Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Like dokumenter
Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Internkontroll og informasjonssikkerhet lover og standarder

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Internkontroll i praksis (styringssystem/isms)

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Sikkert nok - Informasjonssikkerhet som strategi

Difis veiledningsmateriell, ISO og Normen

Styringssystem i et rettslig perspektiv

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Seksjon for informasjonssikkerhet

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Hva er et styringssystem?

Avito Bridging the gap

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO og ISO Rapport 2012:15 ISSN

Styringssystem for informasjonssikkerhet et topplederansvar

Endelig kontrollrapport

Databehandleravtale. Denne avtalen er inngått mellom

Risikoanalysemetodikk

Strategi for Informasjonssikkerhet

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Aggregering av risiko - behov og utfordringer i risikostyringen

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Styringssystem for informasjonssikkerhet

Endelig kontrollrapport

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Bergen kommunes strategi for informasjonssikkerhet

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Informasjonssikkerhet og ISO 27001

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Måling av informasjonssikkerhet i norske virksomheter

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Sikkerhet og personvern i skole og klasserom

ISO27001 som del av forvaltningen

Samfunnsansvar og helhetlig virksomhetsstyring i Flytoget

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Leverandøren en god venn i sikkerhetsnøden?

Retningslinje for risikostyring for informasjonssikkerhet

Informasjonssikkerhet

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Styret Helseforetakenes senter for pasientreiser ANS 08/12/10. SAK NR Gjennomgang av internkontrollen ved pasientreisekontorer 2.

Politikk for informasjonssikkerhet

UNINETT-konferansen 2017

Erfaringer med innføring av styringssystemer

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

ROS - forskningsprosjekter

Styresak Orienteringssak - Informasjonssikkerhet

Personvern - sjekkliste for databehandleravtale

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Hvor krevende er det egentlig å åpne data?

Handlingsplan for brannvern ved Helse Stavanger HF 2011

Saksframlegg. etterretning. 1. Styret tar fremlagt sak om kontrollstrategi for reiser uten rekvisisjon til

Risikoanalyse av mobilt vanntåkesystem ved Klyvetunet

Kan dere som ledere lære noe av tilsynsmyndighetene sin kunnskap og erfaringer. Solstrand Fylkeslege Helga Arianson

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Referansearkitektur sikkerhet

Avviksbehandling Fra teori til praksis

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Samlerapport etter tilsyn med legemiddelbehandling i sykehjem

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

STRAND KOMMUNE Møtebok

Arkiv skal ikkje førast ut or landet

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

Databehandleravtale etter personopplysningsloven m.m

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Startbilde. Etikk, antikorrupsjon og internkontroll. Kommunestyret Rådmann Erik Kjeldstadli, Bærum kommune

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Nasjonalt ID-kort og eid Sikker e-forvaltning

Samarbeidsforum internkontroll

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Difis verktøy til oppdragsgivere og leverandører

Per styremøte

Samlet bevilgning. neste år Utgifter Inntekter

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Internkontroll for arkiv den nye arkivplanen?

Kan du legge personopplysninger i skyen?

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Kvalitetsforbedring. Elisabeth Arntzen 24.september 2013

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Utredning av standarder for styring av informasjonssikkerhet

Transkript:

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1

Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan tilpasse systemet til virksomhetens behov Eksempler 2

Hva er internkontroll for informasjonssikkerhet Myndighetskrav eforvaltningsforskriften 15, Personopplysningsloven 14, etc, etc Internkontroll Sette i system oppfølging av krav Difi «Informasjonssikkerhet handler om å sikre konfidensialitet, integritet og tilgjengelighet på informasjon som trenger slik sikring» «Grunnlaget for det som oftest regnes som god styring med informasjonssikkerhet ligger i den sekvensielle prosessen: styrings-signal fra ledelsen, informasjonsidentifisering, risikovurderinger og valg av sikringstiltak (styrings- og kontrolltiltak innen sikkerhet)» Kjært barn har mange navn Internkontroll for informasjonssikkerhet Styringssystem for informasjonssikkerhet (SSIS) Kvalitetssystem for informasjonssikkerhet Ledelsessystem for informasjonssikkerhet Information security management system (ISMS) 3

Systemstabilitet System for god internkontroll og informasjonssikkerhet Ledelse Verdioversikt Risikostyring Avviksbehandling Rutiner Dokumentasjon Hvordan få til et godt system 4

Lett å bruke Enkelt å navigere Plassering alle kjenner til Enkelt språk i dokumentene Kun relevant informasjon «Enkelt, kort og konsist» 5

Hvorfor er internkontroll for informasjonssikkerhet viktig Effektiv drift (hvis det gjøres riktig) ELLER Sikker drift (lavere risiko og lærer av feil) Følge loven «Det du trenger når du trenger det» -Statoil Fungerer det? Ja Nei Fungerer noe av det fra før? Nei Ja Ja Er det likevel nødvendig å endre det? Endre i.h.t. veiledning/ standard Ja Må det endres totalt? Nei Nei Fjern det som ikke fungerer eller som hindrer fungering og behold resten (gjerne lagret et sted brukerne gjenkjenner) Implementer i internkontrollsystem for informasjonssikkerhet 6

1 Overordnede dokumenter Policy (mål, strategi, ansvar/roller) Ledelsens årlige gjennomgang (mål og resultater) 2 Styrende dokumenter Risikovurdering Hva har vi av verdifull informasjon Hva er risikoen for brudd på informasjonssikkerheten Hva kan vi gjøre for redusere risikoen Avviksbehandling Hva skjer av uønskede hendelser Hvordan skal vi håndtere det Egne rutiner tilpasset virksomheten Administrative Teknisk sikkerhet Informasjonssikkerhet 3 Resultatdokumentasjon Dokumentér dokumentér dokumentér Taushetserklæringer, verdifull informasjon, avviksstatistikk, utførte risikovurderinger, utførte rutiner «Styrings-signal fra ledelsen, informasjonsidentifisering, risikovurderinger og valg av sikringstiltak (styrings- og kontrolltiltak innen sikkerhet)» -Difi 1 Overordnede dokumenter Policy (mål, strategi, ansvar/roller) Ledelsens årlige gjennomgang (mål og resultater) 2 Styrende dokumenter Risikovurdering Hva har vi av verdifull informasjon Hva er risikoen for brudd på informasjonssikkerheten Hva kan vi gjøre for redusere risikoen Avviksbehandling Hva skjer av uønskede hendelser Hvordan skal vi håndtere det Egne rutiner tilpasset virksomheten Administrative Teknisk sikkerhet Informasjonssikkerhet 3 Resultatdokumentasjon Dokumentér dokumentér dokumentér Taushetserklæringer, verdifull informasjon, avviksstatistikk, utførte risikovurderinger, utførte rutiner 7

Hvor skal de ulike oppgavene plasseres i virksomheten? 1 Overordnede dokumenter Policy (mål, strategi, ansvar/roller). Integreres med andre policyer Ledelsens årlige gjennomgang (mål og resultater).. Integreres med gjennomgang av flere områder? 2 Styrende dokumenter..... Alene, sammen med HMS, øk, andre? Risikovurdering Hva har vi av verdifull informasjon Hva er risikoen for brudd på informasjonssikkerheten Hva kan vi gjøre for redusere risikoen Avviksbehandling Hva skjer av uønskede hendelser Hvordan skal vi håndtere det Egne rutiner tilpasset virksomheten... Administrative Teknisk sikkerhet Informasjonssikkerhet Avklar på hvilket nivå og hvem som er ansvarlig for utarbeidelse og oppfølging av rutinene 3 Resultatdokumentasjon Dokumentér dokumentér dokumentér Avklart sted for resultatdokumentasjon? Taushetserklæringer, verdifull informasjon, avviksstatistikk, utførte risikovurderinger, utførte rutiner Takk for meg! Kontaktinfo om det skulle dukke opp spørsmål i etterkant: oyat@nve.no (t.o.m. 30. juni) oyvindat@outlook.com (f.o.m. 1. juli) 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding