ISO27001 som del av forvaltningen

Like dokumenter
Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Sov trygt med dine journalopplysninger i DocuLive EPJ

Sertifisering og erfaringer med implementering. Anette Killingrød Kristiansen

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Internkontroll og informasjonssikkerhet lover og standarder

Hva er et styringssystem?

Lete- og utvinningsvirksomhet - avgiftsspørsmål

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Frogn kommune. Oppsummering revisjon. Høsten Kontrollutvalgsmøte 8. desember 2015 AUDIT

Kontrollkomité. Årlig egenevaluering. Audit Committee Institute. kpmg.no SELSKAP, TJENESTE 1

Difis veiledningsmateriell, ISO og Normen

Internkontroll i praksis (styringssystem/isms)

Avito Bridging the gap

Informasjonsdilemmaet ved vanskelig beslutninger

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Et lite knippe endringsforslag

Revisjonsutvalg. Årsplan. Audit Committee Institute. kpmg.no

Internkontroll for arkiv den nye arkivplanen?

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Aggregering av risiko - behov og utfordringer i risikostyringen

Revisjonsutvalg. Årlig evaluering av eksternrevisor. Audit Committee Institute

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Risikoanalyse i arkivarbeidet Ta sjansen?

Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

Sikkert nok - Informasjonssikkerhet som strategi

Grønt sykehus grønn standard

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Håndtering av ansatte på forretningsreiser/ arbeidsopphold i utlandet. Per Tore Kraby Lock Stian Bjordal Furset

Lederundersøkelsen 2017

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Styringssystem i et rettslig perspektiv

Slikt kan du starte med internkontroll for arkiv i din virksomhet. Kristine Brorson

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Slikt kan du starte med internkontroll for arkiv

Erfaringer med innføring av styringssystemer

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

HelsIT 2013 Trondheim Kjellaug Enoksen, sykehjemsoverlege, Askøy kommune spes. indremedisin, infeksjonssykdommer og samfunnsmedisin.

Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak

Tynset kommune Plan for forvaltningsrevisjon

Finans Norges bransjenormer. PwC 1

Nedbemanning. - en praktisk tilnærming. Bergen Næringsråd 13. januar 2016

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Hva kjennetegner god Risikostyring?

Styringssystem for informasjonssikkerhet et topplederansvar

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

April Hvitvasking Hvor kommer pengene fra? Granskning og Forensic Services

Hvordan kontrollere det ukontrollerte? Et ledelsesperspektiv. Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02.

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Revisjonsutvalgets årsplan

Har du kontroll på verdiene dine

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Analyse av redegjørelser for eierstyring og selskapsledelse på OSE / OBX

VEIEN TIL ET LEDELSESSYSTEM MED NS-EN ISO 9001:2015 VERITECH AS V/ MAGNUS ROBBESTAD

Plan for forvaltningsrevisjon

Fra strategi til god nok styring og kontroll

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Prosjektplan/engagement letter. Mai 2014

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden


Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

HVEM ER JEG OG HVOR «BOR» JEG?

Ledelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten

Ledelse og. kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helseog omsorgssektoren

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Styringssystem for informasjonssikkerhet

April Kampen mot korrupsjon og misligheter Granskning og Forensic Services

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Kiwa. Din leverandør av testing, inspeksjon og sertifisering

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

OVERSIKT SIKKERHETSARBEIDET I UDI

1.6 Sentrale lover og forskrifter

Finansiell analyse Langsundforbindelsen

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Saksframlegg Referanse

Haugesund kommune Plan for forvaltningsrevisjon

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Hvorfor må man skjønne virksomheten for å være en god arkivar? Kristine Synnøve Brorson

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Standarder for risikostyring av informasjonssikkerhet

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Notat. Til Dato Saksnr. Nærings- og fiskeridepartementet / Direktorat for e-helse Mona Holsve Ofigsbø Christine Bergland

Styringssystem basert på ISO 27001

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Kan du legge personopplysninger i skyen?

ISOs styringssystemstandarder et verktøy for forenkling

Følger sikkerhet med i digitaliseringen?

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Egenevalueringsskjema

Transkript:

ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory

Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor er standarden ift lovkravene? Internkontroll Hvor er standarden ift internkontroll? Oppsummering 1

Presentasjon Geir Arild Engh-Hellesvik Leder informasjonssikkerhetstjenesten i KPMG Norge Styremedlem i Cloud Security Alliance og ISACA Norway Chapters Informasjonssikkerhets tjenester i KPMG Cirka 25 medarbeidere knyttet til sikkerhetstjenester i KPMG med tverrfaglig kapasitet samarbeid med Watchcom Security Group Informasjonssikkerhetstjenesten dekker testing, revisjon, utvikling av ISMS (iht ISO27001, gjeldende lovverk, god internkontroll), utrulling/implementering, bevisstgjøring, opplæring m.m. KPMG er et ledende kompetansehus som tilbyr tjenester innen revisjon, skatt og avgift, samt rådgivning. I Norge er vi over 900 medarbeidere som skaper verdi av kunnskap i 25 byer over hele landet. Globalt har KPMG 140 000 medarbeidere i 146 land. Sikkerhetstjenesten globalt sysselsetter cirka 6 000 personer. 2

Krav til informasjonssikkerhet i lovverket

4

Lover og regler med krav til informasjonssikkerhet LOV OM BEHANDLING AV PERSONOPPLYSNINGER (PERSONOPPLYSNINGSLOVEN) FORSKRIFT TIL PERSONOPPLYSNINGSLOVEN (PERSONOPPLYSNINGSFORSKRIFTEN) LOV OM ELEKTRONISK SIGNATUR (ESIGNATURLOVEN) FORSKRIFT OM KRAV TIL UTSTEDER AV KVALIFISERTE SERTIFIKATER MV. LOV OM OPPHAVSRETT TIL ÅNDSVERK MV. (ÅNDSVERKLOVEN) LOV OM BOKFØRING (BOKFØRINGSLOVEN) MED FORSKRIFT (BOKFØRINGSFORSKRIFTEN) LOV OM KOMMUNER OG FYLKESKOMMUNER (KOMMUNELOVEN) LOV OM BEHANDLINGSMÅTEN I FORVALTNINGSSAKER (FORVALTNINGSLOVEN) FORSKRIFT OM ELEKTRONISK KOMMUNIKASJON MED OG I FORVALTNINGEN (EFORVALTNINGSFORSKRIFTEN) INSTRUKS FOR BEHANDLING AV DOKUMENTER SOM TRENGER BESKYTTELSE AV ANDRE GRUNNER ENN NEVNT I SIKKERHETSLOVEN MED FORSKRIFTER (BESKYTTELSESINSTRUKSEN) LOV OM ARKIV (ARKIVLOVEN) MED FORSKRIFTER FORSKRIFT OM BRUK AV INFORMASJONS- OG KOMMUNIKASJONSTEKNOLOGI (IKT- FORSKRIFTEN) FORSKRIFT OM RISIKOSTYRING OG INTERNKONTROLL (FORSKRIFT OM RISIKOSTYRING OG INTERNKONTROLL, FINANS) 5

LOV OM REGULERTE MARKEDER (BØRSLOVEN) FORSKRIFT OM KAPITALKRAV FOR FORRETNINGSBANKER, SPAREBANKER, FINANSIERINGSFORETAK, HOLDINGSELSKAPER I FINANSKONSERN, VERDIPAPIRFORETAK OG FORVALTNINGSSELSKAPER FOR VERDIPAPIRFOND MV. (KAPITALKRAVFORSKRIFTEN) LOV OM HELSEREGISTRE OG BEHANDLING AV HELSEOPPLYSNINGER (HELSEREGISTERLOVEN) LOV OM HELSEPERSONELL MV. (HELSEPERSONELLOVEN) FORSKRIFT OM PASIENTJOURNAL (JOURNALFORSKRIFTEN) FORSKRIFT OM BEHANDLING AV HELSEOPPLYSNINGER I NASJONAL DATABASE FOR ELEKTRONISKE RESEPTER (RESEPTFORMIDLERFORSKRIFTEN) LOV OM ARBEIDS- OG VELFERDSFORVALTNINGEN (ARBEIDS- OG VELFERDSFORVALTNINGSLOVEN) LOV OM SPESIALISTHELSETJENESTE (SPESIALISTHELSETJENESTELOVEN) FORSKRIFT OM FØRING AV KLIENTJOURNAL OG MEKLINGSPROTOKOLL VED FAMILIEVERNKONTORENE MV. (FORSKRIFT OM JOURNAL VED FAMILIEVERNKONTORENE) LOV OM ELEKTRONISK KOMMUNIKASJON (EKOMLOVEN) FORSKRIFT OM ELEKTRONISK KOMMUNIKASJONSNETT OG ELEKTRONISK KOMMUNIKASJONSTJENESTE (EKOMFORSKRIFTEN) LOV OM PRODUKSJON, OMFORMING, OVERFØRING, OMSETNING, FORDELING OG BRUK AV ENERGI MM. (ENERGILOVEN) MED FORSKRIFT (ENERGILOVFORSKRIFTEN) FORSKRIFT OM BEREDSKAP I KRAFTFORSYNINGEN (BEREDSKAPSFORSKRIFTEN FOR KRAFTFORSYNINGEN) 6

LOV OM FOREBYGGENDE SIKKERHETSTJENESTE (SIKKERHETSLOVEN) FORSKRIFT OM SIKKERHETSADMINISTRASJON FORSKRIFT OM INFORMASJONSSIKKERHET FORSKRIFT OM SIKKERHETSGRADERTE ANSKAFFELSER FORSKRIFT OM PERSONELLSIKKERHET LOV OM SCHENGEN INFORMASJONSSYSTEM (SIS-LOVEN) FORSKRIFT TIL LOV OM SCHENGEN INFORMASJONSSYSTEM (SIS-FORSKRIFTEN) 7

Krav til informasjonssikkerhet i forvaltningen Mange lover og forskrifter Enda flere når vi tar med EU direktiver mv. Karakteriseres av fragmentert og til dels lite samkjørt utforming Flere tilfeller der lover kommer i konflikt med hverandre Eks: Arkivloven og Personopplysningslovens sletteplikt Ikke lett å velge rett lov å forholde seg til Alle kravene flytter fokus fra god sikkerhet til god etterlevelse får vi god sikkerhet av det? 8

Kilde for listen IT-Sikkerhetsforum Veiledning lover og regler med betydning for informasjonssikkerheten 9

ISO 27001

ISO27001 Standarden gir retningslinjer for etablering, implementering, drift, vedlikehold, evaluering og forbedring av en organisasjons ledelsessystem for informasjonssikkerhet. Erstatter NS 7799 / BS 7799 Byggger også på andre standarder som ISO 17799:2005, ISO/IEC 13335-1:2004, ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000, ISO/IEC TR 18044:2004 og OECD Guidelines for Security of Information Systems and Networks Towards a culture of security 11

Act Plan Do This lnternational Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Tilpasset andre ledelsessystem standarder som ISO 9001, ISO 14001 mv. hvor kontinuerlig forbedring av et system er inkludert (henholdsvis kvalitet og miljøvern). Check 12

Plassering av ISO27001 i lover og regler ISO27001 og 2 (tidl BS7799, ISO17799 mv) er allerede å finne igjen i en rekke lover og regler Personopplysningsforskriftens kap 2 Norm for informasjonssikkerhet i Helsesektoren IKT-forskriften (som ref POL/POF på dette punktet) Flere kommer til og forslag om innføring av krav til styring av informasjonssikkerhet iht ISO27001/2 er på bordet (ref Riksrevisjonen Dok1) 13

Informasjonssikkerhet og internkontroll

Målsetninger for internkontroll (her internkontrollforskriften) Virksomheten skal 1. ha tilgjengelig aktuelle lover og forskrifter og oversikt over viktige krav 2. sørge for at alle har tilstrekkelige kunnskaper og ferdigheter 3. sørge for at ansatte medvirker slik at kunnskap og erfaring benyttes 4. fastsette mål og strategisk retning for arbeidet (styrende dokumenter) 5. ha oversikt over organisasjon, ansvarsfordeling og hvem som gjør hva 6. Iverksette rutiner for å avdekke, rette opp og forebygge feil (avvikshåndtering) 7. systematisk overvåkning og gjennomgang/revisjon 15

Krav til prosesser for kontinuerlig forbedring og systematisk arbeid med Helse, Miljø og Sikkerhet foreligger og skal være etablert i norske offentlige virksomheter Disse prosessene kan brukes ved etablering av styringssystem for informasjonssikkerhet integrering av sikkerhetsarbeidet med eksisterende arbeidsprosesser 16

Hva gjør KPMG Bransjenormer Samler lov og regelkrav i ett omforent sett retningslinjer med forslag til konkrete rutiner og verktøy Forenkler etterlevelse av lover og regler for bransjen Sikrer at bransjen og tilsynsmyndigheten har en felles forståelse av beste praksis Kan bidra til å redusere arbeidet for den enkelte virksomhet med etablering av etterlevelse Eks: Norm for informasjonssikkerhet i helsesektoren, bransjenorm for inkassovirksomhet og pågående arbeid med bransjenorm for kollektivtrafikkbransjen i Norge. 17

Takk for oppmerksomheten! Geir Arild Engh-Hellesvik Leder Informasjonssikkerhetstjenester KPMG Norge E-post: geir.arild.engh-hellesvik@kpmg.no Mobil: +47 406 39 464

Vi hjelper våre kunder med Styringssystem for informasjonssikkerhet (Information Security Management System) Utvikling av ISMS (iht ISO27001) Implementering / utrulling av ISMS Evaluering av ISMS og forbedring Risikohåndtering Etablere risikostyringssystem Gjennomføre risikovurderinger Policy og regelverk Utvikling av policy og regelverk Personvern Kartlegging av personopplysninger i virksomheten og behov for vern Vurdering av etterlevelse relevant lovverk Hendelseshåndtering og kontinuitetsplanlegging Utvikling av rutiner for hendelseshåndteringe, kontinuitetsplanlegging og katastrofeplanlegging Basert på standarden BS25999 Opplæring og bevisstgjøring Attestasjon 19

2011 KPMG AS, a Norwegian member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding