Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian

Like dokumenter
Informasjonssikkerhet i UH-sektoren

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Beredskapsseminar 2012 NTNU og Safetec. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Saksbehandler: Wenche Håvik Arkiv: 007 Arkivsaksnr.: 14/2730

Kan være studiesjef, eventuelt må vedkommende samarbeide tett med studiesjefen på dette feltet Sikrer at studiesjef har oversikten, og er involvert i

Instruks for administrerende direktør Helse Nord IKT HF. Vedtatt av styret xx.xx.2016

Digitaliseringsstrategi

UNINETT-konferansen 2017

Forvaltningsrevisjonsrapporten "Styring av IKT-satsningen i Hedmark fylkeskommune

Fagsamling med tema migrasjon og helse

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Revisjon av IT-sikkerhetshåndboka

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

OVERORDNET HMS MÅLSETTING

Informasjon og medvirkning

Kommunal beredskapsplikt

Velferdsteknologi i morgendagens omsorg. Une Tangen, rådgiver KS Forskning, innovasjon og digitalisering

Bratsberg skole. Arbeidsløype spesialpedagogikk

LÆRINGSMILJØARBEIDET VED UNIVERSITETET I TROMSØ STUDIEÅRET Årsrapport fra Læringsmiljøutvalget (LMU)

Avsnittet KRISESTABENS SAMMENSETNING OG OPPGAVER (sd.4) endres slik: 2. Tabellen (kriseledelsen) på sd.12 utvides slik: /

IMPLEMENTERING AV INSTRUKS FOR BUFETAT

TJENESTERAPPORT TIL KOMMUNESTYRET I HEMNE

Alta kommune. Sluttrapport: Samspillkommune 30 Elektronisk informasjonsutveksling i pleie- og omsorgstjenesten i kommunene

Videreutdanning. Medlemsundersøkelse blant lærere i grunnskolen og videregående skole juni Oppdragsgiver: Utdanningsforbundet

Referat fra styremøte i ØRU 12. juni 2015 Tid: Kl Sted: Tunet

V.1. Kontroll av elektriske anlegg om bord i fiske- og fangstfartøy og lasteskip under 15 meter

HELSE, MILJØ OG SIKKERHET

Arkivering av vitenskapelige artikler ved UiA

VIRKSOMHETS-/ LEDERAVTALE 2013

HMS - ansvar i mindre prosjekter

SYSTEMRETTET ARBEID ETTER OPPLÆRINGSLOVENS KAPITTEL 9A Oppgave/tiltak Ansvarlig Tidspunkt. vårhalvåret. skolens ledelse

PROSJEKTET HELHETLIG KOMPETANSEBYGGING AKUTT FORURENSNING UTKAST TIL LÆREPLAN TIL HØRING (versjon M)

Prosjektbegrunnelse for. Felles Datakatalog

MØTEINNKALLING KONTROLLUTVALGET HAR MØTE PÅ RÅDHUSET FREDAG 30. JANUAR 2015 KL ÅPENT MØTE

Oppsummeringsrapport internrevisjon. Forebygging av uønskede hendelser. Stjørdal mars 2014 INTERNREVISJONEN

TJENESTERAPPORT TIL KOMMUNESTYRET I HEMNE

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

ebok #01/2016 Med fokus på HMS Helse, miljø og sikkerhet STICOS ebok #01/2016 TEMA: HMS SIDE: 01

Velkommen til møte i Fylkesberedskapsrådet

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT

Side : 1 av 7 Dato : Utgave : 1

IKT-styring hvordan kan det gjøres bedre? Diskusjon med deltakelse fra salen

Medarbeidersamtalen ved Det helsevitenskapelige fakultet

Tema: Budsjett for standardisering av IKT-systemer i HiST

LOKAL BEREDSKAPSPLAN DET SAMFUNNSVITENSKAPELIGE FAKULTET

FYLKESMANNENS TILSYN MED GRUNNSKOLEOPPLÆRING FOR VOKSNE

Høgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle ( Strategiområde Hovedmål Delmål

Kontrollutvalget i Strand INNKALLES TIL MØTE 19. oktober 2009 kl i Formannskapssalen Møtet er åpent for publikum og presse

Risiko- og sårbarhetsanalyser. behov for temadata. NGU-dagen Karen Lie, Direktoratet for samfunnssikkerhet og beredskap

HØRINGSSVAR FRA DRAMMEN KOMMUNE OM ET FORSVARLIG SYSTEM I OPPLÆRINGSLOVEN

Arkivkode: Fakultetsstyresak: 44 Saksnr.: 2013/13470 Møte: 16. juni 2016 REVIDERT BEREDSKAPSPLAN FOR DET MATEMATISK-NATURVITENSKAPELIGE FAKULTET

MØTEINNKALLING FOR KOMITE FOR OPPVEKST OG UTDANNING

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Inspecta Stålproduksjon i Østen. 12/11/2013 Brukonferansen 2013

Endringer i introduksjonsloven

Kontinuitet for IKT systemer

Rapport. April 2016 Halvor Spetalen Yrkesfaglærerutdanning i restaurant- og matfag Institutt for yrkesfaglærerutdanning Høgskolen i Oslo og Akershus

MØTEINNKALLING. Helse- og omsorgsutvalget

Svar på spørsmål som ofte dukker opp i forbindelse med rektorutdanningen

Sekretariat for kontrollutvalg i Agder SIRDAL KOMMUNE KONTROLLUTVALGET

Saksbehandler: Nils Erik Pedersen Saksnr.: 16/ Rådmannens innstilling: Fremlagte organisasjonsendring i Teknikk og miljø tas til orientering.

Foreldrerepresentanter mener at diskusjoner som var under siste møtet ikke ble belyst godt nok, Anna Ingeborg skal se på det.

Rapport informasjonssikkerhet Helgelandssykehuset 2015

ÅRS- OG HALVÅRSRAPPORTERING. 6. september 2011

PPT for Ytre Nordmøre

Saksframlegg. Trondheim kommune. OPPBEVARING AV KONTANTER PÅ SYKEHJEMMENE Arkivsaksnr.: 05/ Forslag til innstilling legges frem på møtet.

Svein Borkhus fylkesrådsleder

Bruk av evaluering i styringen

HOVEDINSTRUKS FOR Direktoratet for e-helse

13/ &14 TJENESTERAPPORT TIL KOMMUNESTYRET I HEMNE

Analyse av nasjonale prøver i lesing, regning og engelsk pa ungdomstrinnet 2015 for Telemark

Saksbehandler: Elin Vikene Arkiv: 033 Arkivsaksnr.: 15/1084. Hovedutvalg helse og omsorg

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Oppsummeringsrapport fra inspeksjon ved. serveringsteder i Rogaland og Agder høsten 2011

Fylkesmannen i Oppland

Etablering av helsetjeneste for flyktninger Holmestrand kommune høsten Helsetjeneste asylsøkere Ole Johan Bakke Holmestrand kommune

Arbeidstid. Medlemsundersøkelse mai Oppdragsgiver: Utdanningsforbundet

REKRUTTERING/INNTAK. Brukere Foreldre Barn Totalt

1800 MHz-auksjon. Oppsummeringsdokument Nkoms vurderinger etter høring av overordnede rammer for tildelingen. 20. april 2015

Innherred samkommune Brannforebygging

Læring og nye samarbeidsformer i byggenæringen Kunnskapsfrokost BI 26 februar

Studieplan 2009/2010

Statsbudsjettet 2016 tildelingsbrev Kunst i offentlige rom, KORO

Tiltaksutredning for lokal luftkvalitet i Oslo

VELKOMMEN TIL DAG 2! Molde november 2012

«Operasjoner i et utfordrende miljø, hvordan opprettholde et høyt sikkerhetsnivå over tid?».

OSLO KULTURNATT 2015 PUBLIKUMSUNDERSØKELSE. Kjersti Tubaas

BEBY-sak 57-04: Forvaltningsrevisjonsprosjektet "Barnevern i barnehager". Delrapport I

Årsplan Voksenopplæringen. Årsplanen inneholder noen faktaopplysninger om enheten.

BRUKERUNDERSØKELSE HØGSKOLEN I BODØ 2010

UNGDATA. Presentasjon Østfold

Her bør det presiseres hvilke FAM som vinner dersom det er behov for to FAM på samme fag.

Pilotprosjekt: Lokaliseringsteknologi. Leonila Juvland Spesialsykepleier Demensteam

ORDFØREREN I ØVRE EIKER,

Vestfold EnergiForum Til: Vestfold Energiforum - partnerskapet Dato: Status: Forslag Vedtatt av partnerskapet

Risikovurdering av Public 360

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Transkript:

Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian

Litt historikk IT-sikkerhetsarbeidet ved UiS startet opp sammen med UNINETT og andre aktører i 2009. Formålet var å få en IT sikkerhetspolicy. Fokuset har vært på sikkerhetsarbeidet ved ITavdelingen for teknisk infrastruktur (nettverk) og datasikkerhet. UiS fikk samtidig brev fra Riksrevisjonen med spm om prosessen og hvor langt arbeidet hadde kommet. Derfor ble arbeidet gitt høyeste prioritet.

Litt historikk Kartlegging ble gjennomført som en en-dags workshop 20 juni 2009, ved UiS. Det ble gjennomført intervjuer av nøkkelpersoner fra ledelse, personal og IKT. Det ble også kartlagt status i forhold til institusjonens informasjonssikkerhetsnivå. Det ble utarbeidet et utkast til sikkerhetspolicy for UiS, og denne ble behandlet internt for lokal tilpasning. I en felles en-dags policyworkshop, og dokumentet ble sluttført 28.august 09.

Litt historikk Som mal for vårt arbeid ble ISO-standardene 27001 og 27002 benyttet. Rapport med anbefaling av konkrete tiltak ble klargjort under en workshop høsten 2009. UiS sin Sikkerhetspolicy ble godkjent av universitetets- styret den 28.02.2010.

Konkrete interne problemstillinger i 2009 IT-infrastruktur utfordringer er: - Ikke nok investeringsmidler i 2009 - Manglende redundans på kritiske systemer som switch/router, nettverkslinjer, serverer IT-sikkerhetspolicy utfordringer er: - For åpent nettverk - Ikke god nok datasikkerhet (Personvern) - Utilstrekkelig sikkerhetsdokumentasjon IT-rutiner utfordring er: -Ikke tilstrekkelige prosedyrer og kvalitetssikring

Interne utfordringer (forts.): Manglende helhetstenkning for IKT-prosjekter i hele organisasjonen. Manglende IKT-strategi og IKT-arkitektur. Mangler utviklingsmidler, bare nok til drift. Ekstraordinære og uforutsigbare prosjektmidler som er velkomne men er uheldige for kontinuiteten. Bedre forhold til lokale IT-ressurser ved fakulteter og institutter

Hvordan sikkerhetsarbeidet ble organisert internt Riksrevisjonen reviderte datasikkerhet i november 2010, og UiS fikk noen merknader. UiS opprettet et sikkerhetsforum med fokus på selve implementasjonsprosessen, hvor det var representanter fra hver fakultet, administrasjonen, It direktør, CSO og en jurist. I tillegg til rutiner for fakultetene ble det også laget overordnete rutiner for hele UiS. Det ble utnevnt SO er (sikkerhets officer). Alle lederne ved fakultetene fikk en perm med instrukser.

Hva har vi gjort så langt? Dokument/rapporter presentert til ledelsen Gjennomgang av sikkerhetsinformasjon ved UiS 3 Tekniske ROS vurderinger ved UiS-IT 2 Sårbarhetsanalyser av nettverket (Mnemonic) SWOT analyse Beredskapsanalyse BIA (Business Impact Analyse) Dokumenter behandlet og godkjent av universitetets styret: Sikkerhetspolicy IT Strategi for UiS

Er vi sikre nok? Svaret er NEI - man må jobbe kontinuerlig med sikkerhet. Uansett hvor mye man forbedrer fysisk sikkerhet, rutiner og prosedyrer, det blir aldri nok med opplæring om hvordan informasjonssikkerhet skal håndteres. Utfordringen er fortsatt mellom tastatur og skjerm. Trenger tett oppfølging og kontinuitet i arbeidet for å kunne endre organisasjonskulturen.

Målsetting på sikkerhet Følge opp ROS-analysene og fjerne alle høyrisikoelementer i løpet av 2012-2013.

Revisjonen er gjennomført, hva nå? Sikkerhetskultur skal bygges ved å tydeliggjøre ansvarsområder. Kommunikasjon og erfaringsoverføring og holdninger til sikkerhet, kan være med å avdekke sikkerhetskulturen. UiS ledelse skal regelmessig følge opp at tiltak på grunnlag av avvik fastlegges, planlegges og gjennomføres. Sikkerhetsrevisjoner skal gjennomføres jevnlig og minimum årlig. Ledelsen skal utarbeide og vedta en plan for sikkerhetsrevisjoner i virksomheten.

Takk for oppmerksomheten

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding