omfang Ledelsen har uansett ansvar for å følge lover/ forskrifter Hva kan / skal leverandører gjøre? Hva er målet med å bruke leverandør? Kostnader, effektivisering, ny teknologi, kompetanse, sikkerhet? Hva er kjernekompetansen i virksomheten? Gjennomfør verdivurdering/ klassifisering Hva er kritisk Ha orden i eget hus Hva skal være inn og hva kan være ute?

Valg av leverandør Anskaffelsesprosessen Prekvalifisering (3-5) Anbudsprosess beskriv hva jobben går ut på Forhandlinger (2-3) Kravspesifikasjon Risikovurderinger Hva kan gå galt? Sammen med leverandøren? Driftsstans, gjenoppretting, sikkerhetskopiering, beskyttelse av informasjon mv. 06.12.2012

Hva er dine krav sikkerhet? Arbeidsdeling sikkerhet, beredskap Krav til Tilgjengelighet (oppe-/ nedetider, feilutbedring) Integritet (tap av data, data på avveier) konfidensialitet Håndtering av lovkrav, f eks personopplysningsloven, beredskapsforskriften Beredskapsløsninger/ planer Sikkerhetsløsninger Lisenser Hvordan måle? Sanksjoner

Avtaler god og balansert Avtaleforhandlinger Bransjeavtaler? Standardavtaler? Må dekke alle faser (Oppstart, drift, avslutning) Viktige krav i alle faser Underleverandører/ 3. part Databehandleravtaler DnDs avtaler IKT-Norge Statens standard Datatilsynet

Avtalens krav til informasjonssikkerhet Følger anerkjente standarder Taushetsplikt Risikovurderinger Sikkerhetsoppdateringer Sikkerhetskopiering/ gjenopprette Sikkerhetsløsninger Tilgang- og adgangskontroll Endringshåndtering Sikkerhetshendelser Beredskap og iverksetting Gjennomganger og sikkerhetskontroller

Overføring til leverandør Ha egne krav ved overføring/ oppstart Gjennomfør risikovurdering av overgangen 06.12.2012

Fallgruver ved utkontraktering Utilstrekkelig kvalitet ved tjenestene Mangelfull kontrakt Uklare ansvarsforhold Dårlig samarbeid/ samhandling Virksomheten mister kompetanse og mangler evne til Å vurdere kvalitet Styring og kontroll (f eks sikkerhet) Å sørge for å følge loven Integrasjon med systemer virksomheten selv drifter Undersøkelse ved BI

Ikke glem Ha tydelige roller hos virksomhet og leverandør Behold noe IT-kompetanse «hjemme» Ha god endringskontroll Risikovurdering ved større endringer Definer målepunkter i SLA Møter jevnlig, f eks månedlig Oppfølging / sikkerhetsgjennomganger

Sjekklister Vær forberedt Mange hjelpemidler finnes Ha kontroll 20.9.2012

Sikkerhetsarbeid er som husarbeid du ser det først når det ikke blir gjort

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding