Informasjonssikkerhet i UH-sektoren

Like dokumenter
Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

UNINETT-konferansen 2017

Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian

Sikkerhetsforum 2018

Sikkerhetsforum i UH sektoren

Revisjon av informasjonssikkerhet

INFORMASJONSSIKKERHETSPOLICY. Geir Tutturen IT-leder, UMB

Nytt fra sekretariatet

Risikovurdering av Public 360

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Høgskolen i Telemark Styret

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

Revisjon av IT-sikkerhetshåndboka

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

VI BYGGER NORGE MED IT.

Ny styringsmodell for informasjonssikkerhet og personvern

Oppfølging av informasjonssikkerheten i UH-sektoren

Gode råd til sikkerhetsansvarlige

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Avito Bridging the gap

Styret Helse Sør-Øst RHF 14. desember 2017

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Styringssystem i et rettslig perspektiv

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Hva er et styringssystem?

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Internkontroll og informasjonssikkerhet lover og standarder

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Informasjonssikkerhetsprinsipper

UTS Operativ Sikkerhet - felles løft

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Difis veiledningsmateriell, ISO og Normen

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Sikkerhetskultur og informasjonssikkerhet

Gode råd til sikkerhetsansvarlige

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Policy. for. informasjonssikkerhet. ved NMBU

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Politikk for informasjonssikkerhet

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Universitetet i Stavanger Styret ved Universitetet i Stavanger

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid


KF Brukerkonferanse 2013

Styringssystem for informasjonssikkerhet et topplederansvar

Krav til informasjonssikkerhet i nytt personvernregelverk

Innføring av ny personvernforordning (GDPR) på universitetet

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Kan du legge personopplysninger i skyen?

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Perspektiver og planer ved Universitetet i Oslo

Universitetet i Agder. Policy for informasjonssikkerhet ved

Forvaltningsrevisjon IKT sikkerhet og drift 2017

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Informasjonssikkerhet i Norge digitalt Teknologiforum

Styringssystem for informasjonssikkerhet ved Høgskulen i Volda

Omsorg for informasjonssikkerheten

BILAG 1 DATABEHANDLERAVTALE

Endelig kontrollrapport

Policy for informasjonssikkerhet ved U1S

Policy for informasjonssikkerhet ved HSN

Nettskyen, kontroll med data og ledelsens ansvar

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Kommunens Internkontroll

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Overordnet IT beredskapsplan

Risikoanalysemetodikk

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Databehandleravtale etter personopplysningsloven

Norges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Internrevisjon Direktørmøte Høst 2015

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Transkript:

Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012

Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2

Bakgrunn Tradisjonelt: Sikkerhet = teknisk sikkerhet 80 % holdninger, 20 % teknologi 3 GigaCampus: Mer fokus på overordnet sikkerhetsarbeid Fra IT-sikkerhet til informasjonssikkerhet

Bakgrunn UNINETT-konferansen 2007: «GC setter sikkerhetspolicy på dagsordenen» «Grunnpakke» IT-revisjon Sikkerhetspolicy 4 Risiko- og sårbarhetsvurderinger (ROS-vurderinger), Kontinuitets- og beredskapsplaner (KBP), mv.

Hvem er «vi»? 5 personer fra UNINETT + 1 ekstern Nett- og systemavdeling + FAS Bakgrunn: sikkerhet, nett ++ 4 CISA + 3 i emning 5

Gjennomføring: IT-revisjon 1-dags «on-site» befaring, intervjuer, mv. Rapport med anbefalinger Konfidensiell! Sjekklister basert på ISO 27001/27002 og beste praksis Avstemt mot Datatilsynet og Riksrevisjonen 6

Gjennomføring: informasjonssikkerhetspolicy «Standard» policy 1-dags workshop: Tilpasning til lokale forhold 7 Sikkerhetsmål og -strategi Roller og ansvar Overordnede retningslinjer

Informasjonssikkerhetspolicy 8

Policy: dokumentstruktur 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. Styrende 2) Overordnede retningslinjer for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policyen. Styrende 3) Standarder og prosedyrer for informasjonssikkerhet inneholder detaljerte retningslinjer for implementering av sikkerhetsarbeidet. Gjennomførende og kontrollerende Hvorfor Hva Hvordan 9

Rutiner («Nivå 3- dokumenter») Forslag til noen av de viktigste rutinene IT-reglement Taushetserklæring Hendelses- og avvikshåndtering Klassifisering ROS-vurderinger 10 Ikke oppdatert på en stund lite tilbakemeldinger

Finansiering Tilbud til GigaCampus-deltagerne Finansiering: GigaCampus Fastpris for revisjon og policyworkshop Dette har vi fortsatt med i @campus 11

Deltagelse Hovedfokus på høgskolene og de nye universitetene Breddeuniversitetene har i stor grad egne ressurser 12

Resultater og erfaringer IT-revisjoner: 30 Resten: Internrevisjon 13 Andre eksterne Ikke svart Policyworkshops: 25 ROS: 8

Oppfølging 14

Resultater og erfaringer: funn Mangler sikkerhetsmål og -strategi Mangler IT-strategi Mangler ROS-vurderinger Mangler kontinuitets- og beredskapsplaner for IT Generelt lite dokumentasjon Vi etterspør ikke mye! Lovkrav + beste praksis ift. bl.a. avhengighet 15

Resultater og erfaringer: lovkrav Lov/forskrift POF 2-3 Skkerhetsmål og -strategi Hvor mange har oppfylt kravet? Ingen POF 2-12 KBP for IT Ingen POL 13 POF 2-4 POL 16-22, POF 3 Databehandleravtale med tredjeparter ROS-vurdering mht. info-sikkerhet Oversikt over personopplysninger Ingen Noen få Noen få 16 POF 2-6 System for avvikshåndtering Halvparten POF 2-5 Gjennomført revisjon Alle!

Resultater og erfaringer Den menneskelige faktor (PEBKAC) Dårlig forankring i ledelsen Dårlig ledelsesforankring gjør at IT-avdelingen setter sikkerhetsnivået ubalanserte tiltak Dette er ikke IT-avdelingens feil! 17

Hvorfor sikkerhetspolicy? Formulerer ledelsens mål og intensjoner for informasjonssikkerheten Felles platform for sikkerhet Overordnede og langsiktige føringer Retningslinjer og prosedyrer gir detaljert beskrivelse av tiltak; understøtter policy Felles plattform i UH-sektoren: understøtter samarbeid Viser at virksomheten tar sikkerhet på alvor It s the law! 18

Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet 19

Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert 20

Velbegrunnet sikkerhet? 21

Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert beskrive hva den dekker definere ansvar og kontaktpunkter angi hvordan brudd vil bli håndtert 22

Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert beskrive hva den dekker definere ansvar og kontaktpunkter angi hvordan brudd vil bli håndtert 23

Veien videre: Sekretariat for informasjonssikkerhet GigaCampus @campus Sekretariat for informasjonssikkerhet Samme målgruppe IT-revisjon «første runde» ferdig Samme finansieringsmodell ROS-vurderinger Ledelsens gjennomgang BIA, og etter hvert: kontinuitets- og beredskapsplaner Oppfølging 24

Veien videre: ROS-vurderinger Lovpålagt: personopplysningsforskriften 2-5 Rammeverk basert på NSM/SSØ Har gjennomført på 3 institusjoner Personopplysninger IKT-infrastruktur 25

Veien videre: KBP for IT Personopplysningsforskriften 2-12 Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk Etablere rammeverk for KBP med standard prosedyrer mv. Utfordring: finne et passende nivå! Samarbeid med UMB og UIS 27

Veien videre: rammebetingelser Riksrevisjonens Dokument 1 Kritikk av DSS, KD Kunnskapsdep. vil legge større vekt på sikkerhet tildelingsbrev til UH-sektoren Sekretariat for informasjonssikkerhet Er i ferd med å bli etablert, 1 ny stilling i 2012 29

En metodisk tilnærming til sikkerhet en risikostyrt tilnærming 30

Helt til slutt http://www.isaca.org http://www.sfso.no http://www.nsm.no http://www.datatilsynet.no 31 Kontakt: per.a.enstad@uninett.no 930 91 420

TAKK FOR OPPMERKSOMHETEN! Spørsmål? 32

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding