SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO)
Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre er en gevinst? Måling av effekt av informasjonssikkerhet er ikke alltid like lett Oversikt over tidligere hendelser og evt. tap som følge av dette Etterlevelse (compliance) Unngå overtredelsesgebyr 4. november 2013 SLIDE 2
Aktiviteter i sekretariatet 2013 12 ROS hos UH institusjoner Fordeler seg på noen få systemspesifikke, men hoveddelen er generelle Gjennomført 2 ROS for fellessystemer 2 BIA, ISCP (Information Systems Continuity Plan) Under arbeide 1 revisjon 1 policyløp Sikkerhetsforum 2013 Nasjonal sikkerhetsmåned Utdannet 3 nye CRISC UFS 136, klassifisering av informasjon 4. november 2013 SLIDE 3
Planer for 2014 Hovedaktivitet ISCP (BIA) Rammeverk utarbeides med prosjektet hos HiOA Fortsette ROS for resten av sektoren Igangsatt prosjekt Styringssystem og internkontroll for informasjonssikkerhet Sikkerhetsforum 2014 (uke 24?) Revisjon av ROS rammeverket Strukturere opp WEB siden, www.uninett.no/infosikkerhet Tettere samarbeid med DIFI son informasjonssikkerhetssatsning ISO 2700X (implementer/auditor) 4. november 2013 SLIDE 4
Styringssystem/internkontroll - bakgrunn Riksrevisjonens kritikk av UH sektorens håndtering av informasjonssikkerhet Tilbakemelding fra Sikkerhetsforum 2012/2013 Datatilsynets kontrollrapporter i sektoren Lite ressurser lokalt, vanskelig å etablere egen kompetanse og erfaring Prosjektet er forankret i sekretariatets mandat Institusjonenes tildelingsbrev fra KD, se punkt 4.6 Sikkerhet og beredskap. 4. november 2013 SLIDE 5
Prosjektets mål * Dato * Navn / beskrivelse av milepæl 16.09.2013 Prosjektplan ferdig laget 01.11.2013 Samarbeidende institusjoner i UH sektoren er avklart Prosjektet skal levere en oversikt over hvilke regulatoriske krav som foreligger og hvordan 10.12.2013 Kartlegging av rettslige krav for UH foreligger disse best kan ivaretas av den enkelte institusjon i sektoren. 01.11.2014 Plan for kartleggings- og intervjurunder av status og utfordringer foreligger Etablere et rammeverk for styringssystem og internkontroll som er tilpasset UH sektoren 10.06.2014 Rapport: Status og utfordringer i UH sektoren foreligger Foreslå hvilke virkemidler som kan bidra til å styrke informasjonssikkerheten i sektoren. 01.10.2014 Forslag til metodikk og rammeverk for UH sektoren foreligger i 1. utkast 01.06.2015 Internkontrollsystem for informasjonssikkerhet etablert i minst 2 av de Utvikle et standard styrings- og rapporteringsverktøy som samarbeidende institusjonene institusjoner skal anvende for å sikre en felles metode for rapportering av arbeid og status på informsasjonssikkerhet. 01.08.2015 Metode og skjematikk for rapportering til Kunnskapsdepartementet foreligger 31.08.2015 Endelig metodikk og rammeverk for innføring av et styringssystem i UH sektoren foreligger. 01.01.2016 Håndbok/veilleder i internkontrol for informasjonssikkerhet, manuskript ferdig til korrektur og språkvask 01.06.2016 Håndbok/veileder definert av KD som gjeldende styringssystem for informasjonssikkerhet i UH sektoren. 4. november 2013 SLIDE 6
Vi tror Mye snakk om standarder og rammeverk, men lite om den praktiske utformingen av dem Utvikling av et tilpasset styringssystem krever systematisk kunnskap om utfordringer og behov i sektoren Sekretariatet har behov for systematisk kunnskap om effekten av virkemiddelbruk overfor sektoren for å stadig kunne bli bedre Ikke gjort før, verken nasjonalt eller internasjonalt Gode erfaringer med denne metodikken fra tidligere prosjekter 4. november 2013 SLIDE 7
Hva ønsker vi svar på? Rettsregler: Hvilke rettslige krav til sikring av informasjonsverdier gjelder for institusjoner i UH-sektoren? Regelkompetanse: Hvordan forstås og tolkes kravene til sikring av informasjonsverdier av aktørene og institusjonene i sektoren? Etterlevelsesutfordringer: Hvilke praktiske utfordringer står universiteter og høyskoler overfor når de skal etablere og drifte styringssystemer for informasjonssikkerhet? Implementering: Hvilken virkemiddelbruk kan bidra til at universiteter og høyskoler ivaretar sine rettslige plikter på området, og høyner informasjonssikkerheten? 4. november 2013 SLIDE 8